Klose, SGB I § 35 Sozialgeheimnis / 2.7.3 Technikgestaltung und datenschutzrechtliche Voreinstellungen (Art. 25 DSGVO)

Rz. 52

Mit der Einführung des Datenschutzes durch Technikgestaltung (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) werden ausdrücklich Anforderungen an die Produktentwicklung und -implementierung gestellt.

Nach Art. 25 Abs. 1 DSGVO sind von den Verantwortlichen sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen zu treffen, um die Datenschutzgrundsätze (vgl. Rz. 36 ff.) wirksam umzusetzen.

Art. 25 Abs. 2 DSGVO konkretisiert dies dahingehend, dass bereits durch Voreinstellungen möglichst nur die personenbezogenen Daten verarbeitet werden sollen, die für den jeweiligen Verarbeitungszweck erforderlich sind. Diese Verpflichtung gilt nach Satz 2 "für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit". Es gilt – wie bereits im Recht bis 24.5.2018 – das Prinzip der Datenvermeidung und Datensparsamkeit (vgl. auch Rz. 36 ff. Grundsatz der Datenminimierung).

Rz. 53

Art. 25 Abs. 2 Satz 3 DSGVO enthält eine Forderung zur Zugriffsbeschränkung, in dem er fordert, "dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden". Gemeint sind hier insbesondere die Veröffentlichung personenbezogener Daten an die allgemeine Öffentlichkeit z. B. durch soziale Netzwerke, die in Bezug auf die Privatsphäre ihrer Nutzer eine Vielzahl von Einstellungsmöglichkeiten bereitstellen.

Rz. 54

Geeignete Maßnahmen sind laut EG 78 DSGVO z. B.

• Begrenzung der Verarbeitung personenbezogener Daten auf ein Mindestmaß,
• schnellstmögliche Pseudonymisierung personenbezogener Daten,
• Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten,
• Möglichkeit der Überwachung der Verarbeitung personenbezogener Daten durch die betroffenen Personen,
• Sicherheitsfunktionen schaffen und verbessern durch den Verantwortlichen.

Art. 25 Abs. 3 DSGVO verweist als Möglichkeit des Nachweises über die getroffenen Maßnahmen auf ein genehmigtes Zertifizierungsverfahren nach Art. 42 DSGVO (vgl. auch Rz. 48).