Nexvyra

DSGVO Art. 25 – Privacy by Design und Privacy by Default

Inhaltlich verantwortet von Andreas Warkentin (warepoint-media GbR) · zuletzt geprüft am 2026-06-02 · Quellenautorität A (amtliche Primärquelle) Fehler melden ✉
Datenschutz DSGVO Art. 25 Privacy by Design Privacy by Default Technikgestaltung Deutschland / EU
Status: in Kraft

Kurzantwort

Art. 25 DSGVO verpflichtet den Verantwortlichen, Datenschutz von Anfang an in Technik und Voreinstellungen zu verankern. Nach Art. 25 Abs. 1 (Datenschutz durch Technikgestaltung / „Privacy by Design") sind bereits zum Zeitpunkt der Festlegung der Verarbeitungsmittel und während der Verarbeitung geeignete technische und organisatorische Maßnahmen – etwa Pseudonymisierung – zu treffen, um die Datenschutzgrundsätze wie Datenminimierung wirksam umzusetzen. Nach Art. 25 Abs. 2 (datenschutzfreundliche Voreinstellungen / „Privacy by Default") muss durch Voreinstellung sichergestellt sein, dass grundsätzlich nur die für den jeweiligen Zweck erforderlichen personenbezogenen Daten verarbeitet werden. Art. 25 Abs. 3 sieht vor, dass eine genehmigte Zertifizierung nach Art. 42 als Faktor zum Nachweis der Einhaltung dienen kann. Verstöße fallen nach Art. 83 Abs. 4 lit. a DSGVO in den Bußgeldrahmen bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes.

Kernfakten

PunktWert
RechtsgrundlageVerordnung (EU) 2016/679, Art. 25 [DSGVO, EUR-Lex]
AdressatVerantwortlicher i. S. v. Art. 4 Nr. 7 [Art. 25 Abs. 1]
Privacy by Design (Abs. 1)geeignete techn. u. organ. Maßnahmen (z. B. Pseudonymisierung) zur wirksamen Umsetzung der Grundsätze [Art. 25 Abs. 1]
Zeitpunkt der Umsetzungzum Zeitpunkt der Festlegung der Mittel und zum Zeitpunkt der Verarbeitung [Art. 25 Abs. 1]
AbwägungskriterienStand der Technik, Implementierungskosten, Art/Umfang/Umstände/Zwecke der Verarbeitung, Eintrittswahrscheinlichkeit und Schwere der Risiken [Art. 25 Abs. 1]
Privacy by Default (Abs. 2)durch Voreinstellung nur die für den jeweiligen Zweck erforderlichen Daten verarbeiten [Art. 25 Abs. 2]
Geltung der VoreinstellungMenge der erhobenen Daten, Umfang der Verarbeitung, Speicherfrist, Zugänglichkeit [Art. 25 Abs. 2 S. 1]
Default-Schrankepersonenbezogene Daten dürfen nicht ohne Eingreifen der Person einer unbestimmten Zahl natürlicher Personen zugänglich gemacht werden [Art. 25 Abs. 2 S. 3]
Nachweis (Abs. 3)Zertifizierung nach Art. 42 als Faktor zum Nachweis [Art. 25 Abs. 3]
Bußgeldrahmen bei Verstoßbis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes [Art. 83 Abs. 4 lit. a DSGVO]

Geltungsbereich

Art. 25 richtet sich an den Verantwortlichen (Art. 4 Nr. 7), der über Zwecke und Mittel der Verarbeitung entscheidet. Die Pflicht greift in jeder Verarbeitung im Anwendungsbereich der DSGVO (Art. 2, Art. 3), unabhängig von Größe oder Branche. Anders als reine Sicherheitsmaßnahmen nach Art. 32 zielt Art. 25 auf die gesamten Datenschutzgrundsätze des Art. 5 ab – insbesondere Datenminimierung, Zweckbindung und Speicherbegrenzung. Die Anforderung ist risikobasiert: Umfang und Tiefe der Maßnahmen richten sich nach den in Abs. 1 genannten Kriterien, sodass bei höherem Risiko für die Rechte und Freiheiten betroffener Personen entsprechend stärkere Maßnahmen verlangt werden.

