Privacy by Design scheitert: Strukturelle Fehlumsetzungen nach Art. 25 DSGVO und ihre rechtlichen Folgen

I. Einleitung: Privacy by Design als Kernanforderung der modernen Datenverarbeitung

Art. 25 DSGVO verankert das Prinzip „Privacy by Design“ als zentrales Steuerungsinstrument im Datenschutzrecht. Die Vorschrift verpflichtet Verantwortliche, Datenschutz in die Systemarchitektur einzubauen und nicht erst nachträglich zu ergänzen. Ziel ist die technische und organisatorische Vorabgestaltung, die sicherstellt, dass datenschutzrechtliche Pflichten nicht nur erfüllt, sondern systematisch ermöglicht werden.

Die rechtliche Bedeutung dieser Vorschrift wurde durch die Rechtsprechung der Unionsgerichte erheblich gestärkt. Der EuGH hat in C-340/21 darauf hingewiesen, dass Datenschutz nicht reaktiv, sondern präventiv zu gestalten ist. Nationale Gerichte — darunter das OVG Hamburg, das LG Wuppertal und mehrere Finanzgerichte wie das FG Berlin-Brandenburg — betonen, dass technische Fehlkonfigurationen und organisatorische Lücken regelmäßig auf mangelnde Umsetzung von Privacy by Design zurückzuführen sind.

In der Praxis wird Privacy by Design dennoch häufig verfehlt. Unternehmen konzentrieren sich auf punktuelle Anpassungen, statt Datenschutz als strukturgebenden Bestandteil technischer und organisatorischer Prozesse zu verstehen. Der Grund liegt häufig in fehlender Integration des Datenschutzes in die Systemarchitektur, unvollständiger Risikoanalyse oder fehlenden Kontrollmechanismen.

II. Rechtlicher Rahmen: Art. 25 DSGVO und seine dogmatische Einordnung

1. Ziel und Zweck des Art. 25 DSGVO

Art. 25 DSGVO verpflichtet Verantwortliche, geeignete technische und organisatorische Maßnahmen zu treffen, die eine DSGVO-konforme Verarbeitung ermöglichen. Dies betrifft:

• die technische Systemarchitektur,
• die Standardkonfigurationen („Privacy by Default“),
• die Protokollierung,
• die Zugriffskontrolle,
• die transparente Darstellung des Datenflusses,
• die Risikoanpassung.

Die Norm ist eng mit Art. 24 DSGVO (Organisationsverantwortung) und Art. 32 DSGVO (Sicherheit der Verarbeitung) verbunden.

2. Zusammenhang mit Rechenschaftspflicht und Transparenz

Art. 25 DSGVO verlangt Nachweisbarkeit.
Der EuGH (C-340/21) betont:

Verantwortliche müssen zeigen können, dass die Datenschutzprinzipien in die technische Ausgestaltung eingeflossen sind.

Das FG Berlin-Brandenburg stellt klar, dass fehlende Dokumentation der Systemarchitektur als Verstoß gegen die Rechenschaftspflicht einzustufen ist.

3. Verarbeitungsrisiko als Maßstab

Die Maßnahmen müssen dem Risiko entsprechen. Größere, komplexere oder automatisierte Systeme erfordern höhere Anforderungen an Systemdesign, Dokumentation und Kontrolle. Der Verhältnismäßigkeitsgrundsatz wirkt hier risikobasiert.

III. Typische Fehlumsetzungen von Privacy by Design

1. Fehlende Integration in der technischen Architektur

In vielen Unternehmen wird Datenschutz nicht in der Systementwicklung berücksichtigt. Systeme werden produktiv gesetzt, bevor Datenschutzanforderungen eingearbeitet sind.

Dies führt dazu, dass:

• Datenflüsse nicht nachvollziehbar sind,
• Protokollierungen fehlen,
• Risiken nicht bewertet wurden,
• Updates ohne Datenschutzprüfung erfolgen.

2. Unzureichende Standardkonfigurationen („Privacy by Default“)

Systeme sind häufig so gestaltet, dass:

• mehr Daten erhoben werden als notwendig,
• Dateien oder Logs länger gespeichert werden als erforderlich,
• unnötige Schnittstellen aktiv sind,
• Nutzerkonten mit weitreichenden Rechten voreingestellt sind.

