DSGVO Art. 25 – Privacy by Design und Privacy by Default
Status: in KraftKurzantwort
Art. 25 DSGVO verpflichtet den Verantwortlichen, Datenschutz von Anfang an in Technik und Voreinstellungen zu verankern. Nach Art. 25 Abs. 1 (Datenschutz durch Technikgestaltung / „Privacy by Design") sind bereits zum Zeitpunkt der Festlegung der Verarbeitungsmittel und während der Verarbeitung geeignete technische und organisatorische Maßnahmen – etwa Pseudonymisierung – zu treffen, um die Datenschutzgrundsätze wie Datenminimierung wirksam umzusetzen. Nach Art. 25 Abs. 2 (datenschutzfreundliche Voreinstellungen / „Privacy by Default") muss durch Voreinstellung sichergestellt sein, dass grundsätzlich nur die für den jeweiligen Zweck erforderlichen personenbezogenen Daten verarbeitet werden. Art. 25 Abs. 3 sieht vor, dass eine genehmigte Zertifizierung nach Art. 42 als Faktor zum Nachweis der Einhaltung dienen kann. Verstöße fallen nach Art. 83 Abs. 4 lit. a DSGVO in den Bußgeldrahmen bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes.
Kernfakten
| Punkt | Wert |
|---|---|
| Rechtsgrundlage | Verordnung (EU) 2016/679, Art. 25 [DSGVO, EUR-Lex] |
| Adressat | Verantwortlicher i. S. v. Art. 4 Nr. 7 [Art. 25 Abs. 1] |
| Privacy by Design (Abs. 1) | geeignete techn. u. organ. Maßnahmen (z. B. Pseudonymisierung) zur wirksamen Umsetzung der Grundsätze [Art. 25 Abs. 1] |
| Zeitpunkt der Umsetzung | zum Zeitpunkt der Festlegung der Mittel und zum Zeitpunkt der Verarbeitung [Art. 25 Abs. 1] |
| Abwägungskriterien | Stand der Technik, Implementierungskosten, Art/Umfang/Umstände/Zwecke der Verarbeitung, Eintrittswahrscheinlichkeit und Schwere der Risiken [Art. 25 Abs. 1] |
| Privacy by Default (Abs. 2) | durch Voreinstellung nur die für den jeweiligen Zweck erforderlichen Daten verarbeiten [Art. 25 Abs. 2] |
| Geltung der Voreinstellung | Menge der erhobenen Daten, Umfang der Verarbeitung, Speicherfrist, Zugänglichkeit [Art. 25 Abs. 2 S. 1] |
| Default-Schranke | personenbezogene Daten dürfen nicht ohne Eingreifen der Person einer unbestimmten Zahl natürlicher Personen zugänglich gemacht werden [Art. 25 Abs. 2 S. 3] |
| Nachweis (Abs. 3) | Zertifizierung nach Art. 42 als Faktor zum Nachweis [Art. 25 Abs. 3] |
| Bußgeldrahmen bei Verstoß | bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes [Art. 83 Abs. 4 lit. a DSGVO] |
Geltungsbereich
Art. 25 richtet sich an den Verantwortlichen (Art. 4 Nr. 7), der über Zwecke und Mittel der Verarbeitung entscheidet. Die Pflicht greift in jeder Verarbeitung im Anwendungsbereich der DSGVO (Art. 2, Art. 3), unabhängig von Größe oder Branche. Anders als reine Sicherheitsmaßnahmen nach Art. 32 zielt Art. 25 auf die gesamten Datenschutzgrundsätze des Art. 5 ab – insbesondere Datenminimierung, Zweckbindung und Speicherbegrenzung. Die Anforderung ist risikobasiert: Umfang und Tiefe der Maßnahmen richten sich nach den in Abs. 1 genannten Kriterien, sodass bei höherem Risiko für die Rechte und Freiheiten betroffener Personen entsprechend stärkere Maßnahmen verlangt werden.
Privacy by Design (Art. 25 Abs. 1)
„Datenschutz durch Technikgestaltung" bedeutet, dass datenschutzrechtliche Anforderungen bereits in die Konzeption und Entwicklung von Systemen, Produkten und Prozessen einfließen, statt nachträglich ergänzt zu werden. Der Verantwortliche trifft die Maßnahmen sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der Verarbeitung selbst. Art. 25 Abs. 1 nennt die Pseudonymisierung ausdrücklich als Beispiel und verweist auf das Ziel, Grundsätze wie die Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen.
Typische Maßnahmen, die diesem Prinzip zugeordnet werden, sind unter anderem Pseudonymisierung und Verschlüsselung, Zugriffsbeschränkungen nach dem Need-to-know-Prinzip, frühzeitige Aggregation oder Anonymisierung, datensparsame Default-Datenmodelle sowie die Begrenzung von Schnittstellen und Protokollierung. Welche Maßnahmen konkret „geeignet" sind, ergibt sich aus der Abwägung von Stand der Technik, Implementierungskosten und dem Risiko für die betroffenen Personen.
