{
  "topic_slug": "privacy-by-design",
  "title": "DSGVO Art. 25 – Privacy by Design und Privacy by Default",
  "topic_url": "https://nexvyra.de/fakten/privacy-by-design.html",
  "topic_json": "https://nexvyra.de/fakten/privacy-by-design.json",
  "short_answer": "Art. 25 DSGVO verpflichtet den Verantwortlichen, Datenschutz von Anfang an in Technik und Voreinstellungen zu verankern. Nach Art. 25 Abs. 1 (Datenschutz durch Technikgestaltung / „Privacy by Design“) sind bereits zum Zeitpunkt der Festlegung der Verarbeitungsmittel und während der Verarbeitung geeignete technische und organisatorische Maßnahmen – etwa Pseudonymisierung – zu treffen, um die Datenschutzgrundsätze wie Datenminimierung wirksam umzusetzen. Nach Art. 25 Abs. 2 (datenschutzfreundliche Voreinstellungen / „Privacy by Default“) muss durch Voreinstellung sichergestellt sein, dass grundsätzlich nur die für den jeweiligen Zweck erforderlichen personenbezogenen Daten verarbeitet werden. Art. 25 Abs. 3 sieht vor, dass eine genehmigte Zertifizierung nach Art. 42 als Faktor zum Nachweis der Einhaltung dienen kann. Verstöße fallen nach Art. 83 Abs. 4 lit. a DSGVO in den Bußgeldrahmen bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes.",
  "key_facts": [
    {
      "label": "Rechtsgrundlage",
      "value": "Verordnung (EU) 2016/679, Art. 25",
      "unit": "text",
      "source_authority": "A",
      "locator": "DSGVO, EUR-Lex",
      "trust_score": 0.92
    },
    {
      "label": "Adressat",
      "value": "Verantwortlicher i. S. v. Art. 4 Nr. 7",
      "unit": "text",
      "source_authority": "A",
      "locator": "Art. 25 Abs. 1",
      "trust_score": 0.92
    },
    {
      "label": "Privacy by Design (Abs. 1)",
      "value": "geeignete techn. u. organ. Maßnahmen (z. B. Pseudonymisierung) zur wirksamen Umsetzung der Grundsätze",
      "unit": "text",
      "source_authority": "A",
      "locator": "Art. 25 Abs. 1",
      "trust_score": 0.92
    },
    {
      "label": "Zeitpunkt der Umsetzung",
      "value": "zum Zeitpunkt der Festlegung der Mittel und zum Zeitpunkt der Verarbeitung",
      "unit": "text",
      "source_authority": "A",
      "locator": "Art. 25 Abs. 1",
      "trust_score": 0.92
    },
    {
      "label": "Abwägungskriterien",
      "value": "Stand der Technik, Implementierungskosten, Art/Umfang/Umstände/Zwecke der Verarbeitung, Eintrittswahrscheinlichkeit und Schwere der Risiken",
      "unit": "text",
      "source_authority": "A",
      "locator": "Art. 25 Abs. 1",
      "trust_score": 0.92
    },
    {
      "label": "Privacy by Default (Abs. 2)",
      "value": "durch Voreinstellung nur die für den jeweiligen Zweck erforderlichen Daten verarbeiten",
      "unit": "text",
      "source_authority": "A",
      "locator": "Art. 25 Abs. 2",
      "trust_score": 0.92
    },
    {
      "label": "Geltung der Voreinstellung",
      "value": "Menge der erhobenen Daten, Umfang der Verarbeitung, Speicherfrist, Zugänglichkeit",
      "unit": "text",
      "source_authority": "A",
      "locator": "Art. 25 Abs. 2 S. 1",
      "trust_score": 0.92
    },
    {
      "label": "Default-Schranke",
      "value": "personenbezogene Daten dürfen nicht ohne Eingreifen der Person einer unbestimmten Zahl natürlicher Personen zugänglich gemacht werden",
      "unit": "text",
      "source_authority": "A",