Diese Abweichungen widersprechen Art. 25 Abs. 2 DSGVO.

3. Mangelnde Protokollierung

Art. 32 DSGVO und die Rechtsprechung fordern Protokollierung.
Ohne Logs können Verantwortliche weder internen Zugriff nachweisen noch Datenflüsse rekonstruieren. Fehlen Logs, wird Privacy by Design regelmäßig verfehlt.

4. Unklare Systemverantwortlichkeiten

Datenschutz wird nicht als integraler Bestandteil der IT verstanden.
Dadurch entstehen folgende Defizite:

• fehlende Abstimmung zwischen IT, Compliance, Legal und Fachbereichen,
• unklare Zugriffsrechte,
• unzureichende Prüfmechanismen bei Systemanpassungen.

5. Fehlende Risikoanalysen

Art. 25 DSGVO verlangt eine kontinuierliche Neubewertung der Verarbeitung.
In der Praxis fehlen:

• aktuelle Risikoanalysen,
• Prüfungen bei neuen Verarbeitungen,
• Anknüpfungspunkte an Datenschutz-Folgenabschätzungen.

6. Technische Fehlkonfigurationen

Das LG Wuppertal und mehrere finanzgerichtliche Entscheidungen betonen, dass technische Fehlkonfigurationen regelmäßig Ausdruck eines Verstoßes gegen Art. 25 DSGVO sind. Beispiele sind:

• falsch gesetzte Filter,
• fehlende Redundanzen,
• unzureichende Mail-Routing-Systeme,
• fehlende Monitoring-Funktionen.

IV. Dogmatische Bewertung: Warum das Scheitern von Privacy by Design rechtswidrig ist

1. Privacy by Design ist kein optionaler Standard

Die Vorschrift ist zwingendes Recht.
Der EuGH betont, dass Datenschutz in die Systeme „eingebaut“ sein muss — nicht durch organisatorische Maßnahmen kompensiert.

2. Fehlende Umsetzung führt zu strukturellen Datenschutzverstößen

Unternehmen, die Privacy by Design nicht umsetzen, verletzen gleichzeitig:

• Art. 5 DSGVO (Grundprinzipien),
• Art. 12 DSGVO (Transparenz),
• Art. 30 DSGVO (Dokumentation),
• Art. 32 DSGVO (Sicherheit).

3. Fehlende Nachweisbarkeit ist ein eigener Verstoß

Die Rechenschaftspflicht verlangt, dass Verantwortliche die Umsetzung dokumentieren.
Das FG Berlin-Brandenburg bestätigt, dass fehlende Dokumentation allein bereits eine Verletzung der DSGVO darstellt.

4. Fehlende technische Schutzmechanismen führen zu Kontrollverlust

Wird Privacy by Design nicht umgesetzt, kann der Verantwortliche keine konsistenten Aussagen über Datenflüsse, Zugriffe oder Risiken treffen. Dies führt dazu, dass Betroffenenrechte (z. B. Art. 15 oder 17 DSGVO) nicht ordnungsgemäß erfüllt werden können.

V. Folgen für Betroffene

Defizite in Privacy by Design wirken sich auf verschiedene Ebenen aus:

1. Betroffenenrechte können verzögert oder unvollständig erfüllt werden.
2. Datenflüsse bleiben intransparent.
3. Auskünfte nach Art. 15 DSGVO sind häufig unvollständig.
4. Löschpflichten werden nicht ordnungsgemäß umgesetzt.
5. Risiken bleiben unerkannt, weil interne Kontrollmechanismen fehlen.

Die Rechtsprechung (z. B. LG Leipzig, LG Bonn, LG Osnabrück, OLG Frankfurt) erkennt an, dass dieser Zustand zu einem immateriellen Schaden im Sinne von Art. 82 DSGVO führen kann, da Betroffene keine Kontrolle über die Verarbeitung ihrer Daten haben.

