Jetzt Mitglied werden!
eRecht24.de

Privacy by Design

Datenschutz als Wettbewerbsvorteil: Wie Privacy by Design Ihr Business nach vorn bringt

Fachlich geprüft von: Katharina Steinröder Katharina Steinröder
(1 Bewertung, 5.00 von 5)

Das Wichtigste in Kürze

  • Gemäß Art. 25 DSGVO muss Datenschutz durch Technikgestaltung (by Design) und durch datenschutzfreundliche Voreinstellungen (by Default) umgesetzt werden.
  • In der Praxis bedeutet das: Systeme müssen so entwickelt und voreingestellt sein, dass die Privatsphäre der Nutzer bestmöglich geschützt wird.
  • Als Unternehmen vermeiden Sie so nicht nur rechtliche Risiken, sondern senken auch den Aufwand für Nachbesserungen und schaffen Vertrauen bei Ihren Nutzern.
Ich möchte mich ausführlich informieren Ich möchte mich datenschutzrechtlich absichern

Worum geht's?

Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen ist in Artikel 25 der DSGVO verankert und verpflichtet Unternehmen, diesen als festen Bestandteil bei der Produktentwicklung zu integrieren sowie Nutzer durch datenschutzfreundliche Standardeinstellungen zu schützen. Was das für die Praxis bedeutet und für wen die Grundsätze eine Rolle spielen, lesen Sie in diesem Beitrag – inklusive einer Checkliste zur Umsetzung von Privacy by Design und by Default für Unternehmen und Verantwortliche.

 

1.Was versteht man unter "Privacy by Design"?

Laut DSGVO verlangt Privacy by Design, dass Datenschutz bereits bei der Technikgestaltung eines Systems berücksichtigt und umgesetzt wird und nicht erst im Nachhinein. Dabei spielt es keine Rolle, ob es sich bei dem System um Software, Hardware oder um eine App handelt – und auch interne Prozesse der Datenverarbeitung sind inbegriffen.

Da der Fokus auf der Gestaltung liegt, betrifft dieser technische Datenschutz vor allem Hardware-Hersteller, App-Entwickler und Unternehmen, die eigene Software programmieren.

Ziel von Privacy by Design ist es, durch geeignete technische und organisatorische Maßnahmen (TOMs) Privatsphäre, Datensicherheit und Transparenz in jeder Phase der Verarbeitung von Daten sicherzustellen.

Privacy by Design in der Praxis

Privacy by Design sorgt dafür, dass Datenschutz von Anfang an integriert wird, indem z. B.

  • eine Software so programmiert wird, dass sie nur die Daten erhebt, speichert und verarbeitet, die wirklich notwendig sind.
  • Zugriffsrechte von Beginn an klar definiert und technisch durchgesetzt werden.
  • Verschlüsselungstechnologien wie SSL-Verschlüsselung und Anonymisierung bereits in der Entwicklungsphase integriert werden.

Der Begriff “Privacy by Design” bezieht sich aber nicht nur auf die Entwicklung von Software und Hardware, sondern kann z. B. auch bei Webseiten eine Rolle spielen, indem die Datenschutzerklärung verständlich, transparent und leicht auffindbar ist. Als Onlineshop-Betreiber sollten Sie bei Bestellungen wiederum nur die Daten abfragen, die für Abwicklung und Versand notwendig sind.

2. Was versteht man unter "Privacy by default"?

Privacy by Default fokussiert sich auf die Nutzung des Systems: Um den Schutz personenbezogener Daten zu gewährleisten, sollten die Voreinstellungen im System, der Plattform oder der Software datenschutzfreundlich sein.

Privacy by Default betrifft vor allem diejenigen, die das System nutzen, also die eigentlichen DSGVO-Verantwortlichen wie Unternehmen, Behörden oder Vereine. Sie müssen sicherstellen, dass datenschutzfreundliche Einstellungen aktiv sind, wenn sie das System einsetzen.

Ziel ist es, insbesondere Nutzer ohne Technikkenntnisse zu schützen, indem diese bereits durch die Werkseinstellungen den bestmöglichen Datenschutz erhalten. Für die Praxis bedeutet das beispielsweise, dass standardmäßig nur Daten verarbeitet werden dürfen, die für den jeweiligen Zweck erforderlich sind – alle anderen zusätzlichen Funktionen müssen Opt-In statt Opt-Out sein.

Privacy by Default in der Praxis

Privacy by Default gibt Nutzern die Kontrolle darüber, welche zusätzlichen Optionen sie einschalten möchten, indem z. B.

  • eine Newsletter-Checkbox nicht standardmäßig bereits angehakt ist.
  • Standortdaten einer App deaktiviert sind, solange der Nutzer nichts anderes einstellt.
  • ein Cookie Consent Tool die aktive Zustimmung für Tracking-Cookies und Analysetechnologien auf einer Website einfordert.
  • Standortfreigaben ausgeschaltet sind.

