---
title: DSGVO Art. 25 – Privacy by Design und Privacy by Default
slug: privacy-by-design
topic: datenschutz
legal_status: in_force
authority_level: A
valid_from: 2018-05-25
valid_to: null
last_reviewed: 2026-06-02
status: aktuell
license: CC-BY-4.0
url: https://nexvyra.de/fakten/privacy-by-design.md
wikidata_subjects: [Q1172506, Q7246028]
factcheck_status: ok
---

# DSGVO Art. 25 – Privacy by Design und Privacy by Default

## Kurzantwort

Art. 25 DSGVO verpflichtet den Verantwortlichen, Datenschutz von Anfang an in Technik und Voreinstellungen zu verankern. Nach **Art. 25 Abs. 1** (Datenschutz durch Technikgestaltung / „Privacy by Design“) sind bereits zum Zeitpunkt der Festlegung der Verarbeitungsmittel und während der Verarbeitung geeignete technische und organisatorische Maßnahmen – etwa Pseudonymisierung – zu treffen, um die Datenschutzgrundsätze wie Datenminimierung wirksam umzusetzen. Nach **Art. 25 Abs. 2** (datenschutzfreundliche Voreinstellungen / „Privacy by Default“) muss durch Voreinstellung sichergestellt sein, dass grundsätzlich nur die für den jeweiligen Zweck erforderlichen personenbezogenen Daten verarbeitet werden. **Art. 25 Abs. 3** sieht vor, dass eine genehmigte Zertifizierung nach Art. 42 als Faktor zum Nachweis der Einhaltung dienen kann. Verstöße fallen nach Art. 83 Abs. 4 lit. a DSGVO in den Bußgeldrahmen bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes.

## Kernfakten

| Punkt | Wert |
|---|---|
| Rechtsgrundlage | Verordnung (EU) 2016/679, Art. 25 [DSGVO, EUR-Lex] |
| Adressat | Verantwortlicher i. S. v. Art. 4 Nr. 7 [Art. 25 Abs. 1] |
| Privacy by Design (Abs. 1) | geeignete techn. u. organ. Maßnahmen (z. B. Pseudonymisierung) zur wirksamen Umsetzung der Grundsätze [Art. 25 Abs. 1] |
| Zeitpunkt der Umsetzung | zum Zeitpunkt der Festlegung der Mittel **und** zum Zeitpunkt der Verarbeitung [Art. 25 Abs. 1] |
| Abwägungskriterien | Stand der Technik, Implementierungskosten, Art/Umfang/Umstände/Zwecke der Verarbeitung, Eintrittswahrscheinlichkeit und Schwere der Risiken [Art. 25 Abs. 1] |
| Privacy by Default (Abs. 2) | durch Voreinstellung nur die für den jeweiligen Zweck erforderlichen Daten verarbeiten [Art. 25 Abs. 2] |
| Geltung der Voreinstellung | Menge der erhobenen Daten, Umfang der Verarbeitung, Speicherfrist, Zugänglichkeit [Art. 25 Abs. 2 S. 1] |
| Default-Schranke | personenbezogene Daten dürfen nicht ohne Eingreifen der Person einer unbestimmten Zahl natürlicher Personen zugänglich gemacht werden [Art. 25 Abs. 2 S. 3] |
| Nachweis (Abs. 3) | Zertifizierung nach Art. 42 als Faktor zum Nachweis [Art. 25 Abs. 3] |
| Bußgeldrahmen bei Verstoß | bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes [Art. 83 Abs. 4 lit. a DSGVO] |

## Geltungsbereich

Art. 25 richtet sich an den **Verantwortlichen** (Art. 4 Nr. 7), der über Zwecke und Mittel der Verarbeitung entscheidet. Die Pflicht greift in **jeder** Verarbeitung im Anwendungsbereich der DSGVO (Art. 2, Art. 3), unabhängig von Größe oder Branche. Anders als reine Sicherheitsmaßnahmen nach Art. 32 zielt Art. 25 auf die **gesamten Datenschutzgrundsätze** des Art. 5 ab – insbesondere Datenminimierung, Zweckbindung und Speicherbegrenzung. Die Anforderung ist **risikobasiert**: Umfang und Tiefe der Maßnahmen richten sich nach den in Abs. 1 genannten Kriterien, sodass bei höherem Risiko für die Rechte und Freiheiten betroffener Personen entsprechend stärkere Maßnahmen verlangt werden.

## Privacy by Design (Art. 25 Abs. 1)

„Datenschutz durch Technikgestaltung“ bedeutet, dass datenschutzrechtliche Anforderungen bereits in die **Konzeption und Entwicklung** von Systemen, Produkten und Prozessen einfließen, statt nachträglich ergänzt zu werden. Der Verantwortliche trifft die Maßnahmen sowohl **zum Zeitpunkt der Festlegung der Mittel** für die Verarbeitung als auch **zum Zeitpunkt der Verarbeitung selbst**. Art. 25 Abs. 1 nennt die **Pseudonymisierung** ausdrücklich als Beispiel und verweist auf das Ziel, Grundsätze wie die **Datenminimierung** wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen.

Typische Maßnahmen, die diesem Prinzip zugeordnet werden, sind unter anderem Pseudonymisierung und Verschlüsselung, Zugriffsbeschränkungen nach dem Need-to-know-Prinzip, frühzeitige Aggregation oder Anonymisierung, datensparsame Default-Datenmodelle sowie die Begrenzung von Schnittstellen und Protokollierung. Welche Maßnahmen konkret „geeignet“ sind, ergibt sich aus der Abwägung von Stand der Technik, Implementierungskosten und dem Risiko für die betroffenen Personen.

