Art. 25 DSGVO trägt in der deutschen Sprachfassung die Überschrift „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“. Dennoch hat sich auch im deutschsprachigen Raum für Abs. 1 der Begriff „Privacy by Design“ und für Abs. 2 der Begriff „Privacy by Default“ durchgesetzt. Die Begriffe sind jedoch missverständlich, da das primäre Schutzgut DSGVO nicht der Schutz der Privatsphäre (wie noch nach der Datenschutzrichtlinie gem. Art. 1 Abs. 1), sondern der Schutz der personenbezogenen Daten ist (Art. 1 Abs. 2 DSGVO) (Baumgartner/Gausling, ZD 2017, 308). Die Überschrift der englischen Sprachfassung lautet daher richtigerweise auch „Data protection by design and by default“.
Alle Maßnahmen der datenschutzfreundlichen Technikgestaltung gem. Art. 25 Abs. 1 DSGVO sind unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen auszuwählen und zu treffen. Dies ist Ausdruck des risikobasierten Ansatzes der DSGVO und begrenzt die Auswahl geeigneter technischer Maßnahmen (Baumgartner/Gausling, ZD 2017, 308). Es bedarf also nicht immer der theoretisch optimalen Maßnahme, sondern bei geringem Risiko oder besonders hohen Implementierungskosten kann im Einzelfall ggf. auch ein geringerer Schutz ausreichend sein. Daher bedarf es einer Verhältnismäßigkeitsabwägung im Einzelfall, welche im Sinne einer allgemeinen Risiko- und Folgenabschätzung dokumentiert werden sollte, um der Rechenschaftspflicht des Art. 5 Abs. 2, Art. 24 Abs. 1 DSGVO Genüge zu tun (Laue in Laue/Kremer).
Datenschutzfreundliche Voreinstellungen gem. Art. 25 Abs. 2 DSGVO werden wiederum von Teilen der Literatur als eine Konkretisierung der datenschutzfreundlichen Technikgestaltung gem. Art. 25 Abs. 1 DSGVO verstanden. Verarbeitungssysteme müssen danach so eingestellt sein, dass nur die für den Zweck der Verarbeitung erforderlichen Daten verarbeitet werden. Es reicht dabei nicht aus, dass der Nutzer eine Wahl- oder Gestaltungsmöglichkeit hat. Personenbezogene Daten dürfen nicht ohne Kenntnis und ohne Zustimmung des Betroffenen verarbeitet werden (Richter in Jandt/Steidle, 356). Die Zulässigkeit einer Systemeinstellung beurteilt sich also danach, ob die Verarbeitung hinsichtlich Menge, Umfang, Speicherfrist und Zugänglichkeit der personenbezogenen Daten für den Zweck erforderlich ist (Richter in Jandt/Steidle, 356). Anders als in Art. 25 Abs. 1 DSGVO fehlen bei Art. 25 Abs. 2 DSGVO einschränkende Bedingungen wie z.B. die Implementierungskosten. Das könnte allerdings auch daran liegen, dass hier lediglich bestimmte Einstellungen vorzunehmen sind, welche in der Regel nicht mit zusätzlichen Kosten verbunden sind.
Martini war der erste Autor, der im Kontext des Art. 25 Abs. 2 DSGVO das Wort „Nudging“ verwendete (Martini, Art. 25). Er geht allerdings von „Nudging mit umgekehrter Stoßrichtung“ durch die DSGVO aus, da die Dienstanbieter nun ihre eigenen wirtschaftlichen Interessen dem Gebot der Datenminimierung unterordnen müssen (Paal/Pauly, DSGVO/BDSG-Martini, Art. 25). Thaler und Sunstein können aber viel eher so verstanden werden, dass Art. 25 Abs. 2 DSGVO genau die Intention der Autoren von „Nudge“ trifft. Denn es geht um „bessere“ Entscheidungen für den Nutzer und nicht für den Dienstanbieter; also den Angestupsten und nicht den Entscheidungsarchitekten (Thaler und Sunstein 2009). Dass die Dienstanbieter Voreinstellungen datenschutzfreundlich und nicht maximal vorteilhaft für die eigene Gewinnerzielung ausgestalten, wäre daher mutmaßlich auch im Sinne von Thaler und Sunstein.
Art. 25 Abs. 2 DSGVO stellt mithin eine Ermächtigungsgrundlage für Privacy Nudges in Form von datenschutzfreundlichen Voreinstellungen dar (Herfurth/Benner-Tischler, ZD-Aktuell 2017). Fraglich ist, ob dies auch eine taugliche Ermächtigungsgrundlage für weitere digitale Nudges sein kann. Bei Auslegung des Wortlauts von Art. 25 Abs. 2 DSGVO dürfte es schwer sein neben Default Nudges, also Voreinstellungen, auch weitere Arten von Nudges unter diesen zu subsumieren. Weitere Nudges könnten als technische und organisatorische Maßnahmen jedoch unter Art. 25 Abs. 1 DSGVO zu fassen sein. Der Wortlaut des Abs. 1 ist weiter und so unkonkret, dass er durch die Verantwortlichen ausgestaltet werden muss. Eine mögliche Ausgestaltung könnte die Verwendung datenschutzfreundlicher Nudges sein. Dies passt auch insoweit in die Systematik, als Art. 25 Abs. 2 DSGVO eine Konkretisierung des Absatz 1 ist (s.o.). Desweitern dürfte dies im Sinne des Verordnungsgebers sein, sofern so personenbezogene Daten geschützt werden können, ohne die Betroffenen ihrer Entscheidungsfreiheit zu berauben (vgl. Art. 1 Abs. 2 DSGVO).
Weiterführende Literatur:
Datenschutz-Grundverordnung, Bundesdatenschutzgesetz, hrsg. v. Paal, B. P./Pauly, D. A., 2. Auflage, München 2018 (zitiert: Paal/Pauly, DSGVO/BDSG-Bearbeiter).
Baumgartner, U./Gausling, T., Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Was Unternehmen jetzt nach der DS-GVO beachten müssen, ZD 2017, 308–313.
Herfurth, C./Benner-Tischler, A., Nudging in der DS-GVO und die Wirkung von Privacy by Default, ZD-Aktuell 2017.
Hummel, D./Maedche, A., How effective is nudging? A quantitative review on the effect sizes and limits of empirical nudging studies, Journal of Behavioral and Experimental Economics 80 (2019), 47–58.
Laue, P., § 7 (Technischer und organisatorischer Datenschutz, in: Laue, P./Kremer, S. (Hrsg.), Das neue Datenschutzrecht in der betrieblichen Praxis, 2. Auflage, Baden-Baden 2019.
Paal, B. P./Pauly, D. A. (Begr.), Datenschutz-Grundverordnung, bearb. v. Paal, B. P./Pauly, D. A., München 2017 (zitiert: -Bearbeiter).
Richter, P., Datenschutz durch Technik und datenschutzfreundliche Voreinstellung, in: Jandt, S./Steidle, R. (Hrsg.), Datenschutz im Internet. Rechtshandbuch zu DSGVO und BDSG, Baden-Baden 2018, 356–374.
Thaler, R. H./Sunstein, C. R., Nudge (Wie man kluge Entscheidungen anstößt. 37366, Ungekürzte Ausgabe im Ullstein Taschenbuch, 13. Auflage, Berlin 2009.