Mit Privacy by Default soll gemäß DSGVO der Schutz von personenbezogenen Daten im Alltag gestärkt und verhindert werden, dass Nutzer unbeabsichtigt zu viele Informationen über sich preisgeben. Auch dies müssen Unternehmen durch geeignete TOMs sicherstellen.

3. Was ist der Unterschied zwischen Privacy by Design und Privacy by Default?

Der Unterschied zwischen beiden DSGVO-Konzepten liegt darin, dass sich Privacy by Design auf die technische Gestaltung eines Systems bezieht, während Privacy by Default auf datenschutzfreundliche Voreinstellungen bei der Nutzung des Systems fokussiert.

WICHTIG

Privacy by Design baut Datenschutz in Software, Hardware und andere Systeme ein – Privacy by Default sorgt dafür, dass Nutzer dadurch in der fertigen Anwendung automatisch geschützt sind.

Obwohl sich Privacy by Default mehr auf die Anwender der Systeme bezieht, haben auch die Hersteller eine Mitverantwortung – denn sie müssen die Software oder Hardware so bauen, dass datenschutzfreundliche Voreinstellungen überhaupt möglich sind. Ein Beispiel:

  • Herstellerpflicht: Ein CMS (z. B. WordPress, Typo3) muss Datenschutzoptionen anbieten.
  • Anwenderpflicht: Der Webseitenbetreiber muss sie aktiv konfigurieren.

Beide Konzepte helfen Unternehmen dabei, verantwortungsvoll mit den Daten von Kunden, Nutzern, Mitarbeitenden und Geschäftspartnern umzugehen und nur die Daten zu verarbeiten, die für den jeweiligen Zweck tatsächlich erforderlich sind.

4. Warum ist das für mein Unternehmen relevant?

Für alle Unternehmen, egal ob Start-up, Softwareanbieter, Dienstleister oder Konzern, sind Privacy by Design und Privacy by Default nicht nur ein „nice to have“, sondern gesetzliche Pflicht – denn die Datenschutzgrundverordnung betrifft alle Unternehmen, die personenbezogene Daten verarbeiten. Wer sich nicht daran hält, riskiert empfindliche DSGVO-Bußgelder.

Die Pflicht betrifft dabei zum einen Unternehmen, die selbst personenbezogene Daten verarbeiten. Zum anderen müssen aber auch die Hersteller der Software, Hardware oder digitalen Anwendung durch die technische Gestaltung ermöglichen, dass ihre Kunden die DSGVO überhaupt einhalten können.

Data Protection by Design und by Default sind jedoch nicht allein aufgrund der gesetzlichen Verpflichtung relevant, sondern bringen Unternehmen auch wesentliche Vorteile:

  • Minimierung von Datenschutzrisiken: Indem Sie hohe Datenschutzstandards von Anfang an fest in Ihren Produkten und der Unternehmenskultur verankern, senken Sie das Risiko von Datenpannen und verringern Haftungsrisiken.
  • Wettbewerbsvorteil: Datenschutz ist ein Qualitätsmerkmal. Nehmen Sie diesen ernst, stärken Sie nicht nur die Qualität Ihrer eigenen Produkte, sondern auch das Markenimage und das Vertrauen Ihrer Kunden.
  • ISO-Zertifizierung: Wenn Sie Datenschutz im Unternehmen umfassend erfüllen, können Sie das durch eine Zertifizierung nach außen tragen. Wer z. B. die ISO 27001 erfüllt, erfüllt viele Anforderungen der DSGVO gleich mit.
  • Effizientere Prozesse: Sind datenschutzrechtliche Aspekte von Anfang an Teil der Produktentwicklung, sinken die Kosten für spätere Anpassungen („Privacy Fixes“).
  • Vermeidung von rechtlichen Konflikten: Verstöße können bei Datenschutzkontrollen sehr teuer werden. Denken Sie Privacy by Design und Privacy by Default von Beginn an mit, reduzieren Sie das Risiko für Abmahnungen und Bußgelder erheblich.

Unser Tipp: Mit DatenschutzPro dokumentieren und organisieren Sie zentrale Datenschutzprozesse, TOMs und Verarbeitungen an einem Ort.

JETZT DATENSCHUTZ ABSICHERN

DatenschutzPro

Verwalten Sie Ihren Datenschutz mit unserer Datenschutz-Managementlösung DatenschutzPro:
  • Behalten Sie den Überblick über den Datenschutz in Ihrem Unternehmen
  • Erstellen Sie die wichtigsten Datenschutzdokumente an einem Ort
  • Intuitive und zeitsparende Bedienung
  • Datenschutzbeauftragter auf Wunsch zubuchbar
JETZT DATENSCHUTZ ABSICHERN

5. Checkliste: So setzen Sie die Datenschutzgrundsätze um

Checkliste
So setzen Sie die Datenschutzgrundsätze um

1. Datenminimierung prüfen

  • Verarbeiten Sie nur Daten, die für den jeweiligen Zweck notwendig sind.
  • Definieren Sie die Speicherdauer der Daten und dokumentieren Sie diese.
  • Nutzen Sie wo immer möglich anonymisierte oder pseudonymisierte Daten.
  • Gestalten Sie Prozesse so, dass sie externen Datenschutzkontrollen standhalten.

