Datenschutz durch Technikgestaltung - Art. 25 DSGVO umsetzen

Alex Eichhorn .

7. März 2026

Grundprinzipien der EU-DSGVO: Ein zentrales Schloss symbolisiert privacy by design und DSGVO. Artikel beleuchten Sicherheit, Rechtmäßigkeit und Datenübertragbarkeit.

Datenschutz beginnt nicht erst in einem Consent-Banner oder in der Datenschutzerklärung. Wer Software, Plattformen oder interne IT-Prozesse baut, muss schon in Architektur, Datenmodell und Standard-Einstellungen festlegen, wie wenig personenbezogene Daten wirklich nötig sind und wie sicher sie verarbeitet werden. Genau darum geht es hier: was das Prinzip nach Artikel 25 DSGVO verlangt, wie es sich von datenschutzfreundlichen Voreinstellungen unterscheidet und wie ich es in IT-Projekten pragmatisch umsetze.

Die wichtigsten Punkte zu Datenschutz durch Technikgestaltung

  • Artikel 25 DSGVO verlangt Datenschutz schon bei der Konzeption und später im Betrieb, nicht erst nach dem Launch.
  • Privacy by Design betrifft Architektur, Datenflüsse, Rollen, Testdaten und technische Schutzmaßnahmen.
  • Privacy by Default heißt: nur notwendige Daten, kurze Speicherfristen und restriktive Voreinstellungen standardmäßig aktivieren.
  • Pseudonymisierung und Verschlüsselung sind wichtige Bausteine, ersetzen aber kein Gesamtkonzept.
  • Die größten Risiken entstehen oft bei Logs, Testumgebungen, Exporten und zu breiten Zugriffsrechten.
  • Ohne Dokumentation und klare Zuständigkeiten bleibt selbst gute Technik rechtlich und organisatorisch angreifbar.

Was Artikel 25 DSGVO in der Praxis verlangt

Der Kern ist einfach: Datenschutz soll nicht nachträglich an ein fertiges System angeflanscht werden, sondern von Anfang an in die Verarbeitung eingebaut sein. Die Europäische Kommission beschreibt das als frühestmögliche Gestaltung mit technischen und organisatorischen Maßnahmen, die die Privatsphäre schützen und die Datenschutzgrundsätze von Beginn an absichern. Das ist mehr als eine gute Absichtserklärung. Es ist eine Architekturvorgabe.

Für Projekte bedeutet das vor allem eines: Ich kann mich nicht darauf verlassen, dass ein System später über Richtlinien, Warnhinweise oder manuelle Kontrollen schon irgendwie korrigiert wird. Artikel 25 verlangt, dass ich bei der Festlegung der Verarbeitung und im laufenden Betrieb prüfe, ob die gewählte Lösung angemessen ist. Der Maßstab ist dabei nicht abstrakt, sondern risikobasiert.

Kriterium Was es im Projekt bedeutet Praktische Folge
Stand der Technik Welche Schutzmaßnahmen heute üblich und realistisch sind Keine unnötig alten oder unsicheren Muster verwenden
Implementierungskosten Welche Maßnahmen wirtschaftlich vertretbar sind Proportionalität prüfen, aber Grundschutz nicht weglassen
Art, Umfang, Umstände und Zwecke Welche Daten verarbeitet werden und warum Je sensibler der Kontext, desto strenger das Design
Eintrittswahrscheinlichkeit Wie wahrscheinlich Fehlzugriffe, Missbrauch oder Lecks sind Kontrollen dort verstärken, wo reale Risiken liegen
Schwere der Risiken Welche Folgen ein Fehler für Betroffene hätte Systeme nicht nur auf Funktion, sondern auf Schadensvermeidung auslegen

Ich lese Artikel 25 deshalb nicht als Kontrollliste, sondern als Entwurfsregel: Wer personenbezogene Daten verarbeitet, muss die Risiken schon vor dem ersten produktiven Klick sichtbar machen und reduzieren. Genau an dieser Stelle wird die saubere Trennung zur datenschutzfreundlichen Voreinstellung wichtig, denn sie entscheidet über die tatsächliche Nutzererfahrung.

