Die neue Datenschutzgrundverordnung setzt in Art. 25 die – zuvor lediglich als Zielvorstellungen geltenden - Grundsätze „Privacy by Design“ (Datenschutz durch Technik) und „Privacy by Default“ (Datenschutz durch datenschutzfreundliche Voreinstellungen) rechtsverbindlich fest.
Dies ist von besonderer Relevanz für Unternehmen, die in der Entwicklung oder in der Produktion tätig sind.
Hinter „Privacy by Design“ steckt der Gedanke, dass sich Verstöße gegen das Datenschutzrecht eher vermeiden lassen, wenn datenschutzrechtliche Anforderungen schon im Entwicklungsprozess berücksichtigt werden. Demnach soll Datenschutz bereits in die Entwicklung von Produkten bzw. Systemen integriert werden. Dies bedeutet für Unternehmen, dass die Regelungen des Datenschutzes bereits bei der Produkt- bzw. Systementwicklung berücksichtigt und durch geeignete technische und organisatorische Maßnahmen, wie z.B. Pseudonymisierung, die im Datenschutzrecht geltenden Grundsätze der Datenvermeidung und Datensparsamkeit eingehalten werden müssen. Technik, die zur Datenverarbeitung verwendet wird, muss also in Zukunft bereits so designt sein, dass datenschutzrechtliche Anforderungen eingehalten werden.
Weiterhin muss im Rahmen des nun ebenfalls in der Datenschutzgrundverordnung verankerten Prinzips „Privacy by Default“ sichergestellt werden, dass bereits durch standardmäßige Voreinstellungen nur so viele personenbezogene Daten verarbeitet werden, wie es entsprechend des jeweiligen Zwecks erforderlich ist. Datensparsame Grundeinstellungen sollen hiernach also bereits systemseitig als „Standardeinstellung“ vorgegeben sein.
Die Europäische Agentur für Netz- und Informationssicherheit (ENISA) hat in einem Bericht (https://www.enisa.europa.eu/publications/privacy-and-data-protection-by-design) Empfehlungen für die Umsetzung von „Privacy by Design“ veröffentlicht und gibt dort einen Überblick zu den Möglichkeiten der technischen Umsetzung.
