Artikel 25 EU-DSGVO: Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

  1. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen – wie z. B. Pseudonymisierung – trifft, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.

  2. Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.

  3. Ein genehmigtes Zertifizierungsverfahren gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in den Absätzen 1 und 2 des vorliegenden Artikels genannten Anforderungen nachzuweisen.

Kommentar zu Artikel 25 EU-DSGVO

Was sagt Art. 25 DSGVO aus?
 

DSGVO Art. 25 konkretisiert den in Art. 24 DSGVO allgemein definierten Verantwortungsbereich des Verantwortlichen bei der Datenverarbeitung mit Ausführungen zu den technisch-organisatorischen Maßnahmen in drei Absätzen:

1. Die von dem Verantwortlichen einzuführenden technisch-organisatorischen Maßnahmen stehen in Beziehung

  • zum Stand der Technik.

  • zu den Implementierungskosten

  • zu Art, Umfang, Umständen, Zwecken und dem datenschutzrechtlichen Risikopotential der Verarbeitungstätigkeit.

Unter Berücksichtigung dieser Faktoren richtet der Verantwortliche seine technisch-organisatorischen Maßnahmen

  • zum Zeitpunkt von deren Festlegung

  • während der Verarbeitung der Daten

aus.

Die Vorschrift nennt als Beispiel für geeignete Maßnahmen die Pseudonymisierung und verlangt die Aufnahme von Garantien zum Datenschutz in die Verarbeitungstätigkeit selbst.

2. Der Verantwortliche gestaltet die technisch-organisatorischen Maßnahmen mit entsprechenden Voreinstellungen so, dass nur für den jeweiligen Verarbeitungszweck notwendige Daten verarbeitet werden. Diese Anforderung bezieht sich auf

  • die Datenmenge

  • den Verarbeitungsumfang

  • die Speicherfrist

  • die Zugänglichkeit

Weiterhin haben Voreinstellungen sicherzustellen, dass personenbezogene Daten nur durch das Tätigwerden einer Person - also nicht automatisiert - einer unbestimmten Anzahl natürlicher Personen zugänglich gemacht werden.

3. Ein genehmigtes Zertifizierungsverfahren nach Art. 42 DSGVO kann unter anderem die Konformität mit den Anforderungen des Art. 25 DSGVO nachweisen.

Wie ist Art. 25 DSGVO zu verstehen?
 

Während in Art. 24 DSGVO die Basis der technisch-organisatorischen Maßnahmen definiert wird (Was ist zu tun?), erfahren Sie in DSGVO Art. 25 mehr zur inhaltlichen Gestaltung der Maßnahmen (Wie ist es zu tun?):

Die technisch-organisatorischen Maßnahmen haben sich an den Grundsätzen des Datenschutzes durch Technik/Data Protection by Design und an datenschutzfreundlichen Voreinstellungen/ Data Protection by Default auszurichten. Hier geht es um die Einhaltung von Grundsätzen wie Datenminimierung, die durch Maßnahmen wie die der Pseudonymisierung von Daten umgesetzt werden können.

Welche Folgen ergeben sich aus Art. 25 DSGVO?
 

DSGVO Art. 25 setzt ein ausgearbeitetes und dokumentiertes Datenschutzkonzept im Unternehmen zu seiner Umsetzung voraus. Datenschutzexperte.de kann Ihnen dabei helfen, ein solches Konzept zu entwickeln, zu implementieren und seine Einhaltung zu überwachen. Denken Sie hier etwa an die Prüfung der Umsetzung technisch-organisatorischer Maßnahmen in Ihrem Unternehmen, an die Bestellung eines externen Datenschutzbeauftragten  und an eine Datenschutzberatung.

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr