Überblick und Hauptpflicht für Verantwortlichen
Home » DSGVO » Wichtigste Konzepte » Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen » Analyse von Artikel 25. Datenschutz durch Technikgestaltung » Überblick und Hauptpflicht für Verantwortlichen

Art. 25 DSGVO umfasst Folgendes:

Art. 25 Absatz 1:

Unter Berücksichtigung [..] trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen […], die darauf ausgelegt sind, die Datenschutzgrundsätze […] wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen […].

Die Hauptpflicht der Verantwortlichen gemäß Art. 25 Absatz 1 DSGVO lautet daher, dass sie „geeignete technische und organisatorische Maßnahmen […..] treffen, die der Umsetzung der Datenschutzgrundsätze dienen“ (siehe Abschnitt „Wichtigste Grundsätze“ im allgemeinen Teil dieser Leitlinien).

In der gesamten Datenschutz-Grundverordnung[1] wird die Umsetzung technischer und organisatorischer Maßnahmen als Mittel zur Einhaltung der Datenschutzgrundsätze genannt.Dies bedeutet, dass alles, was ein Verantwortlicher zur Unterstützung der Datenschutzgrundsätze unternimmt, als Maßnahme zu betrachten ist.Folglich muss der Begriff der Maßnahme in einem sehr weiten Sinne verstanden werden.Das bedeutet, dass er nicht auf physische Artefakte (wie Firewalls) oder spezifische Maßnahmen (wie die Schulung von Mitarbeitern) beschränkt ist.Vielmehr muss er auch alle Überlegungen und Entscheidungen umfassen, die notwendig sind, um die Mittel der Verarbeitung in einer Weise festzulegen, die mit den Grundsätzen und Pflichten des Datenschutzes vereinbar ist.

Art. 25 Absatz 1DSGVO besagt auch, dass diese Maßnahmen „wirksame“umgesetzt werden müssen.Die Wirksamkeit wird daher im Folgenden analysiert.

Außerdem besagt Art. 25 Absatz 1 fest, dass die Maßnahmen durchgeführt werden,um die notwendigen Garantien in die Verarbeitung aufzunehmen“.Mit anderen Worten: Die Durchführung von Maßnahmen ist der Weg zur Erreichung des Ziels, die notwendigen Garantien in die Verarbeitung aufzunehmen.Grammatikalisch wird diese Auslegung noch deutlicher, wenn man die englische Fassung„to integrate“ in die vollständige Form „in ordert to integrate“ erweitert.Das „to“ schließt die Interpretation aus, dass neben der Durchführung von Maßnahmen auch die Aufnahme von Garantien erforderlich ist.

Das Wesentliche an Art. 25 Absatz 1 liegt in der Formulierung „sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung“.Dies bedeutet, dass die Durchführung der Maßnahmen in zwei verschiedenen Zeiträumen erfolgen muss.Es impliziert also ein Phasenmodell für eine Verarbeitungstätigkeit.Dies ist mit dem Verständnis des „Datenschutzes durch Technikgestaltung“ vereinbar, bei dem der Datenschutz in jeder Phase einer Verarbeitungstätigkeit berücksichtigt wird.Die rechtliche Auslegung der in Artikel 25 Absatz 1 angesprochenen Phasen der Verarbeitung wird im folgenden Unterabschnitt dargelegt.

 

Quellenangaben

1Dazu gehören unter anderem Art. 24, 25 und 32 DSGVO.

Skip to content