Art. 25 EU-DSGVO: Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

Artikel 25 EU-DSGVO: Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen – wie z. B. Pseudonymisierung – trifft, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.
Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.
Ein genehmigtes Zertifizierungsverfahren gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in den Absätzen 1 und 2 des vorliegenden Artikels genannten Anforderungen nachzuweisen.

Zum Inhaltsverzeichnis

Sie haben noch Fragen? Wir sind gerne für Sie da.

Kommentar zu
Artikel 25 EU-DSGVO: Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

Kommentar zu Art. 35 DSGVO

Was sagt Art. 35 DSGVO aus?

Artikel 35 Absatz 1 DSGVO besagt, dass Unternehmen die Folgen einer Datenverarbeitung auf die Datenschutzrechte der Betroffenen abschätzen müssen, bevor sie diese personenbezogenen Daten verarbeiten. Dies gilt dann, wenn Unternehmen neue Technologien verwenden, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Personen mit sich bringen. Gemäß Absatz 2 dieser Bestimmung setzt der Verantwortliche den Datenschutzexperten als Ratgeber hierfür ein.

Absatz 3 zeigt Beispiele auf, in welchen Fällen Sie eine solche Datenschutz-Folgenabschätzung machen müssen:

Systematische und umfassende Datenbewertung persönlicher Bereiche von natürlichen Personen Dies betrifft Unternehmen, die eine solche Datenbewertung auf Basis automatisierter Verarbeitung vornehmen und damit in die Rechte des Betroffenen eingreifen. Darunter fallen Techniken wie Profiling, Scoring, Rating und Big-Data-Analysen.
Umfangreiche Verarbeitung besonders sensibler personenbezogener Daten Dieser Bereich erfasst besondere personenbezogene Daten wie beispielsweise Daten über die Gesundheit, religiöse Weltanschauung und Straftaten, die umfangreich verarbeitet werden.
Systematische Überwachung öffentlich erreichbarer Bereiche Es spielt keine Rolle, welche Technologie zum Einsatz kommt. Die Videoüberwachung ist jedenfalls betroffen.

Was ist gemäß Art. 35 DSGVO zu tun?

Ist eine der Voraussetzungen erfüllt, müssen Sie eine Datenschutz-Folgeabschätzung durchführen und

die geplanten Prozesse und deren Zweck systematisch beschreiben
ggf. die berechtigten Interessen dieser Verarbeitung darlegen
die Notwendigkeit und Verhältnismäßigkeit der Prozesse bewerten
die Risiken für die Rechte und Freiheiten der betroffenen Personen analysieren
geeignete Abhilfemaßnahmen nennen, die die Risiken minimieren

Mit dieser Datenschutz-Folgeabschätzung schaffen Sie die Grundlage für vorbereitende Maßnahmen, die Sie zur Risikoschmälerung einsetzen.Wer hilft bei der Datenschutz-Folgeabschätzung?