Knowledge Hub
Datenschutz

Privacy by Design gescheitert: Die echten Gründe für DSGVO-Systemversagen

Verfasst von
Max Hortmann
13 Nov 2025
Lesezeit:
Diesen Beitrag teilen

Privacy by Design scheitert: Strukturelle Fehlumsetzungen nach Art. 25 DSGVO und ihre rechtlichen Folgen

I. Einleitung: Privacy by Design als Kernanforderung der modernen Datenverarbeitung

Art. 25 DSGVO verankert das Prinzip „Privacy by Design“ als zentrales Steuerungsinstrument im Datenschutzrecht. Die Vorschrift verpflichtet Verantwortliche, Datenschutz in die Systemarchitektur einzubauen und nicht erst nachträglich zu ergänzen. Ziel ist die technische und organisatorische Vorabgestaltung, die sicherstellt, dass datenschutzrechtliche Pflichten nicht nur erfüllt, sondern systematisch ermöglicht werden.

Die rechtliche Bedeutung dieser Vorschrift wurde durch die Rechtsprechung der Unionsgerichte erheblich gestärkt. Der EuGH hat in C-340/21 darauf hingewiesen, dass Datenschutz nicht reaktiv, sondern präventiv zu gestalten ist. Nationale Gerichte — darunter das OVG Hamburg, das LG Wuppertal und mehrere Finanzgerichte wie das FG Berlin-Brandenburg — betonen, dass technische Fehlkonfigurationen und organisatorische Lücken regelmäßig auf mangelnde Umsetzung von Privacy by Design zurückzuführen sind.

In der Praxis wird Privacy by Design dennoch häufig verfehlt. Unternehmen konzentrieren sich auf punktuelle Anpassungen, statt Datenschutz als strukturgebenden Bestandteil technischer und organisatorischer Prozesse zu verstehen. Der Grund liegt häufig in fehlender Integration des Datenschutzes in die Systemarchitektur, unvollständiger Risikoanalyse oder fehlenden Kontrollmechanismen.

II. Rechtlicher Rahmen: Art. 25 DSGVO und seine dogmatische Einordnung

1. Ziel und Zweck des Art. 25 DSGVO

Art. 25 DSGVO verpflichtet Verantwortliche, geeignete technische und organisatorische Maßnahmen zu treffen, die eine DSGVO-konforme Verarbeitung ermöglichen. Dies betrifft:

  • die technische Systemarchitektur,
  • die Standardkonfigurationen („Privacy by Default“),
  • die Protokollierung,
  • die Zugriffskontrolle,
  • die transparente Darstellung des Datenflusses,
  • die Risikoanpassung.

Die Norm ist eng mit Art. 24 DSGVO (Organisationsverantwortung) und Art. 32 DSGVO (Sicherheit der Verarbeitung) verbunden.

2. Zusammenhang mit Rechenschaftspflicht und Transparenz

Art. 25 DSGVO verlangt Nachweisbarkeit.
Der EuGH (C-340/21) betont:

Verantwortliche müssen zeigen können, dass die Datenschutzprinzipien in die technische Ausgestaltung eingeflossen sind.

Das FG Berlin-Brandenburg stellt klar, dass fehlende Dokumentation der Systemarchitektur als Verstoß gegen die Rechenschaftspflicht einzustufen ist.

3. Verarbeitungsrisiko als Maßstab

Die Maßnahmen müssen dem Risiko entsprechen. Größere, komplexere oder automatisierte Systeme erfordern höhere Anforderungen an Systemdesign, Dokumentation und Kontrolle. Der Verhältnismäßigkeitsgrundsatz wirkt hier risikobasiert.

III. Typische Fehlumsetzungen von Privacy by Design

1. Fehlende Integration in der technischen Architektur

In vielen Unternehmen wird Datenschutz nicht in der Systementwicklung berücksichtigt. Systeme werden produktiv gesetzt, bevor Datenschutzanforderungen eingearbeitet sind.

Dies führt dazu, dass:

  • Datenflüsse nicht nachvollziehbar sind,
  • Protokollierungen fehlen,
  • Risiken nicht bewertet wurden,
  • Updates ohne Datenschutzprüfung erfolgen.

2. Unzureichende Standardkonfigurationen („Privacy by Default“)

Systeme sind häufig so gestaltet, dass:

  • mehr Daten erhoben werden als notwendig,
  • Dateien oder Logs länger gespeichert werden als erforderlich,
  • unnötige Schnittstellen aktiv sind,
  • Nutzerkonten mit weitreichenden Rechten voreingestellt sind.

Diese Abweichungen widersprechen Art. 25 Abs. 2 DSGVO.