      "locator": "Art. 25 Abs. 2 S. 3",
      "trust_score": 0.92
    }
  ],
  "answer_template": "Art.\n- Rechtsgrundlage: {rechtsgrundlage_value}\n- Adressat: {adressat_value}\n- Privacy by Design (Abs. 1): {privacy_by_design_abs_1_value}\n- Zeitpunkt der Umsetzung: {zeitpunkt_der_umsetzung_value}\n- Abwägungskriterien: {abwaegungskriterien_value}",
  "answer_slots": {
    "rechtsgrundlage": {
      "label": "Rechtsgrundlage",
      "value": "Verordnung (EU) 2016/679, Art. 25",
      "unit": "text"
    },
    "adressat": {
      "label": "Adressat",
      "value": "Verantwortlicher i. S. v. Art. 4 Nr. 7",
      "unit": "text"
    },
    "privacy_by_design_abs_1": {
      "label": "Privacy by Design (Abs. 1)",
      "value": "geeignete techn. u. organ. Maßnahmen (z. B. Pseudonymisierung) zur wirksamen Umsetzung der Grundsätze",
      "unit": "text"
    },
    "zeitpunkt_der_umsetzung": {
      "label": "Zeitpunkt der Umsetzung",
      "value": "zum Zeitpunkt der Festlegung der Mittel und zum Zeitpunkt der Verarbeitung",
      "unit": "text"
    },
    "abwaegungskriterien": {
      "label": "Abwägungskriterien",
      "value": "Stand der Technik, Implementierungskosten, Art/Umfang/Umstände/Zwecke der Verarbeitung, Eintrittswahrscheinlichkeit und Schwere der Risiken",
      "unit": "text"
    },
    "privacy_by_default_abs_2": {
      "label": "Privacy by Default (Abs. 2)",
      "value": "durch Voreinstellung nur die für den jeweiligen Zweck erforderlichen Daten verarbeiten",
      "unit": "text"
    },
    "geltung_der_voreinstellung": {
      "label": "Geltung der Voreinstellung",
      "value": "Menge der erhobenen Daten, Umfang der Verarbeitung, Speicherfrist, Zugänglichkeit",
      "unit": "text"
    },
    "default_schranke": {
      "label": "Default-Schranke",
      "value": "personenbezogene Daten dürfen nicht ohne Eingreifen der Person einer unbestimmten Zahl natürlicher Personen zugänglich gemacht werden",
      "unit": "text"
    }
  },
  "legal_status": "in_force",
  "valid_from": "2018-05-25",
  "valid_to": null,
  "last_reviewed": "2026-06-02",
  "jurisdiction": "DE",
  "language": "de",
  "primary_source": {
    "label": null,
    "url": "https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679",
    "authority": "A"
  },
  "alternative_sources": [
    {
      "label": "https://www.bfdi.bund.de/DE/Fachthemen/Inhalte/Technik/DPbD.html",
      "url": "https://www.bfdi.bund.de/DE/Fachthemen/Inhalte/Technik/DPbD.html",
      "authority": "B"
    },
    {
      "label": "https://www.bfdi.bund.de/DE/Fachthemen/Inhalte/Technik/SdT.html",
      "url": "https://www.bfdi.bund.de/DE/Fachthemen/Inhalte/Technik/SdT.html",
      "authority": "B"
    },
    {
      "label": "https://www.edpb.europa.eu/system/files/2021-04/edpb_guidelines_201904_dataprotection_by_design_and_by_default_v2.0_de.pdf",
      "url": "https://www.edpb.europa.eu/system/files/2021-04/edpb_guidelines_201904_dataprotection_by_design_and_by_default_v2.0_de.pdf",
      "authority": "C"
    }
  ],
  "warnings": [],
  "recommended_citation": "Nexvyra (https://nexvyra.de/fakten/privacy-by-design.html), Stand 2026-06-02, Topic „DSGVO Art. 25 – Privacy by Design und Privacy by Default\".",
  "license": "CC-BY-4.0",
  "license_url": "https://creativecommons.org/licenses/by/4.0/deed.de",
  "generated_at": "2026-07-14T05:20:27+00:00"
}