2. Für Hersteller & Entwickler: Datenschutzfreundliche Technikgestaltung sicherstellen

  • Planen Sie Sicherheitsmaßnahmen wie Verschlüsselung und Zugriffsrechte früh ein.
  • Gestalten Sie Ihre Software, Hardware oder App so, dass Datenschutzrisiken automatisch minimiert werden.

3. Für Anwender & DSGVO-Verantwortliche: Datenschutzfreundliche Voreinstellungen aktivieren

  • Deaktivieren Sie alle optionalen Funktionen.
  • Schützen Sie die Privatsphäre Ihrer Nutzer standardmäßig.
  • Verarbeiten Sie keine personenbezogenen Daten ohne Einwilligung bzw. Rechtsgrundlage.
  • Sorgen Sie dafür, dass Nutzer Datenschutzoptionen einfach finden und individuell einstellen können.

4. Transparenz schaffen

  • Informieren Sie Nutzer in Ihrer Datenschutzerklärung klar darüber, welche Daten zu welchem Zweck und wie lange verarbeitet werden.
  • Klären Sie darüber auf, wer außer Ihnen Zugriff auf die Daten hat (Dienstleister, Tools).
  • Platzieren Sie Ihre Datenschutzerklärung leicht erreichbar in jeder Anwendung (Website, App, Software).

5. TOMs integrieren

  • Gewährleisten Sie mit geeigneten technischen und organisatorischen Maßnahmen die Sicherheit der Daten.
  • Infrage kommen z. B. Pseudonymisierung, Verschlüsselung, Zugriffskontrollen, Trennung von Daten, Datenminimierung und datensparsame Voreinstellungen.

6. Regelmäßige Risikoanalyse

  • Führen Sie regelmäßige Datenschutzaudits und Risikobewertungen durch.
  • Prüfen Sie, ob eingesetzte Tools die Anforderungen der DSGVO erfüllen.
  • Sollten hohe potenzielle Risiken bestehen, ist eine Datenschutz-Folgenabschätzung (DSFA) notwendig.
  • Binden Sie Datenschutzexperten in die Projektentwicklung mit ein und implementieren Sie eine interne Datenschutzrichtlinie.
  • Schulen Sie Ihre Teams regelmäßig in Themen wie Datenschutz und Datensicherheit.

6. FAQ: Häufig gestellte Fragen

Was bedeutet Privacy by Design einfach erklärt?

Privacy by Design bedeutet, dass Datenschutz bereits bei der technischen Entwicklung und Gestaltung von Systemen wie Hardware, Software oder einer App umgesetzt wird, anstatt später erst ergänzt zu werden.

Ist Privacy by Design gesetzlich vorgeschrieben?

Ja, auch wenn in der Datenschutz-Grundverordnung andere Begrifflichkeiten genutzt werden (Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen), verpflichtet Art. 25 DSGVO zur Umsetzung von Privacy by Design und Privacy by Default.

Was bedeutet Privacy by Default nach DSGVO?

Privacy by Default bedeutet, dass Anwender einer Software, Hardware oder App ihren Nutzern datenschutzfreundliche Standardeinstellungen bieten müssen, damit diese selbst entscheiden können, ob sie zusätzliche Daten preisgeben möchten oder nicht.

Wer muss Privacy by Default beachten?

Alle, die personenbezogene Daten im Geschäftskontext verarbeiten – also praktisch jedes Unternehmen – müssen den Grundsatz beachten. Betroffen sind z. B. Apps, Webseiten und Onlineshops, Cloud-Software, KI-Tools, HR-Software und CRM-Systeme.

 

Sophie Suske
Sophie Suske, M.A.
Legal Writerin, freiberuflich

Sophie Suske hat einen Masterabschluss in Sprach- und Kommunikationswissenschaften. Angefangen in der juristischen Redaktion eines Legal Tech Start Ups bereichert sie seit 2022 mit ihrer Expertise das Redaktionsteam von eRecht24 als freie Legal Writerin. Ihre inhaltlichen Schwerpunkte liegen dabei im Datenschutz, E-Commerce- und Markenrecht.

Katharina Steinröder
Katharina Steinröder, Ass. jur.
Legal Writerin

Katharina Steinröder ist Volljuristin und TÜV-zertifizierte Datenschutzbeauftragte. Seit 2023 ist Sie als Legal Writerin Teil des Redaktionsteams von eRecht24. Bei eRecht24 schreibt sie vor allem Inhalte mit Bezug zum Internet- und Datenschutzrecht.

Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details