Art. 25 DSGVO: Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
| veröffentlicht am |
27.04.2026 |
|---|---|
| Änderung | Neu aufgenommen |
| Stand | 27.04.2026 |
|---|---|
| Erstellungsgrundlage | in der Fassung der Datenschutz-Grundverordnung vom 27.04.2016 in Kraft getreten am 25.05.2018 |
| Rechtsgrundlage | |
| Version | 001.00 |
- Inhalt der Regelung
- Ergänzende/korrespondierende Regelungen
- Begriffsbestimmungen
- Technikgestaltung
- Datenschutzfreundliche Voreinstellung (Art. 25 Absatz 2 DSGVO)
- Zertifizierung (Art. 25 Absatz 3 DSGVO)
Inhalt der Regelung
Art. 25 Datenschutzgrundverordnung (DSGVO) konkretisiert den in Art. 24 DSGVO allgemein definierten Verantwortungsbereich des Verantwortlichen bei der Datenverarbeitung mit technischen und organisatorischen Maßnahmen durch Technikgestaltung und datenschutzfreundliche Voreinstellungen.
Art. 25 Abs. 1 DSGVO beschreibt Datenschutz durch Technikeinstellung (Privacy by design).
Art. 25 Abs. 2 DSGVO erläutert Datenschutz durch technikfreundliche Voreinstellungen (Privacy by default).
Art. 25 Abs. 3 DSGVO nennt die Zertifizierung nach Art. 42 DSGVO als Nachweis der Anforderungen aus Art. 25 Abs. 1 und 2 DSGVO.
Ergänzende/korrespondierende Regelungen
- Art. 4 DSGVO beinhaltet die Begriffsbestimmungen
- Art. 9 DSGVO definiert den Begriff der besonderen Kategorien personenbezogener Daten
- Art. 12 DSGVO regelt Modalitäten bezüglich der Information der betroffenen Person
- Art. 13 Abs. 2 lit. f DSGVO und Art. 14 Abs. 2 lit. g DSGVO beinhalten Informationspflichten für den Verantwortlichen im Fall einer automatisierten Entscheidungsfindung
- Art. 15 Abs. 1 lit. h DSGVO regelt das korrespondierende Auskunftsrecht der betroffenen Person
- Art. 24 DSGVO regelt die Pflicht des Verantwortlichen, geeignete technische und organisatorische Maßnahmen bei der Verarbeitung personenbezogener Daten durchzuführen.
- Art. 42 DSGVO regelt die Zertifizierung.
- Art. 43 DSGVO befasst sich mit den Zertifizierungsstellen.
- Art. 47 Abs. 2 lit. e DSGVO legt fest, dass die verbindlichen internen Datenschutzvorschriften (vergleiche Art. 4 Nr. 20 DSGVO) auch Angaben zu den Rechten der betroffenen Person nach Art. 22 DSGVO enthalten müssen.
Begriffsbestimmungen
Die Begrifflichkeiten "Verarbeitung", "Verantwortlicher", "Pseudonymisierung" sollten im Zusammenhang mit Art.25 DSGVO näher beschrieben werden:
- "Verantwortlicher" ist gemäß Art. 4 Nr. 7 DSGVO die Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke und Mittel der Verarbeitung fest, so sind sie im Sinne des Art. 26 DSGVO gemeinsam Verantwortliche. "Auftragsverarbeiter" ist gemäß Art. 4 Nr. 8 DSGVO die Person, Behörde, Einrichtung oder andere Stelle, die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet
- Die "Verarbeitung" ist nach Art. 4 Nr. 2 DSGVO das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von personenbezogenen Daten
- "Pseudonymisierung" ist gemäß Art. 4 Nr. 5 DSGVO die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden können.
Technikgestaltung
Nach Art. 25 Abs. 1 DSGVO trifft der Verantwortliche geeignete technische und organisatorische Maßnahmen, die darauf abzielen, die Datenschutzgrundsätze (siehe auch GRA zu Art. 5 DSGVO) umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen zu genügen und die Rechte und Freiheiten der betroffenen Personen zu schützen. Sowohl die geeigneten Maßnahmen als auch die notwendigen Garantien sollen demselben Zweck dienen, nämlich die Rechte der betroffenen Personen zu schützen und sicherzustellen, dass der Schutz ihrer personenbezogenen Daten in die Verarbeitung aufgenommen wird.
Als technische und organisatorische Maßnahmen und notwendige Garantien können im weiten Sinne alle Methoden oder Mittel verstanden werden, die ein Verantwortlicher bei der Verarbeitung anwenden kann. Das Kriterium der Eignung ist erfüllt, wenn die Maßnahmen und die notwendigen Garantien dazu dienen können, den beabsichtigten Zweck zu erreichen, das heißt die Datenschutzgrundsätze wirksam umzusetzen. Das Erfordernis der Eignung steht daher im engen Zusammenhang mit dem Erfordernis der Wirksamkeit.
