gesetze/dsgvo/ch04/ch04-art25.md

Artikel 25 - Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
--------------------------------------------------------------------------------------------------

1.  Unter Berücksichtigung des Stands der Technik, der
    Implementierungskosten und der Art, des Umfangs, der Umstände und
    der Zwecke der Verarbeitung sowie der unterschiedlichen
    Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung
    verbundenen Risiken für die Rechte und Freiheiten natürlicher
    Personen trifft der Verantwortliche sowohl zum Zeitpunkt der
    Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt
    der eigentlichen Verarbeitung geeignete technische und
    organisatorische Maßnahmen — wie z. B. Pseudonymisierung — trifft,
    die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa
    Datenminimierung wirksam umzusetzen und die notwendigen Garantien in
    die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung
    zu genügen und die Rechte der betroffenen Personen zu schützen.

2.  Der Verantwortliche trifft geeignete technische und organisatorische
    Maßnahmen, die sicherstellen, dass durch Voreinstellung
    grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den
    jeweiligen bestimmten Verarbeitungszweck erforderlich ist,
    verarbeitet werden. Diese Verpflichtung gilt für die Menge der
    erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung,
    ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen
    insbesondere sicherstellen, dass personenbezogene Daten durch
    Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten
    Zahl von natürlichen Personen zugänglich gemacht werden.

3.  Ein genehmigtes Zertifizierungsverfahren gemäß Artikel 42 kann als
    Faktor herangezogen werden, um die Erfüllung der in den Absätzen 1
    und 2 des vorliegenden Artikels genannten
    Anforderungen nachzuweisen.