Zuletzt aktualisiert: 9. Juli 2026 — Peter Fürsicht, zertifizierter DSB

Privacy by Design / by Default (Art. 25 DSGVO)

Privacy by Design und Privacy by Default nach Artikel 25 DSGVO sind die beiden Prinzipien, die Datenschutz nicht als Nachbesserung, sondern als Gestaltungsprinzip verankern. Wer ein neues System einfuehrt, muss Datenschutz von Anfang an denken – nicht erst, wenn eine Aufsichtsbehoerde anklopft.

Privacy by Design

Artikel 25 Absatz 1 fordert: Der Verantwortliche muss geeignete technische und organisatorische Massnahmen so gestalten, dass die Datenschutzprinzipien (Art. 5) bereits bei der Entwicklung beruecksichtigt werden. Das betrifft:

  • Datenminimierung – nur Daten sammeln, die wirklich noetig sind
  • Pseudonymisierung – Identitaet trennen von Inhalten
  • Sicherheit – Verschluesselung, Zugangskontrolle, Protokollierung
  • Transparenz – Verarbeitung erkennbar fuer Betroffene

Privacy by Default

Artikel 25 Absatz 2 geht einen Schritt weiter: Die voreingestellten Optionen muessen datenschutzfreundlich sein. Das bedeutet:

  • Newsletter-Anmeldung ist per Default abgewaehlt
  • Tracking-Cookies sind per Default aus bis Consent erteilt
  • Profiling-Optionen sind deaktiviert
  • Speicherdauer ist minimal, nicht unendlich

Praxis-Beispiel

Ein Online-Shop aktiviert standardmaessig ein Web-Analytics-Tool, das vor Consent laeuft. Das ist ein Verstoss gegen Privacy by Default – auch wenn ein Cookie-Banner vorhanden ist. Abhilfe: Tracking-Tool auf Consent-gated umstellen oder KI-konforme datenschutzfreundliche Alternativen einsetzen.

Was ist der Unterschied Privacy by Design vs. Default?

Design betrifft die Architektur (Datenmodell, Technik), Default die Voreinstellungen fuer Nutzer.

Gilt Privacy by Default nur fuer Websites?

Nein, fuer jedes System, das personenbezogene Daten verarbeitet – auch Apps, CRM, HR-Software.

Kann ich Privacy by Default nachtraeglich umsetzen?

Ja, aber es ist einfacher bei der Entwicklung. Bei bestehenden Systemen muessen Defaults angepasst werden.

Was kostet die Nichteinhaltung?

Bussgelder nach Art. 83 DSGVO – bis 10 Mio. Euro oder 2 % des Jahresumsatzes.