Artikel 25

Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

  • (1)   Unter BerĂŒcksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der UmstĂ€nde und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken fĂŒr die Rechte und Freiheiten natĂŒrlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel fĂŒr die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen — wie z. B. Pseudonymisierung — trifft, die dafĂŒr ausgelegt sind, die DatenschutzgrundsĂ€tze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genĂŒgen und die Rechte der betroffenen Personen zu schĂŒtzen.
  • (2)   Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsĂ€tzlich nur personenbezogene Daten, deren Verarbeitung fĂŒr den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt fĂŒr die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre ZugĂ€nglichkeit. Solche Maßnahmen mĂŒssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natĂŒrlichen Personen zugĂ€nglich gemacht werden.
  • (3)   Ein genehmigtes Zertifizierungsverfahren gemĂ€ĂŸ Artikel 42 kann als Faktor herangezogen werden, um die ErfĂŒllung der in den AbsĂ€tzen 1 und 2 des vorliegenden Artikels genannten Anforderungen nachzuweisen.