Privacy by Default
Privacy by Default verpflichtet Verantwortliche nach Art. 25 Abs. 2 DSGVO, durch datenschutzfreundliche Voreinstellungen sicherzustellen, dass ohne Zutun der betroffenen Person grundsätzlich nur die für den jeweiligen Zweck erforderlichen Daten verarbeitet werden.
Privacy by Default (datenschutzfreundliche Voreinstellungen) ist neben Privacy by Design eine der beiden zentralen Säulen des Art. 25 DSGVO. Während Privacy by Design auf datenschutzgerechte Technikgestaltung abzielt, verlangt Privacy by Default nach Art. 25 Abs. 2 DSGVO, dass durch Voreinstellungen sichergestellt wird, dass grundsätzlich nur personenbezogene Daten verarbeitet werden, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist. Maßgeblich ist also der Auslieferungs- bzw. Werkszustand eines Produkts, einer App oder eines Dienstes: Ohne aktives Eingreifen der betroffenen Person muss die datenschutzfreundlichste Konfiguration greifen.
Die Pflicht erstreckt sich nach dem Wortlaut der Norm ausdrücklich auf die Menge der erhobenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Privacy by Default operationalisiert damit unmittelbar die Grundsätze der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO), der Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO) und der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO). Konkret bedeutet dies etwa: optionale Profilbildung ist standardmäßig deaktiviert, nicht zwingend erforderliche Felder sind nicht vorausgefüllt, Sichtbarkeiten in sozialen Netzwerken sind auf den engsten Kreis voreingestellt, und personenbezogene Daten dürfen ohne Eingreifen der Person nicht einer unbestimmten Zahl natürlicher Personen zugänglich gemacht werden (Art. 25 Abs. 2 S. 3 DSGVO).
Adressat der Pflicht ist der Verantwortliche, nicht der Hersteller einer Software; gleichwohl wirkt sich die Anforderung faktisch auf die gesamte Lieferkette aus, da Verantwortliche datenschutzfreundlich vorkonfigurierbare Produkte einsetzen müssen. Bei der Umsetzung sind der Stand der Technik, die Implementierungskosten sowie Art, Umfang, Umstände und Zwecke der Verarbeitung und die Risiken für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen. Verstöße gegen Art. 25 DSGVO sind nach Art. 83 Abs. 4 lit. a DSGVO bußgeldbewehrt; zugleich dient eine nachweisbare Umsetzung der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO. Die Einhaltung kann nach Art. 25 Abs. 3 DSGVO durch genehmigte Zertifizierungsverfahren nachgewiesen werden.
Rechtliche Grundlage
Art. 25 Abs. 2 DSGVO (Datenschutz durch datenschutzfreundliche Voreinstellungen); ergänzend Art. 5 Abs. 1 lit. b, c, e und Abs. 2 DSGVO, Erwägungsgrund 78 DSGVO
Praxisbeispiel
Ein Online-Shop führt ein neues Kundenkonto ein. Im Registrierungsformular sind die Häkchen für den Newsletter-Versand und für die Auswertung des Nutzungsverhaltens zu Werbezwecken zunächst nicht gesetzt; nur Name, E-Mail-Adresse und Passwort sind als Pflichtfelder markiert. Die Datenschutzkoordinatorin dokumentiert im Verarbeitungsverzeichnis, dass die Sichtbarkeit des Profils standardmäßig auf 'privat' steht und Bestelldaten nach Ablauf der handelsrechtlichen Aufbewahrungsfristen automatisch gelöscht werden. Damit muss der Kunde aktiv zustimmen, wenn er weitergehende Verarbeitungen wünscht – die Voreinstellung selbst bleibt datenschutzfreundlich und erfüllt Art. 25 Abs. 2 DSGVO.
Häufige Fragen
So unterstützt preeco Sie
Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.
Mehr erfahren