31.12.2025

Unser DuD-Aufsatz erschien am 31. Dezember 2025: „Privacy by Design – Reformbedarf und Weiterentwicklung“

Titelbild: DuD Heft 12/2025, Privacy by Design

Zum Jahresende konnten wir eine Publikation verzeichnen: In der DuD, Datenschutz und Datensicherheit (Springer Nature), Heft 12/2025, S. 800–805, ist am 31. Dezember 2025 unser Beitrag „Privacy by Design – Reformbedarf und Weiterentwicklung“ von Prof. Dr. Ulrich M. Gassner, Mag. rer. publ., M. Jur. (Oxon.), Prof. Dr. Daniel J. Veit und Julia T. Fuchs erschienen.

Unsere Ausführungen finden Sie unter folgendem Link: https://rdcu.be/eWUwo

Worum geht es im Beitrag?

Art. 25 Abs. 1 DSGVO statuiert eine präventive Verpflichtung zum Datenschutz durch Technikgestaltung (Privacy by Design / Data Protection by Design). Der Aufsatz zeigt jedoch, dass die Norm trotz ihrer immensen praktischen Bedeutung in mehrfacher Hinsicht unbestimmt bleibt, mit der Folge erheblicher Rechtsunsicherheit in der Umsetzung und einer bislang nur begrenzt ausgeprägten technischen Operationalisierung.

Zentrale Stellschrauben und de-lege-ferenda-Ansätze

Im Beitrag werden fünf Defizitlinien herausgearbeitet und zielgerichtete Fortentwicklungen skizziert, unter anderem:

  • Unbestimmtheit des Stands der Technik: Bedarf eines Mittelmaßes an Begriffskonkretisierung zwischen übermäßiger Flexibilität und einem zu starren Technologiebegriff um Orientierung zu schaffen, ohne Innovationsfähigkeit zu beschneiden.
  • Fehlende Dokumentationspflicht zur Technikgestaltung: Einführung einer Technikgestaltungs-Dokumentationspflicht, etwa über ein Technikgestaltungs-Register/Design-Dossier (angelehnt an Art. 30 DSGVO), um Auswahl- und Implementierungsentscheidungen nachvollziehbar, prüffähig und auditierbar zu machen.
  • Fehlende normative Verankerung von Privacy Engineering: Weg von rein ergebnisbezogenen Zielvorgaben, hin zu einem verbindlichen, risikoadjustierten Privacy-Engineering-Programm als methodischem Pflichtbestandteil des Technikgestaltungsprozesses.
  • Risikoansatz ohne methodische Vorgaben: Stärkere methodische Spezifizierung der risikobasierten Technikgestaltung, sinnvoll verzahnt mit der Datenschutz-Folgenabschätzung nach Art. 35 DSGVO.
  • Keine abgestuften Pflichten für KMU: Ergänzung um eine gesetzlich normierte Abstufung nach Unternehmensgröße und Risikoprofil, ohne das Schutzniveau generell abzusenken.

Impulse aus DMA, DSA und KI-VO

Ein Schwerpunkt des Aufsatzes ist die Frage, ob und inwieweit DSA, DMA und die KI-VO (trotz primär sektor- und technikspezifischer Zielsetzungen) Regelungsinstrumente enthalten, die datenschutzrechtlich anschlussfähig sind und eine methodische und strukturelle Weiterentwicklung des Art. 25 Abs. 1 DSGVO anstoßen können.

Dabei werden vier Impulsrichtungen herausgestellt:

  • Dokumentationspflichten für Technikumsetzung: DSA und KI-VO etablieren ausdrückliche Dokumentationsanforderungen für technologische Risikobewertungen und Design-/Datenpraxis als Vorbild für eine Pflicht zur technischen Begründung gewählter Privacy-by-Design-Schutzmaßnahmen.
  • Risikoanalyse als Prozesslogik: Während der DSA keine Bewertungsmethodik vorgibt, normiert die KI-VO ein stufenweises, kontinuierliches Risikomanagement und betont die Rolle von Standards/Normung – ein Impuls, Privacy by Design vom bloßen Programmsatz zum gelebten Prozessmodell weiterzuentwickeln.
  • Strukturierte Differenzierung: DSA/DMA arbeiten mit Pflichtenarchitekturen für große Plattformen/Gatekeeper; die KI-VO greift Unternehmensgröße über KMU-Privilegierungen auf. Daraus lässt sich eine risikoadjustierte und größenabhängige Regelungssystematik für Art. 25 DSGVO ableiten.
  • Techniknahe Datenschutzverankerung / Privacy Engineering: Die KI-VO erkennt das Konzept der techniknahen Datenschutzverankerung ausdrücklich an und setzt Signale zur Spezifizierung technikbezogener Datenschutzmethodik, an die auch für Art. 25 DSGVO angeknüpft werden kann.

Wichtig dabei: Diese Rechtsakte adressieren Defizite von Art. 25 DSGVO nur punktuell und in ihren jeweiligen Anwendungsbereichen. Zugleich können sie jedoch als Blaupause dienen und den Bedarf belegen, technologische, methodische und differenzierende Regulierungsansätze stärker im Kerndatenschutzrecht zu integrieren.

Warum das für PriBizz wichtig ist

Der Aufsatz bildet die wissenschaftliche Vertiefung dessen, was wir im Projekt PriBizz praktisch verfolgen: Privacy by Design so zu konkretisieren und zu operationalisieren, dass es im Entwicklungs- und Organisationsalltag verlässlich umsetzbar wird: einschließlich prüffähiger Dokumentation, Engineering-Methodik und risikoadjustierter Maßstäbe.

Ausblick

Wir nehmen diese Veröffentlichung zum Anlass, die Kerngedanken des Beitrags in PriBizz weiter in praxisnahe Leitlinien zu übersetzen bzw. bestehende Leitlinien gezielt weiterzuentwickeln und den Dialog mit Community, Forschung und Praxis fortzusetzen.