Data protection by design and by default
Nach Art. 23 Abs. 1 soll der für die Verarbeitung Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel der Datenverarbeitung als auch während der Datenverarbeitung selbst angemessene technische und organisatorische Maßnahmen umsetzen. Dabei hat er unter anderem folgende Aspekte zu beachten: den Stand der Technik; die Kosten der Umsetzung; die Natur, Reichweite und Zwecke der Datenverarbeitung; die Risiken der Datenverarbeitung für die Rechte und Freiheiten der Betroffenen.
Zu den angemessenen Maßnahmen zählt das Gesetz unter anderem die Pseudonymisierung. Zudem sollen solche Maßnahmen umgesetzt werden, die der Verwirklichung von Datenschutzprinzipien, wie etwa Datenminimierung bzw. -sparsamkeit dienen. Sinn und Zweck dieser Maßnahmen soll nach dem Gesetz sein, die Voraussetzungen der DS-GVO selbst zu erfüllen und die Rechte der Betroffenen zu schützen.
Im Endeffekt dient also das Prinzip „Data protection by design and by default“ nichts anderen, als der Rechtmäßigkeit der Datenverarbeitung. Diese Rechtmäßigkeit muss aber ohnehin hergestellt sein. Ein besonderer, darüber hinausgehende Nutzen bzw. Sinn wird in der Vorschrift nicht genannt.
Zudem soll der für die Verarbeitung Verantwortliche angemessene technische und organisatorische Maßnahmen umsetzen, die per Voreinstellung (by default) dafür sorgen, dass nur jene personenbezogene Daten verarbeitet werden, die für den konkreten Zweck erforderlich sind. Diese Voreinstellung soll sich auf den Umfang der Daten, den Umfang der Datenverarbeitung selbst, die Dauer ihrer Speicherung und den Zugang zu ihnen beziehen. Auch diese Vorgabe ist kein besonderes „Plus“ an Datenschutz, sondern findet sich in dem altbekannten Prinzip des Erforderlichkeitsgrundsatzes.
Diese Maßnahmen sollen zudem sicherstellen, dass personenbezogenen Daten nicht standardmäßig ohne einen „Eingriff“ bzw. „Intervention“ des Betroffenen einer unbestimmten Anzahl von Personen zugänglich gemacht werden. Interessant ist insoweit die Verwendung des Begriffs „Eingriff“. Eine Einwilligung der betroffenen Person ist ausweislich des Wortlauts nicht erforderlich.