Privacy by Design und Privacy by Default, also Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen, ist in Art. 25 der Datenschutzverordnung (DSGVO) festgelegt. 

Das bedeutet, dass der Datenschutz bereits in der Designphase über den gesamten Lebenszyklus einer Verarbeitungstätigkeit des Unternehmens integriert ist. Eine Verarbeitungstätigkeit kann ein Prozess, ein IT-System, ein Produkt oder eine Dienstleistung sein. Es geht also darum, Unternehmensaktivitäten datenschutzkonform zu gestalten und die Privatsphäre von Nutzern und Kunden durch die Wahl geeigneter technischer und organisatorischer Maßnahmen sowie geeigneter Voreinstellungen zu schützen.

Häufig wird "Privacy by Design & Default" nur auf Software und Hardware bezogen. Es ist jedoch ein Konzept, das auf alle Bereiche eines Unternehmens angewendet werden kann. Interne Prozesse, Veranstaltungen, Marketingaktivitäten, neue Dienstleistungen oder Produkte, IT-Systeme, Software, Hardware etc. sollten bei ihrer Einführung ebenfalls datenschutzkonform gestaltet werden.

Die Datenschutz-Grundverordnung sieht auch ein "Privacy by Design & Default" für den Datenschutzbeauftragten vor: Gemäß Art. 38 muss der für die Verarbeitung Verantwortliche sicherstellen, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle Angelegenheiten im Zusammenhang mit dem Schutz personenbezogener Daten einbezogen wird.

Privacy by Design bedeutet "Datenschutz durch Technikgestaltung". Dieser Ansatz stellt sicher, dass der Datenschutz und der Schutz personenbezogener Daten bereits in der Entwurfsphase eines Prozesses berücksichtigt werden. Zu diesem Zweck müssen geeignete technische und organisatorische Maßnahmen (TOMs) getroffen werden.

Der Anwendungsbereich von "Privacy by Design" ist sehr weit gefasst: Eine datenschutzfreundliche Technikgestaltung sollte bereits bei der Entwicklung neuer Prozesse, Produkte, Dienstleistungen, IT-Systeme, der Entwicklung von Organisationsrichtlinien, Verfahren, Geschäftspraktiken, Unternehmensstrategien usw. berücksichtigt werden.

Privacy by Default heißt übersetzt "Datenschutz durch datenschutzfreundliche Voreinstellungen". Dieses Konzept bedeutet, dass nur die Daten verarbeitet werden, die zur Erreichung des Zwecks notwendig sind. Zum Beispiel müssen in einer Software die Standardeinstellungen so gestaltet sein, dass nur die minimal erforderlichen Daten abgefragt oder verarbeitet werden. Zusätzliche Daten sollten nur mit Zustimmung der betroffenen Person erhoben werden, Daten sollten nicht automatisch an Dritte weitergegeben werden und es sollten ausreichende Kontroll- und Einstellungsmöglichkeiten vorhanden sein.

Das so genannte "Privacy Paradox" wird durch datenschutzfreundliche Voreinstellungen für die Nutzer verhindert. Studien haben ergeben, dass Menschen den Schutz ihrer Daten zwar grundsätzlich befürworten, aber selbst kaum Einstellungen vornehmen, um sie tatsächlich zu schützen. Indem dieser Prozess dem Nutzer abgenommen wird, wird eine datenschutzfreundliche Nutzung erreicht.

Für die Einhaltung der Datenschutzgrundverordnung ist in erster Linie der Verantwortliche im datenschutzrechtlichen Sinne, also die Geschäftsführung, zuständig.

Die Geschäftsleitung muss jedoch sicherstellen, dass alle Mitarbeiter des Unternehmens die Grundsätze des Datenschutzes berücksichtigen. So sollten beispielsweise Entwickler und Product Owner, also die Personen, die Systeme, Dienstleistungen oder Produkte entwickeln, interne Prozesse und Verfahren zur Sicherstellung der Datenschutzfreundlichkeit beachten.

Die technischen und organisatorischen Maßnahmen (TOMs), die zur Einhaltung der Datenschutzgrundsätze eingeführt werden, variieren von Unternehmen zu Unternehmen, je nach Anwendung und Umständen.

Es ist wichtig, dass Datenschutzerwägungen von Anfang an berücksichtigt werden und dass geeignete TOMs eingeführt werden. Gemäß Art. 32 DSGVO müssen diese dem aktuellen Stand der Technik entsprechen, wobei die Implementierungskosten zu berücksichtigen sind. Bei der Auswahl der TOMs sollten auch Art, Umfang, Umstände und Zweck der Verarbeitung berücksichtigt werden.

Beispiele für TOMs, die Privacy by Design & Default gewährleisten:

• Minimierung der Verarbeitung von personenbezogenen Daten in Systemen
• Pseudonymisierung von Daten, wenn möglich
• Verschlüsselung, z.B. Ende-zu-Ende-Verschlüsselung
• Transparenz in Bezug auf die Verarbeitungsprozesse gegenüber den betroffenen Personen
• Möglichkeit für die betroffenen Personen, eigene Einstellungen vorzunehmen
• Ausübung des Widerspruchsrechts mit Hilfe automatisierter Verfahren
• Einführung zusätzlicher Sicherheitsmerkmale, z. B. Benutzerauthentifizierung

Als für die Datenverarbeitung Verantwortlicher sollte jede Geschäftsaktivität im Vorfeld daraufhin überprüft werden, wie sie mit passenden TOMs und datenschutzfreundlichen Grundvoraussetzungen umgesetzt werden kann.

Data Privacy by Design & Default ist keine einmalige Maßnahme, weshalb alle Prozesse, Systeme, Produkte und Dienstleistungen regelmäßig überprüft und gegebenenfalls angepasst werden sollten. Einige mögliche Ansatzpunkte für die Umsetzung in verschiedenen Bereichen des Unternehmens finden Sie hier:

• Technische und organisatorische Maßnahmen
• Auswahl neuer Software nur von datenschutzkonformen Anbietern und umfangreiche Überprüfung im Vorfeld
• Datenschutzfreundliche Voreinstellungen in der eigenen IT-Infrastruktur
• Produkte und Dienste mit datenschutzfreundlichen Voreinstellungen
• Löschung von personenbezogenen Daten, wenn diese nicht mehr benötigt werden
• Einbindung des Datenschutzbeauftragten vor Einführung eines neuen Verfahrens