Recht:Artikel 25 DSGVO Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

Aus Datenschutzhandbuch
Wechseln zu: Navigation, Suche
Artikel Nr. 25
Kapitel IV Verantwortlicher und Auftragsverarbeiter
Abschnitt 1 Allgemeine Pflichten
Erwägungsgründe Recht:Erwägungsgrund 78 DSGVO
Inkrafttretensdatum 2018/05/25
Letzte Änderung 2018/05/23
Historie Stammfassung geändert durch: ABl L 2018/127
Außerkrafttretensdatum
Vorhergehende Seite Artikel 24 DSGVO Verantwortung des für die Verarbeitung Verantwortlichen
Folgende Seite Artikel 26 DSGVO Gemeinsam Verantwortliche
Entscheidungen DatenschutzbehördeBezeichnung
ATDSB 008Abgewiesene Beschwerde über die Verletzung im Recht auf Geheimhaltung (Archivdaten)
ATDSB 022Stattgegebene Beschwerde bezüglich der Verletzung im Recht auf Geheimhaltung (Sportverband)
ATDSB 063Abgewiesene Beschwerde wegen nicht erfolgter partieller, sondern vollständiger Löschung (Stammkundenprogramm)
ATDSB 078Teilweise genehmigter Antrag auf Ermittlung und Verarbeitung personenbezogener Daten (Bilddaten aus öffentlichem Raum) zu wissenschaftlichen Zwecken innerhalb der Europäischen Union
NachrichtenTitel
03-07-2020 1Neue Bausteine des Standard-Datenschutzmodells präsentiert.
04-02-2020 2Windows 10 lässt sich zumindest im Labor ohne Datenweitergabe an Microsoft betreiben.
12-6-2020 2Wichtige Hinweise zum Einsatz von Google Analytics im nicht-öffentlichen Bereich
27-01-2020 3Facebook verstößt gegen Datenschutzrecht
Aktuelles 2019-KW28Bußgeld wegen Verstoß gegen den Grundsatz der Datenminimierung
Aktuelles 2019-KW44Bußgeld gegen Immobiliengesellschaft wegen Datenarchiv
Aktuelles 2019-KW46EDPB: Veröffentlicht Guidelines zu Privacy by Design und Privacy by Default
Aktuelles 2019-KW49Neue Studie zu Datenschutz bei Onlinediensten veröffentlicht

(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen — wie z. B. Pseudonymisierung —, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.

(2) Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.

(3) Ein genehmigtes Zertifizierungsverfahren gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in den Absätzen 1 und 2 des vorliegenden Artikels genannten Anforderungen nachzuweisen.