Privacy by Design
Datenschutz durch Technikgestaltung — Art. 25 DSGVO
Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.
TL;DR
Privacy by Design (Art. 25 Abs. 1 DSGVO) ist die Pflicht, Datenschutz-Grundsätze (Datenminimierung, Zweckbindung, Transparenz) bereits bei der Gestaltung von Systemen und Prozessen zu integrieren — nicht nachträglich.
Was ist Privacy by Design?
Art. 25 DSGVO unterscheidet zwei Ebenen:
- Privacy by Design: Datenschutz in System-Architektur (Pseudonymisierung, Verschlüsselung, Zugriffsbeschränkung)
- Privacy by Default: datenschutzfreundliche Voreinstellungen (z.B. Profil = privat statt öffentlich)
Beide gelten kumulativ. Verstöße sind Art. 83 Abs. 4 lit. a — bis 10 Mio. EUR oder 2% Weltkonzernumsatz.
Praxisbeispiel
SaaS-Anbieter X plant ein neues HR-Tool. Privacy by Design verlangt: 1) Datenminimierung in Eingabemasken (nur was wirklich nötig), 2) Pseudonymisierung in Reports, 3) Zugriffsbeschränkung per Rolle, 4) Default = nur direkter Vorgesetzter sieht Performance-Daten, nicht alle.
Häufig gestellte Fragen
Wer haftet für Privacy by Design Verstöße?
Verantwortlicher (Art. 24 DSGVO). AV-Hersteller können nach Art. 28 mitverpflichtet werden.
Wann beginnt die Pflicht?
Vor jeder Neuentwicklung oder wesentlichen Änderung. Bestandssysteme: bei nächster Anpassung.
Reicht eine DSFA?
DSFA (Art. 35) ist Teil von Privacy by Design, aber nicht alles. PbD ist umfassender.