Art. 25 DSGVO verlangt, dass Datenschutz von Anfang an in Systeme und Prozesse eingebaut wird (by Design) und die Voreinstellungen datensparsam sind (by Default).
Privacy by Design (Art. 25 Abs. 1)
Bereits bei der Planung neuer Verarbeitungsvorgänge, Systeme oder Produkte müßen geeignete technische und organisatorische Maßnahmen getroffen werden. Beispiele: Pseudonymisierung in Datenbanken, Datenminimierung in Formularen, Verschlüßelung als Standard, Löschkonzepte von Anfang an.
Privacy by Default (Art. 25 Abs. 2)
Standardeinstellungen müßen so gestaltet sein, dass nur die für den jeweiligen Zweck erforderlichen Daten verarbeitet werden. Daten dürfen durch Voreinstellung nicht einer unbestimmten Zahl von Personen zugänglich gemacht werden. Beispiel: Social-Media-Profile müßen standardmäßig auf "privat" stehen, nicht auf "öffentlich".
Zeitpunkt
Diese Pflichten gelten zum Zeitpunkt der Festlegung der Verarbeitungsmittel UND zum Zeitpunkt der Verarbeitung selbst. Sie müßen also schon in der Beschaffungsphase und bei der Softwareentwicklung beachtet werden.