3. Mangelnde Protokollierung

Art. 32 DSGVO und die Rechtsprechung fordern Protokollierung.
Ohne Logs können Verantwortliche weder internen Zugriff nachweisen noch Datenflüsse rekonstruieren. Fehlen Logs, wird Privacy by Design regelmäßig verfehlt.

4. Unklare Systemverantwortlichkeiten

Datenschutz wird nicht als integraler Bestandteil der IT verstanden.
Dadurch entstehen folgende Defizite:

  • fehlende Abstimmung zwischen IT, Compliance, Legal und Fachbereichen,
  • unklare Zugriffsrechte,
  • unzureichende Prüfmechanismen bei Systemanpassungen.

5. Fehlende Risikoanalysen

Art. 25 DSGVO verlangt eine kontinuierliche Neubewertung der Verarbeitung.
In der Praxis fehlen:

  • aktuelle Risikoanalysen,
  • Prüfungen bei neuen Verarbeitungen,
  • Anknüpfungspunkte an Datenschutz-Folgenabschätzungen.

6. Technische Fehlkonfigurationen

Das LG Wuppertal und mehrere finanzgerichtliche Entscheidungen betonen, dass technische Fehlkonfigurationen regelmäßig Ausdruck eines Verstoßes gegen Art. 25 DSGVO sind. Beispiele sind:

  • falsch gesetzte Filter,
  • fehlende Redundanzen,
  • unzureichende Mail-Routing-Systeme,
  • fehlende Monitoring-Funktionen.
„Futuristische Darstellung von Datenschutz, Datenfluss und IT-Sicherheitsarchitektur im Kontext der DSGVO und moderner Compliance-Prozesse.“
„Abstrakte digitale Grafik zur DSGVO-Compliance, die moderne Datenverarbeitung, IT-Sicherheit und Datenschutzstrukturen in Unternehmen visualisiert.“

IV. Dogmatische Bewertung: Warum das Scheitern von Privacy by Design rechtswidrig ist

1. Privacy by Design ist kein optionaler Standard

Die Vorschrift ist zwingendes Recht.
Der EuGH betont, dass Datenschutz in die Systeme „eingebaut“ sein muss — nicht durch organisatorische Maßnahmen kompensiert.

2. Fehlende Umsetzung führt zu strukturellen Datenschutzverstößen

Unternehmen, die Privacy by Design nicht umsetzen, verletzen gleichzeitig:

  • Art. 5 DSGVO (Grundprinzipien),
  • Art. 12 DSGVO (Transparenz),
  • Art. 30 DSGVO (Dokumentation),
  • Art. 32 DSGVO (Sicherheit).

3. Fehlende Nachweisbarkeit ist ein eigener Verstoß

Die Rechenschaftspflicht verlangt, dass Verantwortliche die Umsetzung dokumentieren.
Das FG Berlin-Brandenburg bestätigt, dass fehlende Dokumentation allein bereits eine Verletzung der DSGVO darstellt.

4. Fehlende technische Schutzmechanismen führen zu Kontrollverlust

Wird Privacy by Design nicht umgesetzt, kann der Verantwortliche keine konsistenten Aussagen über Datenflüsse, Zugriffe oder Risiken treffen. Dies führt dazu, dass Betroffenenrechte (z. B. Art. 15 oder 17 DSGVO) nicht ordnungsgemäß erfüllt werden können.

V. Folgen für Betroffene

Defizite in Privacy by Design wirken sich auf verschiedene Ebenen aus:

  1. Betroffenenrechte können verzögert oder unvollständig erfüllt werden.
  2. Datenflüsse bleiben intransparent.
  3. Auskünfte nach Art. 15 DSGVO sind häufig unvollständig.
  4. Löschpflichten werden nicht ordnungsgemäß umgesetzt.
  5. Risiken bleiben unerkannt, weil interne Kontrollmechanismen fehlen.

Die Rechtsprechung (z. B. LG Leipzig, LG Bonn, LG Osnabrück, OLG Frankfurt) erkennt an, dass dieser Zustand zu einem immateriellen Schaden im Sinne von Art. 82 DSGVO führen kann, da Betroffene keine Kontrolle über die Verarbeitung ihrer Daten haben.

VI. Folgen für Verantwortliche: Bußgelder, Haftung und strukturelle Mängel

1. Bußgelder nach Art. 83 DSGVO

Verstöße gegen Art. 25 DSGVO werden von Aufsichtsbehörden streng geahndet.
Privacy by Design wird als grundlegender Bestandteil jeder Verarbeitung angesehen.

2. Schadensersatz nach Art. 82 DSGVO

Gerichte erkennen Schadensersatzansprüche an, wenn der Verantwortliche keine funktionierenden technischen Maßnahmen vorweisen kann.
Wichtig ist die ständige Rechtsprechung, die bestätigt, dass Kontrollverlust und mangelnde Transparenz bereits als immaterieller Schaden gelten.