Wie sich Privacy by Design und Privacy by Default unterscheiden

Die Begriffe werden oft in einen Topf geworfen, obwohl sie verschiedene Ebenen meinen. Privacy by Design betrifft den Aufbau des Systems selbst. Privacy by Default betrifft den Auslieferungszustand. In der Praxis heißt das: Das System soll nicht nur sicher gebaut sein, sondern auch mit möglichst datensparsamen Standardeinstellungen starten.
Aspekt Privacy by Design Privacy by Default
Frage Wie ist das System grundsätzlich gebaut? Welche Einstellung gilt, wenn niemand etwas ändert?
Fokus Architektur, Datenflüsse, Sicherheitslogik Standardeinstellungen, Sichtbarkeit, Freigaben
Typische Maßnahmen Pseudonymisierung, Verschlüsselung, Zugriffskontrolle, Trennung von Datenbereichen Minimale Pflichtfelder, kurze Speicherfristen, Opt-in statt Opt-out, eingeschränkte Profile
Typischer Fehler Datenschutz nur in Dokumenten, nicht im Code Zu breite Defaults, die der Nutzer erst mühsam zurückdrehen muss
Praxisbeispiel Ein System speichert Personen- und Inhaltsdaten getrennt Ein Profil ist standardmäßig nur für bestätigte Kontakte sichtbar

Die Europäische Kommission nennt als Beispiele unter anderem Pseudonymisierung und Verschlüsselung auf der Design-Seite sowie restriktive Sichtbarkeit und minimale Datennutzung bei den Voreinstellungen. Das ist für mich auch der pragmatischste Zugang: Erst die Architektur sauber machen, dann die Defaults so setzen, dass Nutzer nicht gegen das System arbeiten müssen. Wie das in echter Software konkret aussieht, ist der nächste Schritt.

Datenschutzfolgeabschätzung: Identifizierung, Beschreibung, Risikobewertung, Risikominderung, Konsultation. Ein Prozess für privacy by design gemäß DSGVO.

Wie ich Datenschutz in Softwarearchitektur und Entwicklung umsetze

In Projekten beginne ich immer mit derselben Frage: Welche Daten sind für die Funktion wirklich notwendig, und welche werden nur gesammelt, weil es technisch bequem ist? Genau dort liegt fast immer das größte Einsparpotenzial für Risiko. Der BfDI weist bei Softwareentwicklung und Tests ausdrücklich darauf hin, dass in der Regel keine oder weniger personenbezogene Daten verarbeitet werden sollten als im produktiven Betrieb. Das ist kein Spezialfall, sondern der Normalfall.

Datenflüsse zuerst sichtbar machen

Ein Datenschutzkonzept ist für mich nur dann brauchbar, wenn ich die Datenflüsse lesen kann. Ich will wissen, wo Daten entstehen, wohin sie wandern, wer darauf zugreift und wann sie wieder gelöscht werden. Ohne diese Sicht bleibt jedes schöne Prinzip theoretisch. In der Praxis hilft eine einfache Trennung: Stammdaten, Inhaltsdaten, Protokolldaten und Auswertungsdaten gehören nicht in denselben Topf.

Gerade in Webanwendungen lohnt sich eine harte Prüfung der Pflichtfelder. Viele Formulare fragen mehr ab, als für den Zweck erforderlich ist. Das ist nicht nur aus Sicht der Datensparsamkeit unsauber, sondern erhöht auch den Aufwand für Löschung, Auskunft und Berechtigungsprüfung. Je weniger unnötige Daten ich aufnehme, desto leichter wird der Rest.

Zugriffe und Rollen eng halten

Ein gutes System schützt Daten nicht nur vor externen Angriffen, sondern auch vor internem Überzugriff. Ich arbeite deshalb mit dem Grundsatz der minimalen Rechte: Jede Rolle bekommt nur das, was sie für ihre Aufgabe braucht. Administratoren brauchen andere Rechte als Support, Support andere als Produktteams, und alle zusammen brauchen weniger, als viele Systeme standardmäßig vergeben.

Wichtig ist dabei nicht nur die Vergabe, sondern auch die Kontrolle. Rollenmodelle, Protokollierung, Mehrfaktor-Authentifizierung und regelmäßige Rezertifizierung gehören zusammen. Wenn Zugriffe zwar technisch möglich, aber nie überprüft werden, ist das kein Schutzkonzept, sondern ein Wunschdenken.

Logs, Telemetrie und Analyse nicht zu großzügig bauen

Logs sind nützlich, aber sie sind auch ein klassischer Schwachpunkt. In vielen Systemen landen dort E-Mail-Adressen, Telefonnummern, Token, IP-Bezüge oder sogar komplette Nutzinhalte, weil Debugging und Betrieb zunächst Vorrang haben. Das ist kurzfristig bequem und langfristig problematisch. Ich prüfe deshalb immer, welche Daten ein Log wirklich braucht und wie schnell sie wieder verschwinden.

Bei Analyse- und Telemetriedaten ist die Frage noch schärfer: Muss ich Verhalten auf Personenebene messen, oder reicht eine aggregierte, pseudonymisierte Auswertung? Wenn ich aus Komfortgründen zu viel sammle, verschiebe ich das Risiko nur in eine andere Ecke des Systems. Besser ist ein bewusst begrenztes Messmodell mit klarer Retention und sauberer Trennung von Betriebs- und Analysezwecken.