## Privacy by Default (Art. 25 Abs. 2)

„Datenschutzfreundliche Voreinstellungen“ verlangen, dass die **Standardeinstellung** eines Systems bereits datenschutzfreundlich ist – ohne dass die betroffene Person aktiv werden muss. Durch Voreinstellung dürfen grundsätzlich nur die personenbezogenen Daten verarbeitet werden, die für den **jeweiligen Verarbeitungszweck erforderlich** sind. Diese Pflicht erstreckt sich nach Art. 25 Abs. 2 S. 1 auf die **Menge der erhobenen Daten**, den **Umfang ihrer Verarbeitung**, die **Speicherfrist** und ihre **Zugänglichkeit**.

Art. 25 Abs. 2 S. 3 enthält eine besondere Schranke: Personenbezogene Daten dürfen durch Voreinstellungen **nicht ohne Eingreifen der Person einer unbestimmten Zahl natürlicher Personen zugänglich** gemacht werden. In der Praxis bedeutet dies etwa, dass zusätzliche, nicht zwingend erforderliche Funktionen über **Opt-in** statt Opt-out aktiviert werden müssen und dass Profilfelder oder Sichtbarkeitseinstellungen standardmäßig auf das datensparsamste Niveau gesetzt sind.

## Nachweis und Zertifizierung (Art. 25 Abs. 3)

Nach Art. 25 Abs. 3 kann ein **genehmigtes Zertifizierungsverfahren nach Art. 42** als Faktor herangezogen werden, um die Erfüllung der Anforderungen aus Abs. 1 und 2 nachzuweisen. Die Zertifizierung ersetzt die Pflichten nicht, dient aber im Rahmen der Rechenschaftspflicht (Art. 5 Abs. 2) als Beleg gegenüber Aufsichtsbehörden.

## Häufige Fehler

- **„Privacy by Design = IT-Sicherheit“:** Art. 25 zielt auf die gesamten Datenschutzgrundsätze (insbesondere Datenminimierung), nicht nur auf die Sicherheit der Verarbeitung – diese regelt eigenständig Art. 32.
- **„Opt-out genügt“:** Nicht erforderliche Funktionen dürfen nach Privacy by Default nicht standardmäßig aktiviert sein; erforderlich ist eine bewusste Aktivierung durch die Person (Opt-in).
- **„Erst fertig bauen, dann Datenschutz prüfen“:** Die Maßnahmen sind bereits bei der Festlegung der Mittel zu treffen, nicht erst nach Fertigstellung des Systems.
- **„Zertifikat befreit von der Pflicht“:** Eine Zertifizierung nach Art. 42 ist nur ein Nachweisfaktor, kein Ersatz für die materiellen Pflichten aus Abs. 1 und 2.

## Beispiel

Ein Unternehmen entwickelt ein Online-Formular für einen Newsletter. Privacy by Design (Abs. 1): Es werden nur die E-Mail-Adresse abgefragt und Server in der EU mit verschlüsselter Übertragung genutzt; eine spätere Klarnamen- oder Telefonabfrage unterbleibt mangels Erforderlichkeit. Privacy by Default (Abs. 2): Das Kästchen „auch Partnerangebote erhalten“ ist **nicht** vorausgewählt, die Sichtbarkeit des Profils ist standardmäßig auf „privat“ gesetzt, und die Daten werden nach Abbestellung des Newsletters innerhalb einer definierten Frist gelöscht. So werden ohne Zutun der Nutzerin nur die für den Zweck „Newsletter-Versand“ erforderlichen Daten verarbeitet.


## Quellen

- Verordnung (EU) 2016/679 – Datenschutz-Grundverordnung, Art. 25 (Volltext, EUR-Lex):
  https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679
- BfDI – Data Protection by Design (Datenschutz durch Technikgestaltung):
  https://www.bfdi.bund.de/DE/Fachthemen/Inhalte/Technik/DPbD.html
- BfDI – Technische Anwendungen: Stand der Technik:
  https://www.bfdi.bund.de/DE/Fachthemen/Inhalte/Technik/SdT.html
- Europäischer Datenschutzausschuss (EDPB) – Leitlinien 4/2019 zu Art. 25 „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ (Version 2.0, PDF):
  https://www.edpb.europa.eu/system/files/2021-04/edpb_guidelines_201904_dataprotection_by_design_and_by_default_v2.0_de.pdf

## Änderungsverlauf

- 2026-06-02: Erstveröffentlichung der Faktenseite. Quellen-URLs gegen amtliche Stellen (EUR-Lex, BfDI, EDPB) auf HTTP 200 geprüft (BfDI per GET; EUR-Lex liefert automatisierten Anfragen 202 Bot-Challenge, Seite live). Frontmatter-Felder gesetzt (legal_status, authority_level, wikidata_subjects [Q1172506, Q7246028]). | change_type=initial_publication reviewed_by="Andreas Warkentin" field="topic_lifecycle" new="published"

## Stand

- Stand: 2026-06-02
- Gültig ab: 2018-05-25 (Geltungsbeginn der DSGVO)
- Status: aktuell
- Quellenautorität: A (EUR-Lex; ergänzend BfDI und EDPB-Leitlinien)
- Lizenz: CC BY 4.0