3. Organisationsverschulden (Art. 24 DSGVO)

Ein Verstoß gegen Art. 25 DSGVO ist zugleich ein Verstoß gegen Art. 24 DSGVO.
Das LG Wuppertal stuft mangelnde Strukturen regelmäßig als eigenständigen Datenschutzverstoß ein.

4. Folgefehler

Ein Scheitern von Privacy by Design hat unmittelbare Auswirkungen auf zahlreiche Pflichten:

  • Art. 15: Auskunft unvollständig
  • Art. 17: Löschung nicht möglich
  • Art. 30: Verzeichnis lückenhaft
  • Art. 32: unzureichende Sicherheitsmaßnahmen

VII. Anforderungen an ein wirksames Privacy-by-Design-Konzept

Ein wirksames Konzept muss folgende Elemente beinhalten:

  1. Technische Architekturplanung
    Integration von Datenschutzanforderungen bereits bei der Entwicklung.
  2. Privacy by Default
    Strenge Einschränkung voreingestellter Optionen.
  3. Protokollierung und Monitoring
    Nachvollziehbarkeit aller Zugriffe und Verarbeitungen.
  4. Datenminimierung auf technischer Ebene
    Begrenzung von Feldern, Logs und Speicherfristen.
  5. Systematische Risikoanalysen
    regelmäßige Aktualisierung bei neuen Verarbeitungen.
  6. Interne Richtlinien und Entwicklungsstandards
    klare Anforderungen an IT, Produktteams und Compliance.
  7. Technische Tests und Audits
    regelmäßige Überprüfung der Schutzmechanismen.

Diese Elemente entsprechen den Anforderungen aus Art. 24, Art. 25 und Art. 32 DSGVO sowie der Rechtsprechung der nationalen und europäischen Gerichte.

VIII. Handlungsempfehlungen für Betroffene

Wenn Zweifel an der technischen Umsetzung oder an der Systemarchitektur entstehen, sollten Betroffene:

  • eine detaillierte Auskunft nach Art. 15 DSGVO einholen,
  • die Herkunft und Kategorien der verarbeiteten Daten prüfen,
  • die technischen Schutzmaßnahmen hinterfragen,
  • eine Beschwerde bei der Aufsichtsbehörde erwägen,
  • bei Verdacht eines systemischen Fehlers rechtliche Unterstützung suchen.

Privacy by Design wirkt im Hintergrund der Verarbeitung, aber seine Defizite zeigen sich in der Praxis schnell durch unklare Prozesse, fehlende Transparenz oder unvollständige Auskünfte.

„Futuristische Darstellung von Datenschutz, Datenfluss und IT-Sicherheitsarchitektur im Kontext der DSGVO und moderner Compliance-Prozesse.“
„Abstrakte digitale Grafik zur DSGVO-Compliance, die moderne Datenverarbeitung, IT-Sicherheit und Datenschutzstrukturen in Unternehmen visualisiert.“

IX. Schlussbetrachtung

Art. 25 DSGVO verpflichtet Verantwortliche, Datenschutz nicht als nachgelagertes Compliance-Element zu verstehen, sondern als strukturelle Gestaltungsaufgabe. Viele Unternehmen scheitern an dieser Aufgabe, weil sie Datenschutz nicht in ihre technische Architektur integrieren oder die Risiken ihrer Verarbeitung unterschätzen. Die Rechtsprechung macht deutlich, dass fehlende Umsetzung regelmäßig zu rechtswidrigen Verarbeitungen führt — unabhängig davon, ob ein konkreter Schaden sichtbar wird.

Privacy by Design ist damit nicht nur ein technischer Standard, sondern eine rechtliche Pflicht. Wer sie verfehlt, riskiert erhebliche Sanktionen und strukturelle Folgeschäden.

CTA

Wenn Sie prüfen möchten, ob ein Unternehmen die Anforderungen des Art. 25 DSGVO erfüllt oder ob technische und organisatorische Strukturen unzureichend sind, stehe ich Ihnen für eine vertrauliche und sorgfältige Beratung zur Verfügung.
Telefon: 0160 9955 5525
Kontakt: https://www.hortmannlaw.com/contact

Wenn Sie weitere Hintergrundanalysen zum Datenschutz suchen, finden Sie hier die wichtigsten vertiefenden Beiträge:

  1. DSGVO-Auskunft im Spamfilter
    https://www.hortmannlaw.com/articles/dsgvo-auskunft-spamfilter
  2. Unvollständige Auskünfte nach Art. 15 DSGVO
    https://www.hortmannlaw.com/articles/art15-dsgvo-unvollstaendige-auskunft
  3. Rückfragen als Datenfalle
    https://www.hortmannlaw.com/articles/rueckfrage-datenfalle-dsgvo
  4. Social-Media-Überwachung durch Unternehmen
    https://www.hortmannlaw.com/articles/social-media-ueberwachung-dsgvo
  5. Organisationsfehler nach Art. 24 DSGVO
    https://www.hortmannlaw.com/articles/art24-dsgvo-organisationsfehler
  6. DSGVO-Probleme in Großunternehmen
    https://www.hortmannlaw.com/articles/dsgvo-grossunternehmen-probleme
  7. Zutritts- und Sicherheitsdaten als DSGVO-Risiko
    https://www.hortmannlaw.com/articles/zutrittsdaten-dsgvo-sicherheitsbereiche
  8. E-Mail-Systeme als Schwachstelle der DSGVO-Compliance
    https://www.hortmannlaw.com/articles/email-systeme-dsgvo-risiko
  9. Einwilligung unter Druck – unzulässige Kopplungen
    https://www.hortmannlaw.com/articles/dsgvo-einwilligung-druck
  10. Schadensersatz bei Kontrollverlust nach Art. 82 DSGVO
    https://www.hortmannlaw.com/articles/art82-dsgvo-kontrollverlust
  11. Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO
    https://www.hortmannlaw.com/articles/rechenschaftspflicht-dsgvo
  12. Kameraüberwachung im Garten – Datenschutz unter Nachbarn
    https://www.hortmannlaw.com/articles/kamerauberwachung-im-garten---datenschutz-unter-nachbarn
  13. Privatsphäre-Schutz für Hochvermögende
    https://www.hortmannlaw.com/articles/privatsphaere-schutz-hochvermoegende
  14. Art. 9 DSGVO & digitale Intimsphäre
    https://www.hortmannlaw.com/articles/datenschutz-intimsphaere-art9-dsgvo-digitale-sexarbeit
  15. DeFi, Krypto-Betrug & Datenschutz
    https://www.hortmannlaw.com/articles/defi-compliance-datenschutz-krypto-betrug-anwalt
  16. Crypto.com & DSGVO-Pflichten
    https://www.hortmannlaw.com/articles/dsgvo-crypto-com-pflichten-krypto-betrug
  17. Datenlecks im Krypto-Betrug
    https://www.hortmannlaw.com/articles/datenlecks-krypto-betrug
  18. Verfahrens- & Systemdaten im Netz
    https://www.hortmannlaw.com/articles/gesundheits-verfahrensdaten-im-netz
  19. Love Scam & Datenmissbrauch
    https://www.hortmannlaw.com/articles/love-scam-datenmissbrauch-opfer-anwalt
  20. Datenschutzpflichten von Krypto-Plattformen
    https://www.hortmannlaw.com/articles/die-rolle-von-krypto-plattformen-im-zusammenhang-mit-der-DSGVO
  21. KI, Datenschutz & Strafrecht – Verantwortungsmatrix
    https://www.hortmannlaw.com/articles/ki-haftung-datenschutz-und-strafrecht-die-neue-verantwortungsmatrix
  22. Was eine Datenschutzverletzung wirklich kostet
    https://www.hortmannlaw.com/articles/was-kostet-eigentlich-eine-datenschutzverletzung

Max Hortmann
Rechtsanwalt
,
Hortmann Law

Suchen Sie dringend diskrete, juristische Unterstüzung?

Wir helfen Ihnen gerne persönlich weiter – schildern Sie uns Ihr Anliegen und wir finden gemeinsam eine Lösung.

Kontakt aufnehmen
Verwandte Artikel

Das könnte Sie auch interessieren

Entdecken Sie weitere Beiträge zu aktuellen Themen rund um Digitalrecht, Cybercrime, Datenschutz, KI und Steuerrecht. Unsere verwandten Artikel geben Ihnen zusätzliche Einblicke und vertiefende Analysen.

Datenschutz
11/13/2025
November 13, 2025

Wenn Unternehmen Betroffene verantwortlich machen: Rechenschaftspflicht erklärt

Viele Verantwortliche schieben Betroffenen ihre eigenen Fehler zu – ein klarer Verstoß gegen Art. 5 Abs. 2 DSGVO.

Artikel lesen
Datenschutz

Schadensersatz nach Art. 82 DSGVO: Kontrollverlust als immaterieller Schaden

Moderne Rechtsprechung: Wann Kontrollverlust genügt, warum keine „Bagatelle“ nötig ist, und wie Betroffene Ansprüche sichern.

Artikel lesen
Datenschutz
11/13/2025
November 13, 2025

DSGVO-Einwilligung unter Druck: Unzulässige Kopplungen erkennen

Unternehmen setzen Betroffene oft unter faktischen Druck. Dieser Beitrag zeigt, wann eine Einwilligung nicht freiwillig ist.

Artikel lesen
Mehr anzeigen