Mehr
Navigation
KAPITEL I Allgemeine Bestimmungen (1-4)
Artikel 1. Gegenstand und ZieleArtikel 2. Sachlicher AnwendungsbereichArtikel 3. Räumlicher AnwendungsbereichArtikel 4. Begriffsbestimmungen
KAPITEL II Grundsätze (5-11)
Artikel 5. Grundsätze für die Verarbeitung personenbezogener DatenArtikel 6. Rechtmäßigkeit der VerarbeitungArtikel 7. Bedingungen für die EinwilligungArtikel 8. Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der InformationsgesellschaftArtikel 9. Verarbeitung besonderer Kategorien personenbezogener DatenArtikel 10. Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und StraftatenArtikel 11. Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist
KAPITEL III Rechte der betroffenen Person (12-23)
Artikel 12. Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen PersonArtikel 13. Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen PersonArtikel 14. Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurdenArtikel 15. Auskunftsrecht der betroffenen PersonArtikel 16. Recht auf BerichtigungArtikel 17. Recht auf Löschung („Recht auf Vergessenwerden“)Artikel 18. Recht auf Einschränkung der VerarbeitungArtikel 19. Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der VerarbeitungArtikel 20. Recht auf DatenübertragbarkeitArtikel 21. WiderspruchsrechtArtikel 22. Automatisierte Entscheidungen im Einzelfall einschließlich ProfilingArtikel 23. Beschränkungen
KAPITEL IV Verantwortlicher und Auftragsverarbeiter (24-43)
Artikel 24. Gegenstand und Ziele
Artikel 25. Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
Artikel 26. Gemeinsam VerantwortlicheArtikel 27. Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder AuftragsverarbeiternArtikel 28. AuftragsverarbeiterArtikel 29. Verarbeitung unter der Aufsicht des Verantwortlichen oder des AuftragsverarbeitersArtikel 30. Verzeichnis von VerarbeitungstätigkeitenArtikel 31. Zusammenarbeit mit der AufsichtsbehördeArtikel 32. Sicherheit der VerarbeitungArtikel 33. Meldung von Verletzungen des Schutzes personenbezogener Daten an die AufsichtsbehördeArtikel 34. Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen PersonArtikel 35. Datenschutz-FolgenabschätzungArtikel 36. Vorherige KonsultationArtikel 37. Benennung eines DatenschutzbeauftragtenArtikel 38. Stellung des DatenschutzbeauftragtenArtikel 39. Aufgaben des DatenschutzbeauftragtenArtikel 40. VerhaltensregelnArtikel 41. Überwachung der genehmigten VerhaltensregelnArtikel 42. ZertifizierungArtikel 43. Zertifizierungsstellen
KAPITEL V Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen (44-50)
Artikel 44. Allgemeine Grundsätze der DatenübermittlungArtikel 45. Datenübermittlung auf der Grundlage eines AngemessenheitsbeschlussesArtikel 46. Datenübermittlung vorbehaltlich geeigneter GarantienArtikel 47. Verbindliche interne DatenschutzvorschriftenArtikel 48. Nach dem Unionsrecht nicht zulässige Übermittlung oder OffenlegungArtikel 49. Ausnahmen für bestimmte FälleArtikel 50. Internationale Zusammenarbeit zum Schutz personenbezogener Daten
KAPITEL VI Unabhängige Aufsichtsbehörden (51-59)
Artikel 51. AufsichtsbehördeArtikel 52. UnabhängigkeitArtikel 53. Allgemeine Bedingungen für die Mitglieder der AufsichtsbehördeArtikel 54. Errichtung der AufsichtsbehördeArtikel 55. ZuständigkeitArtikel 56. Zuständigkeit der federführenden AufsichtsbehördeArtikel 57. AufgabenArtikel 58. BefugnisseArtikel 59. Tätigkeitsbericht
KAPITEL VII Zusammenarbeit und Kohärenz (60-70)
Artikel 60. Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und den anderen betroffenen AufsichtsbehördenArtikel 61. Gegenseitige AmtshilfeArtikel 62. Gemeinsame Maßnahmen der AufsichtsbehördenArtikel 63. KohärenzverfahrenArtikel 64. Stellungnahme des AusschussesArtikel 65. Streitbeilegung durch den AusschussArtikel 66. DringlichkeitsverfahrenArtikel 67. InformationsaustauschArtikel 68. Europäischer DatenschutzausschussArtikel 69. UnabhängigkeitArtikel 70. Aufgaben des AusschussesArtikel 71. BerichterstattungArtikel 72. VerfahrensweiseArtikel 73. VorsitzArtikel 74. Aufgaben des VorsitzesArtikel 75. SekretariatArtikel 76. Vertraulichkeit
KAPITEL VIII Rechtsbehelfe, Haftung und Sanktionen (77-84)
Artikel 77. Recht auf Beschwerde bei einer AufsichtsbehördeArtikel 78. Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine AufsichtsbehördeArtikel 79. Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder AuftragsverarbeiterArtikel 80. Vertretung von betroffenen PersonenArtikel 81. Aussetzung des VerfahrensArtikel 82. Haftung und Recht auf SchadenersatzArtikel 83. Allgemeine Bedingungen für die Verhängung von GeldbußenArtikel 84. Sanktionen
KAPITEL IX Vorschriften für besondere Verarbeitungssituationen (85-91)
Artikel 85. Verarbeitung und Freiheit der Meinungsäußerung und InformationsfreiheitArtikel 86. Verarbeitung und Zugang der Öffentlichkeit zu amtlichen DokumentenArtikel 87. Verarbeitung der nationalen KennzifferArtikel 88. Datenverarbeitung im BeschäftigungskontextArtikel 89. Garantien und Ausnahmen in Bezug auf die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen ZweckenArtikel 90. GeheimhaltungspflichtenArtikel 91. Bestehende Datenschutzvorschriften von Kirchen und religiösen Vereinigungen oder Gemeinschaften
KAPITEL X Delegierte Rechtsakte und Durchführungsrechtsakte (92-93)
Artikel 92. Ausübung der BefugnisübertragungArtikel 93. Ausschussverfahren
KAPITEL XI Schlussbestimmungen (94-95)
Artikel 94. Aufhebung der Richtlinie 95/46/EGArtikel 95. Verhältnis zur Richtlinie 2002/58/EGArtikel 96. Verhältnis zu bereits geschlossenen ÜbereinkünftenArtikel 97. Berichte der KommissionArtikel 98. Überprüfung anderer Rechtsakte der Union zum DatenschutzArtikel 99. Inkrafttreten und Anwendung
DSGVO (GDPR) > Artikel 25. Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
PDF herunterladen