VI. Folgen für Verantwortliche: Bußgelder, Haftung und strukturelle Mängel

1. Bußgelder nach Art. 83 DSGVO

Verstöße gegen Art. 25 DSGVO werden von Aufsichtsbehörden streng geahndet.
Privacy by Design wird als grundlegender Bestandteil jeder Verarbeitung angesehen.

2. Schadensersatz nach Art. 82 DSGVO

Gerichte erkennen Schadensersatzansprüche an, wenn der Verantwortliche keine funktionierenden technischen Maßnahmen vorweisen kann.
Wichtig ist die ständige Rechtsprechung, die bestätigt, dass Kontrollverlust und mangelnde Transparenz bereits als immaterieller Schaden gelten.

3. Organisationsverschulden (Art. 24 DSGVO)

Ein Verstoß gegen Art. 25 DSGVO ist zugleich ein Verstoß gegen Art. 24 DSGVO.
Das LG Wuppertal stuft mangelnde Strukturen regelmäßig als eigenständigen Datenschutzverstoß ein.

4. Folgefehler

Ein Scheitern von Privacy by Design hat unmittelbare Auswirkungen auf zahlreiche Pflichten:

• Art. 15: Auskunft unvollständig
• Art. 17: Löschung nicht möglich
• Art. 30: Verzeichnis lückenhaft
• Art. 32: unzureichende Sicherheitsmaßnahmen

VII. Anforderungen an ein wirksames Privacy-by-Design-Konzept

Ein wirksames Konzept muss folgende Elemente beinhalten:

1. Technische Architekturplanung
   Integration von Datenschutzanforderungen bereits bei der Entwicklung.
2. Privacy by Default
   Strenge Einschränkung voreingestellter Optionen.
3. Protokollierung und Monitoring
   Nachvollziehbarkeit aller Zugriffe und Verarbeitungen.
4. Datenminimierung auf technischer Ebene
   Begrenzung von Feldern, Logs und Speicherfristen.
5. Systematische Risikoanalysen
   regelmäßige Aktualisierung bei neuen Verarbeitungen.
6. Interne Richtlinien und Entwicklungsstandards
   klare Anforderungen an IT, Produktteams und Compliance.
7. Technische Tests und Audits
   regelmäßige Überprüfung der Schutzmechanismen.

Diese Elemente entsprechen den Anforderungen aus Art. 24, Art. 25 und Art. 32 DSGVO sowie der Rechtsprechung der nationalen und europäischen Gerichte.

VIII. Handlungsempfehlungen für Betroffene

Wenn Zweifel an der technischen Umsetzung oder an der Systemarchitektur entstehen, sollten Betroffene:

• eine detaillierte Auskunft nach Art. 15 DSGVO einholen,
• die Herkunft und Kategorien der verarbeiteten Daten prüfen,
• die technischen Schutzmaßnahmen hinterfragen,
• eine Beschwerde bei der Aufsichtsbehörde erwägen,
• bei Verdacht eines systemischen Fehlers rechtliche Unterstützung suchen.

Privacy by Design wirkt im Hintergrund der Verarbeitung, aber seine Defizite zeigen sich in der Praxis schnell durch unklare Prozesse, fehlende Transparenz oder unvollständige Auskünfte.

IX. Schlussbetrachtung

Art. 25 DSGVO verpflichtet Verantwortliche, Datenschutz nicht als nachgelagertes Compliance-Element zu verstehen, sondern als strukturelle Gestaltungsaufgabe. Viele Unternehmen scheitern an dieser Aufgabe, weil sie Datenschutz nicht in ihre technische Architektur integrieren oder die Risiken ihrer Verarbeitung unterschätzen. Die Rechtsprechung macht deutlich, dass fehlende Umsetzung regelmäßig zu rechtswidrigen Verarbeitungen führt — unabhängig davon, ob ein konkreter Schaden sichtbar wird.

Privacy by Design ist damit nicht nur ein technischer Standard, sondern eine rechtliche Pflicht. Wer sie verfehlt, riskiert erhebliche Sanktionen und strukturelle Folgeschäden.