Testdaten konsequent vom Produktivsystem trennen

Gerade in Entwicklung und Qualitätssicherung passieren viele unnötige Verstöße. Produktivdaten werden kopiert, anonymisiert nur halb verstanden oder in Testumgebungen verwendet, obwohl synthetische Daten ausgereicht hätten. Der BfDI beschreibt dafür eine sinnvolle Prüfreihenfolge: zuerst nicht-personenbezogene Daten prüfen, dann pseudonyme Daten, und erst wenn es wirklich erforderlich ist, personenbezogene Daten in unveränderter Form.

Ich halte diese Reihenfolge für absolut praxisnah. Oft ist das eigentliche Problem nicht die Technik, sondern die Bequemlichkeit im Prozess. Wer Testdaten sauber plant, spart später Nacharbeit, reduziert Freigaberisiken und vermeidet, dass Entwicklung und Datenschutz gegeneinander laufen.

Lesen Sie auch: No-Code - Hype oder Chance? Dein Guide für schnelle Apps

Speicherfristen und Löschung automatisieren

Ein gutes Design endet nicht beim Speichern, sondern erst beim belastbaren Löschen. Dazu gehören Fristen, Löschjobs, Aufbewahrungslogik für Backups, Exportregeln und die Frage, welche Daten wirklich archiviert werden müssen. Wenn ein System das Löschen nur manuell vorsieht, ist es in der Praxis fast immer zu schwach.

Ich plane Löschung deshalb als technischen Standardfall, nicht als Sonderfall. Das klingt unspektakulär, ist aber einer der größten Unterschiede zwischen einem reaktiven und einem reifen Systemdesign. Genau an dieser Stelle entstehen sonst die teuersten Korrekturen.

Wenn diese Punkte früh mitgedacht werden, wird Datenschutz Teil der Architektur und nicht nur ein späterer Compliance-Anhang. Die meisten Fehlschläge entstehen aber nicht bei der Technik selbst, sondern bei typischen Denkfehlern im Projektalltag.

Wo Projekte am häufigsten scheitern

Viele Teams glauben, sie hätten das Thema gelöst, sobald es eine Datenschutzerklärung, ein Cookie-Tool oder ein paar Security-Maßnahmen gibt. Das ist zu kurz gedacht. Ein sichtbarer Hinweis ist nicht dasselbe wie ein datenschutzfreundliches System. Auch eine gute Firewall ersetzt keine saubere Datenarchitektur.

  • Datenschutz wird erst nach dem Produktentscheid geprüft. Dann ist der Umbau teuer und oft nur noch halb sauber.
  • Einwilligung wird als Reparaturwerkzeug benutzt. Das ist praktisch bequem, aber kein Ersatz für ein gutes Design.
  • Produktivdaten wandern ungeprüft in Test- und Staging-Umgebungen. Genau dort entstehen oft ungewollte Offenlegungen.
  • Logging und Analyse sammeln zu viel. Was für Debugging hilfreich ist, kann im Betrieb schnell zum Datenrisiko werden.
  • Defaults sind zu offen eingestellt. Nutzer müssen dann aktiv gegen das System arbeiten, statt geschützt zu starten.
  • Pseudonymisierung wird mit Anonymisierung verwechselt. Das ist ein häufiger Irrtum mit spürbaren Folgen für Risikobewertung und Pflichtenkreis.

Diese Fehler wirken einzeln klein, summieren sich aber schnell zu einem strukturellen Problem. Vor allem entsteht ein falsches Gefühl von Sicherheit, weil die Oberfläche ordentlich aussieht, die Verarbeitung aber im Inneren zu großzügig bleibt. Darum reicht Technik allein selten aus; Organisationsstruktur und Nachweisführung gehören immer dazu.

Wann Technik allein nicht reicht

Datenschutz durch Technikgestaltung ist kein reines Entwicklerthema. Ich sehe es eher als Zusammenspiel aus Produkt, Engineering, Betrieb, Rechtsrahmen und Dokumentation. Wenn diese Ebenen nicht zusammenspielen, kippt die beste technische Lösung im Alltag schnell wieder weg. Besonders wichtig ist das bei Dienstleistern, Cloud-Setups und externen Verarbeitern, weil hier Verantwortung nicht verschwindet, nur weil Infrastruktur ausgelagert wurde.