Von anderen Trägern, Verbänden und Gremien anerkannte Standards, bewährte Verfahren und Verhaltensregeln können bei der Festlegung geeigneter Maßnahmen hilfreich sein. Allerdings muss der Verantwortliche prüfen, ob die Maßnahmen für die betreffende konkrete Verarbeitung geeignet sind.
Wirksamkeit ist der Kern des Konzepts des Datenschutzes durch Technikgestaltung. Die Anforderung zur wirksamen Umsetzung der Grundsätze bedeutet, dass die Verantwortlichen die für den Schutz dieser Grundsätze erforderlichen Maßnahmen und Garantien umsetzen müssen, um die Rechte der betroffenen Personen zu gewährleisten.
Jede umgesetzte Maßnahme sollte zu den beabsichtigten Ergebnissen für die vom Verantwortlichen vorgesehene Verarbeitung führen. Aus dieser Feststellung ergeben sich die zwei nachfolgend genannten Konsequenzen:
- Zum einen sieht Art. 25 DSGVO nicht die Umsetzung bestimmter technischer und organisatorischer Maßnahmen vor. Die Regelung sieht vor, dass die gewählten Maßnahmen und Garantien speziell für die Umsetzung der Datenschutzgrundsätze bei der betreffenden konkreten Verarbeitung angelegt sein sollten. Dabei sollte bei den Maßnahmen und Garantien die Wirksamkeit im Vordergrund stehen und der Verantwortliche sollte weitere Maßnahmen umsetzen können, um einer etwaigen Risikoerhöhung Rechnung tragen zu können. Die Wirksamkeit von Maßnahmen hängt daher von den Rahmenbedingungen der betreffenden Verarbeitung und von einer Prüfung bestimmter Aspekte ab, die bei der Festlegung der Mittel für die Verarbeitung zu berücksichtigen sind.
- Zum anderen sollten die Verantwortlichen nachweisen können, dass die Grundsätze gewahrt wurden.
Im Zusammenhang mit Art. 25 DSGVO wird den Verantwortlichen mit dem Verweis auf den Stand der Technik bei der Festlegung der geeigneten technischen und organisatorischen Maßnahmen die Pflicht auferlegt, den gegenwärtigen technischen Fortschritt auf dem Markt zu berücksichtigen. Die Verantwortlichen sind gehalten, den technischen Fortschritt zu kennen und sich diesbezüglich auf dem Laufenden zu halten. Sie müssen wissen, welche datenschutzrechtlichen Risiken oder Chancen die Technik für den Verarbeitungsvorgang bedeuten kann und wie die Maßnahmen und Garantien, die die wirksame Umsetzung der Grundsätze und der Rechte der betroffenen Personen gewährleisten, unter Berücksichtigung der in der Entwicklung befindlichen technischen Rahmenbedingungen, umzusetzen und zu aktualisieren sind. Der Stand der Technik ist ein dynamisches Konzept, das nicht zu einem bestimmten Zeitpunkt statisch definiert werden kann, sondern kontinuierlich entsprechend dem technischen Fortschritt beurteilt werden sollte. Angesichts der technischen Fortschritte könnte ein Verantwortlicher zu der Feststellung gelangen, dass eine Maßnahme, die in der Vergangenheit ein angemessenes Schutzniveau geboten hat, dieses Niveau aktuell nicht mehr gewährleistet. Wenn sich Verantwortliche hinsichtlich der technischen Veränderungen nicht auf dem neusten Stand halten, kann dies somit eine Nichteinhaltung von Art. 25 DSGVO bedeuten. Das Kriterium "Stand der Technik" gilt nicht nur für technische Maßnahmen, sondern auch für organisatorische. Das Fehlen geeigneter organisatorischer Maßnahmen kann die Wirksamkeit einer gewählten Technologie mindern oder vollständig unterminieren. Beispiele für organisatorische Maßnahmen können die Annahme interner Strategien, Schulungen nach dem neuesten Stand in Technologie, Sicherheit und Datenschutz sowie Strategien für die Steuerung und Verwaltung der IT-Sicherheit sein.
Der Kostenaspekt verpflichtet den Verantwortlichen nicht dazu, einen unverhältnismäßig großen Ressourcenaufwand zu betreiben, wenn es alternative, weniger ressourcenintensive, aber dennoch wirksame Maßnahmen gibt. Die Implementierungskosten sind ein Faktor, der bei der Umsetzung des Datenschutzes durch Technikgestaltung zu berücksichtigen ist, sollten jedoch nicht als Grund dafür herangezogen werden, den Datenschutz durch Technikgestaltung nicht umzusetzen.