Artikel 25 DSGVO. Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen — wie z. B. Pseudonymisierung —, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.

ISO 27701 Verbindungen
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 14.2.1.

Here is the relevant paragraphs to article 25(1) GDPR:

6.11.2.1 Secure development policy

Implementation guidance

Policies for system development and design should include guidance for the organization’s processing of PII needs, based on obligations to PII principals and/or any applicable legislation and/or regulation and the types of processing performed by the organization. Clauses 7 and 8 provide control considerations for processing of PII, which can be useful in developing policies for privacy in systems design.

[…]


to read full text

Verbindungen

(2) Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.

ISO 27701 Leitlinien und Gerichtsurteile Verbindungen
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 25(2) GDPR:

7.4.2 Limit processing

Control

The organization should limit the processing of PII to that which is adequate, relevant and necessary for the identified purposes.

[…]


to read full text

Leitlinien und Gerichtsurteile Verbindungen

(3) Ein genehmigtes Zertifizierungsverfahren gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in den Absätzen 1 und 2 des vorliegenden Artikels genannten Anforderungen nachzuweisen.

ISO 27701 Verbindungen
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.1.

Here is the relevant paragraph to article 25(3) GDPR:

5.2.1 Understanding the organization and its context

The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.

[…]


to read full text

Verbindungen
Datenschutz-Grundverordnung (DSGVO)

Letzte konsolidierte Fassung (inkl. Berichtigung, ABl. L 314 vom 22.11.2016, S. (2016/679), Berichtigung, ABl. L 127 vom 23.5.2018, S. (2016/679)). EUR-lex

Erläuterung Erwägungsgrund Leitlinien und Gerichtsurteile Leave a comment
Erläuterung
Erwägungsgrund

(78) Zum Schutz der in Bezug auf die Verarbeitung personenbezogener Daten bestehenden Rechte und Freiheiten natürlicher Personen ist es erforderlich, dass geeignete technische und organisatorische Maßnahmen getroffen werden, damit die Anforderungen dieser Verordnung erfüllt werden. Um die Einhaltung dieser Verordnung nachweisen zu können, sollte der Verantwortliche interne Strategien festlegen und Maßnahmen ergreifen, die insbesondere den Grundsätzen des Datenschutzes durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) Genüge tun. Solche Maßnahmen könnten unter anderem darin bestehen, dass die Verarbeitung personenbezogener Daten minimiert wird, personenbezogene Daten so schnell wie möglich pseudonymisiert werden, Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten hergestellt wird, der betroffenen Person ermöglicht wird, die Verarbeitung personenbezogener Daten zu überwachen, und der Verantwortliche in die Lage versetzt wird, Sicherheitsfunktionen zu schaffen und zu verbessern. In Bezug auf Entwicklung, Gestaltung, Auswahl und Nutzung von Anwendungen, Diensten und Produkten, die entweder auf der Verarbeitung von personenbezogenen Daten beruhen oder zur Erfüllung ihrer Aufgaben personenbezogene Daten verarbeiten, sollten die Hersteller der Produkte, Dienste und Anwendungen ermutigt werden, das Recht auf Datenschutz bei der Entwicklung und Gestaltung der Produkte, Dienste und Anwendungen zu berücksichtigen und unter gebührender Berücksichtigung des Stands der Technik sicherzustellen, dass die Verantwortlichen und die Verarbeiter in der Lage sind, ihren Datenschutzpflichten nachzukommen. Den Grundsätzen des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen sollte auch bei öffentlichen Ausschreibungen Rechnung getragen werden.

Leitlinien und Gerichtsurteile Leave a comment
[js-disqus]