Art. 25 DSGVO: Privacy by Design und Privacy by default

Art. 25 Abs. 1 DSGVO verpflichtet den Verantwortlichen, bereits bei der Entwicklung von Produkten, Diensten und Anwendungen sicherzustellen, dass die Anforderungen der DSGVO erfüllt werden („Privacy by Design“). Abs. 2 konkretisiert diese allgemeine Verpflichtung und verlangt, dass bestehende Einstellungsmöglichkeiten standardmäßig auf die „datenschutzfreundlichsten“ Voreinstellungen gesetzt werden („Privacy by default“).

„Datenschutz durch Voreinstellungen“ soll insbesondere diejenigen Nutzer schützen, die die datenschutzrechtlichen Implikationen von Verarbeitungsvorgängen entweder nicht erfassen können oder sich keine Gedanken darüber machen und sich deshalb auch nicht veranlasst sehen, von sich aus datenschutzfreundliche Einstellungen vorzunehmen, obwohl der Telemediendienst ihnen diese Möglichkeit grundsätzlich eröffnet. Die Nutzerinnen und Nutzer sollen nicht gezwungen werden, ihre Einstellungen zu ändern, um eine möglichst „datensparsame“ Verarbeitung zu erreichen. Vielmehr soll umgekehrt jede Abweichung von den datenminimierenden Voreinstellungen nur durch ein aktives „Eingreifen“ der Nutzer möglich sein. Die Regelung soll die Verfügungshoheit des Nutzers über seine Daten sicherstellen und ihn vor einer unbewussten Datenerhebung schützen. Abs. 2 verlangt jedoch nicht, dass der Verantwortliche stets die denkbar datenschutzfreundlichste Voreinstellung trifft. Vielmehr entscheidet der Verantwortliche mit der Festlegung eines bestimmten Verarbeitungszwecks auch über den Umfang der hierfür erforderlichen Daten. Dem Wortlaut nach ist daher auch eine besonders datenintensive Voreinstellung mit Abs. 2 vereinbar, wenn der Verarbeitungszweck dies erfordert. Vor dem Hintergrund des Schutzzwecks des Abs. 2, den Nutzer vor einer Überrumpelung oder Ausnutzung seiner Unerfahrenheit zu schützen, muss der Verantwortliche jedoch stets sicherstellen, dass die beabsichtigte Datenverwendung auch für einen technisch nicht versierten Nutzer hinreichend transparent ist (LG Lübeck, 15 O 74/22).

Fachanwalt für IT-Recht Jens Ferner