CTA

Wenn Sie prüfen möchten, ob ein Unternehmen die Anforderungen des Art. 25 DSGVO erfüllt oder ob technische und organisatorische Strukturen unzureichend sind, stehe ich Ihnen für eine vertrauliche und sorgfältige Beratung zur Verfügung.
Telefon: 0160 9955 5525
Kontakt: https://www.hortmannlaw.com/contact

‍

Wenn Sie weitere Hintergrundanalysen zum Datenschutz suchen, finden Sie hier die wichtigsten vertiefenden Beiträge:

1. DSGVO-Auskunft im Spamfilter
   ​https://www.hortmannlaw.com/articles/dsgvo-auskunft-spamfilter
2. Unvollständige Auskünfte nach Art. 15 DSGVO
   ​https://www.hortmannlaw.com/articles/art15-dsgvo-unvollstaendige-auskunft
3. Rückfragen als Datenfalle
   ​https://www.hortmannlaw.com/articles/rueckfrage-datenfalle-dsgvo
4. Social-Media-Überwachung durch Unternehmen
   ​https://www.hortmannlaw.com/articles/social-media-ueberwachung-dsgvo
5. Organisationsfehler nach Art. 24 DSGVO
   ​https://www.hortmannlaw.com/articles/art24-dsgvo-organisationsfehler
6. DSGVO-Probleme in Großunternehmen
   ​https://www.hortmannlaw.com/articles/dsgvo-grossunternehmen-probleme
7. Zutritts- und Sicherheitsdaten als DSGVO-Risiko
   ​https://www.hortmannlaw.com/articles/zutrittsdaten-dsgvo-sicherheitsbereiche
8. E-Mail-Systeme als Schwachstelle der DSGVO-Compliance
   ​https://www.hortmannlaw.com/articles/email-systeme-dsgvo-risiko
9. Einwilligung unter Druck – unzulässige Kopplungen
   ​https://www.hortmannlaw.com/articles/dsgvo-einwilligung-druck
10. Schadensersatz bei Kontrollverlust nach Art. 82 DSGVO
    ​https://www.hortmannlaw.com/articles/art82-dsgvo-kontrollverlust
11. Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO
    ​https://www.hortmannlaw.com/articles/rechenschaftspflicht-dsgvo
12. Kameraüberwachung im Garten – Datenschutz unter Nachbarn
    ​https://www.hortmannlaw.com/articles/kamerauberwachung-im-garten---datenschutz-unter-nachbarn
13. Privatsphäre-Schutz für Hochvermögende
    ​https://www.hortmannlaw.com/articles/privatsphaere-schutz-hochvermoegende
14. Art. 9 DSGVO & digitale Intimsphäre
    ​https://www.hortmannlaw.com/articles/datenschutz-intimsphaere-art9-dsgvo-digitale-sexarbeit
15. DeFi, Krypto-Betrug & Datenschutz
    ​https://www.hortmannlaw.com/articles/defi-compliance-datenschutz-krypto-betrug-anwalt
16. Crypto.com & DSGVO-Pflichten
    ​https://www.hortmannlaw.com/articles/dsgvo-crypto-com-pflichten-krypto-betrug
17. Datenlecks im Krypto-Betrug
    ​https://www.hortmannlaw.com/articles/datenlecks-krypto-betrug
18. Verfahrens- & Systemdaten im Netz
    ​https://www.hortmannlaw.com/articles/gesundheits-verfahrensdaten-im-netz
19. Love Scam & Datenmissbrauch
    ​https://www.hortmannlaw.com/articles/love-scam-datenmissbrauch-opfer-anwalt
20. Datenschutzpflichten von Krypto-Plattformen
    ​https://www.hortmannlaw.com/articles/die-rolle-von-krypto-plattformen-im-zusammenhang-mit-der-DSGVO
21. KI, Datenschutz & Strafrecht – Verantwortungsmatrix
    ​https://www.hortmannlaw.com/articles/ki-haftung-datenschutz-und-strafrecht-die-neue-verantwortungsmatrix
22. Was eine Datenschutzverletzung wirklich kostet
    ​https://www.hortmannlaw.com/articles/was-kostet-eigentlich-eine-datenschutzverletzung

‍