Privacy by Design (Art. 25 Abs. 1)

„Datenschutz durch Technikgestaltung" bedeutet, dass datenschutzrechtliche Anforderungen bereits in die Konzeption und Entwicklung von Systemen, Produkten und Prozessen einfließen, statt nachträglich ergänzt zu werden. Der Verantwortliche trifft die Maßnahmen sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der Verarbeitung selbst. Art. 25 Abs. 1 nennt die Pseudonymisierung ausdrücklich als Beispiel und verweist auf das Ziel, Grundsätze wie die Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen.

Typische Maßnahmen, die diesem Prinzip zugeordnet werden, sind unter anderem Pseudonymisierung und Verschlüsselung, Zugriffsbeschränkungen nach dem Need-to-know-Prinzip, frühzeitige Aggregation oder Anonymisierung, datensparsame Default-Datenmodelle sowie die Begrenzung von Schnittstellen und Protokollierung. Welche Maßnahmen konkret „geeignet" sind, ergibt sich aus der Abwägung von Stand der Technik, Implementierungskosten und dem Risiko für die betroffenen Personen.

Privacy by Default (Art. 25 Abs. 2)

„Datenschutzfreundliche Voreinstellungen" verlangen, dass die Standardeinstellung eines Systems bereits datenschutzfreundlich ist – ohne dass die betroffene Person aktiv werden muss. Durch Voreinstellung dürfen grundsätzlich nur die personenbezogenen Daten verarbeitet werden, die für den jeweiligen Verarbeitungszweck erforderlich sind. Diese Pflicht erstreckt sich nach Art. 25 Abs. 2 S. 1 auf die Menge der erhobenen Daten, den Umfang ihrer Verarbeitung, die Speicherfrist und ihre Zugänglichkeit.

Art. 25 Abs. 2 S. 3 enthält eine besondere Schranke: Personenbezogene Daten dürfen durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl natürlicher Personen zugänglich gemacht werden. In der Praxis bedeutet dies etwa, dass zusätzliche, nicht zwingend erforderliche Funktionen über Opt-in statt Opt-out aktiviert werden müssen und dass Profilfelder oder Sichtbarkeitseinstellungen standardmäßig auf das datensparsamste Niveau gesetzt sind.

Nachweis und Zertifizierung (Art. 25 Abs. 3)

Nach Art. 25 Abs. 3 kann ein genehmigtes Zertifizierungsverfahren nach Art. 42 als Faktor herangezogen werden, um die Erfüllung der Anforderungen aus Abs. 1 und 2 nachzuweisen. Die Zertifizierung ersetzt die Pflichten nicht, dient aber im Rahmen der Rechenschaftspflicht (Art. 5 Abs. 2) als Beleg gegenüber Aufsichtsbehörden.

Häufige Fehler

Beispiel

Ein Unternehmen entwickelt ein Online-Formular für einen Newsletter. Privacy by Design (Abs. 1): Es werden nur die E-Mail-Adresse abgefragt und Server in der EU mit verschlüsselter Übertragung genutzt; eine spätere Klarnamen- oder Telefonabfrage unterbleibt mangels Erforderlichkeit. Privacy by Default (Abs. 2): Das Kästchen „auch Partnerangebote erhalten" ist nicht vorausgewählt, die Sichtbarkeit des Profils ist standardmäßig auf „privat" gesetzt, und die Daten werden nach Abbestellung des Newsletters innerhalb einer definierten Frist gelöscht. So werden ohne Zutun der Nutzerin nur die für den Zweck „Newsletter-Versand" erforderlichen Daten verarbeitet.

Quellen

Änderungsverlauf

Stand