Ebene Was ich erwarte Warum das entscheidend ist
Produkt und Entwicklung Datenschutzanforderungen früh im Backlog und in der Architektur Damit gute Entscheidungen nicht erst am Ende diskutiert werden
Betrieb Patch-Management, Zugriffskontrolle, Monitoring, Löschprozesse Weil Schutz nur im laufenden Betrieb sichtbar wird
Organisation Rollen, Verantwortlichkeiten, Schulungen, Freigaben Damit niemand auf „hat technisch schon jemand gemacht“ verweist
Dokumentation Nachvollziehbare Entscheidungen und Begründungen Weil Rechenschaftspflicht nicht implizit funktioniert
Bewertung von Risiken Frühe Prüfung, ob eine Datenschutz-Folgenabschätzung nötig ist Bei hohem Risiko muss die Architektur noch konsequenter werden

Aus Projektsicht ist das die unangenehme, aber ehrliche Wahrheit: Datenschutz ist nie nur ein technisches Problem und nie nur ein juristisches. Er funktioniert erst dann zuverlässig, wenn die Verantwortlichkeiten klar sind und Entscheidungen dokumentiert werden. Genau deshalb prüfe ich am Ende lieber einen schlichten, aber belastbaren Realitätscheck als einen großen Stapel hübscher Folien.

Der schnellste Realitätscheck vor dem Go-live

Wenn ich ein neues System vor dem Start bewerte, stelle ich sechs Fragen. Sie sind simpel, aber erstaunlich aussagekräftig:

  1. Welche personenbezogenen Daten sind für den Zweck wirklich zwingend?
  2. Welche Daten sind standardmäßig deaktiviert oder ausgeblendet?
  3. Wer darf welche Daten sehen, exportieren oder ändern?
  4. Welche Protokolle, Backups und Exporte enthalten noch personenbezogene Informationen?
  5. Wie lange bleiben die Daten in Betrieb, im Archiv und in Sicherungen erhalten?
  6. Ist dokumentiert, wie Test, Betrieb und Löschung getrennt behandelt werden?

Wenn ich auf diese Fragen klare Antworten bekomme, ist ein Projekt meist auf einem guten Weg. Wenn die Antworten vage sind, ist das kein Detailproblem, sondern ein Warnsignal für das gesamte Design. Genau dort lohnt sich die Korrektur, bevor aus kleinen Lücken teure Baustellen werden.

Häufig gestellte Fragen

Privacy by Design betrifft die Systemarchitektur und Datenflüsse, während Privacy by Default die datenschutzfreundlichsten Standardeinstellungen meint. Ersteres ist das Fundament, letzteres der Auslieferungszustand.
Er fordert, Datenschutz von Anfang an in die Entwicklung von Systemen und Prozessen zu integrieren. Dies verhindert nachträgliche, teure Korrekturen und stellt sicher, dass personenbezogene Daten risikobasiert geschützt werden.
Logs und Testdaten sind oft Schwachstellen. Es ist entscheidend, nur notwendige Daten zu erfassen, sie zu pseudonymisieren und Testumgebungen konsequent von Produktivdaten zu trennen, um Risiken zu minimieren.
Planen Sie Löschung als technischen Standardfall: Automatisieren Sie Fristen, Löschjobs und Archivierungslogik. Manuelle Löschprozesse sind in der Praxis oft unzureichend und führen zu Compliance-Problemen.
Häufige Fehler sind späte Prüfung, Nutzung von Einwilligungen als Reparaturwerkzeug, zu offene Defaults, ungeprüfte Produktivdaten in Testumgebungen und Verwechslung von Pseudonymisierung mit Anonymisierung.

Artikel bewerten

Durchschnitt: 0.0 / 5 · 0 Bewertungen

Tags

privacy by design dsgvo datenschutz durch technikgestaltung art. 25 dsgvo privacy by design und default unterschied
Autor Alex Eichhorn
Alex Eichhorn
Ich bin Alex Eichhorn und beschäftige mich seit über zehn Jahren intensiv mit den Themen Informatik, Naturwissenschaften und moderne Technologien. In meiner Rolle als Branchenanalyst und erfahrener Content Creator habe ich umfangreiche Kenntnisse in der Analyse von Technologietrends und deren Auswirkungen auf verschiedene Industrien entwickelt. Mein Ziel ist es, komplexe Daten und Zusammenhänge verständlich zu machen, damit Leser fundierte Entscheidungen treffen können. Ich lege großen Wert auf objektive Analysen und gründliche Recherche, um sicherzustellen, dass die Informationen, die ich präsentiere, sowohl aktuell als auch vertrauenswürdig sind. Durch meine Leidenschaft für die Wissenschaft und Technologie strebe ich danach, meinen Lesern einen klaren Einblick in die neuesten Entwicklungen und deren Relevanz für die Gesellschaft zu bieten.

Kommentare (0)

Kommentar hinzufügen