Privacy by Default (Art. 25 Abs. 2)
„Datenschutzfreundliche Voreinstellungen" verlangen, dass die Standardeinstellung eines Systems bereits datenschutzfreundlich ist – ohne dass die betroffene Person aktiv werden muss. Durch Voreinstellung dürfen grundsätzlich nur die personenbezogenen Daten verarbeitet werden, die für den jeweiligen Verarbeitungszweck erforderlich sind. Diese Pflicht erstreckt sich nach Art. 25 Abs. 2 S. 1 auf die Menge der erhobenen Daten, den Umfang ihrer Verarbeitung, die Speicherfrist und ihre Zugänglichkeit.
Art. 25 Abs. 2 S. 3 enthält eine besondere Schranke: Personenbezogene Daten dürfen durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl natürlicher Personen zugänglich gemacht werden. In der Praxis bedeutet dies etwa, dass zusätzliche, nicht zwingend erforderliche Funktionen über Opt-in statt Opt-out aktiviert werden müssen und dass Profilfelder oder Sichtbarkeitseinstellungen standardmäßig auf das datensparsamste Niveau gesetzt sind.
Nachweis und Zertifizierung (Art. 25 Abs. 3)
Nach Art. 25 Abs. 3 kann ein genehmigtes Zertifizierungsverfahren nach Art. 42 als Faktor herangezogen werden, um die Erfüllung der Anforderungen aus Abs. 1 und 2 nachzuweisen. Die Zertifizierung ersetzt die Pflichten nicht, dient aber im Rahmen der Rechenschaftspflicht (Art. 5 Abs. 2) als Beleg gegenüber Aufsichtsbehörden.
Häufige Fehler
- „Privacy by Design = IT-Sicherheit": Art. 25 zielt auf die gesamten Datenschutzgrundsätze (insbesondere Datenminimierung), nicht nur auf die Sicherheit der Verarbeitung – diese regelt eigenständig Art. 32.
- „Opt-out genügt": Nicht erforderliche Funktionen dürfen nach Privacy by Default nicht standardmäßig aktiviert sein; erforderlich ist eine bewusste Aktivierung durch die Person (Opt-in).
- „Erst fertig bauen, dann Datenschutz prüfen": Die Maßnahmen sind bereits bei der Festlegung der Mittel zu treffen, nicht erst nach Fertigstellung des Systems.
- „Zertifikat befreit von der Pflicht": Eine Zertifizierung nach Art. 42 ist nur ein Nachweisfaktor, kein Ersatz für die materiellen Pflichten aus Abs. 1 und 2.
Beispiel
Ein Unternehmen entwickelt ein Online-Formular für einen Newsletter. Privacy by Design (Abs. 1): Es werden nur die E-Mail-Adresse abgefragt und Server in der EU mit verschlüsselter Übertragung genutzt; eine spätere Klarnamen- oder Telefonabfrage unterbleibt mangels Erforderlichkeit. Privacy by Default (Abs. 2): Das Kästchen „auch Partnerangebote erhalten" ist nicht vorausgewählt, die Sichtbarkeit des Profils ist standardmäßig auf „privat" gesetzt, und die Daten werden nach Abbestellung des Newsletters innerhalb einer definierten Frist gelöscht. So werden ohne Zutun der Nutzerin nur die für den Zweck „Newsletter-Versand" erforderlichen Daten verarbeitet.
Quellen
- Verordnung (EU) 2016/679 – Datenschutz-Grundverordnung, Art. 25 (Volltext, EUR-Lex):: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679
- BfDI – Data Protection by Design (Datenschutz durch Technikgestaltung):: https://www.bfdi.bund.de/DE/Fachthemen/Inhalte/Technik/DPbD.html
- BfDI – Technische Anwendungen: Stand der Technik:: https://www.bfdi.bund.de/DE/Fachthemen/Inhalte/Technik/SdT.html
- Europäischer Datenschutzausschuss (EDPB) – Leitlinien 4/2019 zu Art. 25 „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ (Version 2.0, PDF):: https://www.edpb.europa.eu/system/files/2021-04/edpb_guidelines_201904_dataprotection_by_design_and_by_default_v2.0_de.pdf
Änderungsverlauf
- 2026-06-02: Erstveröffentlichung der Faktenseite. Quellen-URLs gegen amtliche Stellen (EUR-Lex, BfDI, EDPB) auf HTTP 200 geprüft (BfDI per GET; EUR-Lex liefert automatisierten Anfragen 202 Bot-Challenge, Seite live). Frontmatter-Felder gesetzt (legal_status, authority_level, wikidata_subjects [Q1172506, Q7246028]). | change_type=initial_publication reviewed_by="Andreas Warkentin" field="topic_lifecycle" new="published"
Stand
- Stand: 2026-06-02
- Gültig ab: 2018-05-25 (Geltungsbeginn der DSGVO)
- Status: aktuell
- Quellenautorität: A (EUR-Lex; ergänzend BfDI und EDPB-Leitlinien)
- Lizenz: CC BY 4.0