Datenschutzfreundliche Voreinstellung (Art. 25 Absatz 2 DSGVO)
Eine "Voreinstellung", wie sie in der Informatik üblicherweise definiert wird, bezieht sich auf den bereits bestehenden oder vorausgewählten Wert einer konfigurierbaren Einstellung, die einer Anwendungssoftware, einem Computerprogramm oder einem IT-System, zugewiesen wird. Diese Einstellungen werden vor allem bei elektronischen Geräten auch "Voreinstellungen" oder "Werkseinstellungen" genannt. Der Begriff "durch Voreinstellung" bezeichnet im Zusammenhang mit der Verarbeitung personenbezogener Daten Entscheidungen über Konfigurationswerte oder Verarbeitungsoptionen, die in einem Verarbeitungssystem zum Beispiel einem Anwendungsprogramm, Dienst oder Gerät eingestellt oder vorgeschrieben sind, oder in einem manuellen Verarbeitungsverfahren, das die Menge der erhobenen personenbezogenen Daten, den Umfang der Verarbeitung, die Speicherfrist und die Zugänglichkeit dieser Daten beeinflusst.
Der Verantwortliche sollte die Voreinstellungen und Optionen für die Verarbeitung so auswählen, dass nur die Verarbeitung standardmäßig ausgeführt wird, die unbedingt erforderlich ist, um den vorgegebenen rechtmäßigen Zweck zu erreichen; der Verantwortliche ist für die Vornahme dieser Voreinstellungen verantwortlich. Die Verantwortlichen sollten sich hierbei auf ihre Einschätzung der Notwendigkeit der Verarbeitung im Hinblick auf die Rechtsgrundlagen nach Art. 6 Abs. 1 DSGVO stützen. Dies bedeutet, dass der Verantwortliche nicht mehr Daten als notwendig erhebt, die erhobenen Daten nicht weiter als für seine Zwecke notwendig verarbeitet und sie auch nicht länger als notwendig speichert. Die grundlegende Anforderung lautet, den Datenschutz durch Voreinstellungen in die Verarbeitung einzubinden. Selbst wenn personenbezogene Daten mit der Einwilligung und dem Wissen einer betroffenen Person öffentlich zugänglich gemacht werden, bedeutet das nicht, dass jeder andere Verantwortliche, der Zugang zu den personenbezogenen Daten hat, diese Daten selbst uneingeschränkt für seine eigenen Zwecke verarbeiten darf. Hierfür bedarf der Betreffende einer gesonderten Rechtsgrundlage.
Zertifizierung (Art. 25 Absatz 3 DSGVO)
Nach Art. 25 Abs. 3 DSGVO kann eine Zertifizierung gemäß Art. 42 DSGVO als Nachweis der Einhaltung des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen dienen. Umgekehrt können Unterlagen, die die Einhaltung des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen belegen, auch für das Zertifizierungsverfahren hilfreich sein. Wenn also ein Verarbeitungsvorgang eines Verantwortlichen oder eines Auftragsverarbeiters nach Art. 42 DSGVO zertifiziert ist, berücksichtigen die Aufsichtsbehörden diese Zertifizierung bei ihrer Beurteilung der Einhaltung der DSGVO, insbesondere im Hinblick auf den Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen. Wenn ein Verarbeitungsvorgang eines Verantwortlichen oder eines Auftragsverarbeiters nach Art. 42 DSGVO zertifiziert ist, sind die Elemente, die dazu beitragen, die Einhaltung von Art. 25 Abs. 1 und 2 DSGVO nachzuweisen, die Gestaltungsprozesse, das heißt der Prozess der Festlegung der Verarbeitungsmittel*, der Steuerung und der technischen und organisatorischen Maßnahmen zur Umsetzung der Datenschutzgrundsätze. Die Zertifizierungsgremien oder die Eigner des Zertifizierungsprogramms legen die Kriterien für die Zertifizierung des Datenschutzes fest, die anschließend von der zuständigen Aufsichtsbehörde genehmigt werden.
Auch wenn ein Verarbeitungsvorgang nach Art. 42 DSGVO zertifiziert wurde, bleibt der Verantwortliche weiterhin für die kontinuierliche Überwachung dieses Vorgangs und für die Verbesserung der Einhaltung der in Art. 25 DSGVO genannten Kriterien für den Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen verantwortlich.
| Verordnung (EU) 2016/679 des Europäischen Parlaments und Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) |
Inkrafttreten: 24.05.2016, Gültigkeit: 25.05.2018 Quelle: Amtsblatt der Europäischen Union vom 04. Mai 2016 unter L 119/1 |
Die Datenschutzgrundverordnung (DSGVO) trat am 24.05.2016 in Kraft und gilt ab dem 25.05.2018 unmittelbar in allen Mitgliedstaaten der Europäischen Union.