GesetzePreiseDokuBenchmarks

Art. 25 – Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

DSGVO · zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

(1)Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen — wie z. B. Pseudonymisierung — trifft, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.
(2)Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.
(3)Ein genehmigtes Zertifizierungsverfahren gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in den Absätzen 1 und 2 des vorliegenden Artikels genannten Anforderungen nachzuweisen.

Quelle: © Europäische Union, https://eur-lex.europa.eu · konsolidierte Fassung, Stand: 05.02.2025

Zitierende Gerichtsentscheidungen

  • C-492/23 – X gegen Russmedia Digital SRL und Inform Media Press SRLECLI:EU:C:2025:935

    Vorlage zur Vorabentscheidung – Schutz personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 4 Nr. 7 – Begriff ‚Verantwortlicher‘ – Verantwortlichkeit des Betreibers eines Online-Marktplatzes für die Veröffentlichung personenbezogener Daten in Anzeigen, die von inserierenden Nutzern auf seinem Online-Marktplatz platziert werden – Art. 5 Abs. 2 – Grundsatz der Rechenschaftspflicht – Art. 26 – Gemeinsame Verantwortlichkeit mit diesen inserierenden Nutzern – Art. 9 Abs. 1 und Abs. 2 Buchst. a – Anzeigen, die sensible Daten enthalten – Rechtmäßigkeit der Verarbeitung – Einwilligung – Art. 24, 25 und 32 – Pflichten des Verantwortlichen – Vorherige Identifizierung von Anzeigen, die solche Daten enthalten – Vorabprüfung der Identität des inserierenden Nutzers – Verweigerung der Veröffentlichung unrechtmäßiger Anzeigen – Schutzmaßnahmen, die geeignet sind, das Kopieren der Anzeigen und ihre Veröffentlichung auf anderen Websites zu verhindern – Elektronischer Geschäftsverkehr – Richtlinie 2000/31/EG – Art. 12 bis 15 – Möglichkeit für einen solchen Betreiber, sich im Hinblick auf eine Verletzung dieser Verpflichtungen auf die Haftungsbefreiung eines Vermittlers von Diensten der Informationsgesellschaft zu berufen

  • C-446/21 – Maximilian Schrems gegen Meta Platforms Ireland LimitedECLI:EU:C:2024:834

    Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Soziale Online-Netzwerke – Allgemeine Nutzungsbedingungen für Verträge zwischen einer digitalen Plattform und einem Nutzer – Personalisierte Werbung – Art. 5 Abs. 1 Buchst. b – Grundsatz der Zweckbindung – Art. 5 Abs. 1 Buchst. c – Grundsatz der Datenminimierung – Art. 9 Abs. 1 und 2 – Verarbeitung besonderer Kategorien personenbezogener Daten – Daten zur sexuellen Orientierung – Von der betroffenen Person öffentlich gemachte Daten

  • BSG, Urt. v. 06.03.2024 – B 6 KA 23/22 RECLI:DE:BSG:2024:060324UB6KA2322R0

    1. Die gesetzlichen Regelungen im Quartal 1/2019 der Pflicht zur Durchführung des Versichertenstammdatenabgleichs und zur Anbindung von Vertrags(zahn)ärzten und Einrichtungen an die Telematikinfrastruktur widersprechen nicht den Vorgaben der Datenschutz-Grundverordnung (juris: EUV 2016/679). 2. Die Honorarkürzung der vertragsärztlichen Leistungen um ein Prozent im Quartal 1/2019 wegen unterbliebener Durchführung des Versichertenstammdatenabgleichs verletzt nicht die Berufsausübungsfreiheit.

  • C-807/21 – Deutsche Wohnen SE gegen Staatsanwaltschaft BerlinECLI:EU:C:2023:950

    Vorlage zur Vorabentscheidung – Schutz personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 4 Nr. 7 – Begriff ‚Verantwortlicher‘ – Art. 58 Abs. 2 – Abhilfebefugnisse der Aufsichtsbehörden – Art. 83 – Verhängung von Geldbußen gegen eine juristische Person – Voraussetzungen – Gestaltungsspielraum der Mitgliedstaaten – Erfordernis der Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes

  • C-37/20 – WM und Sovim SA gegen Luxembourg Business RegistersECLI:EU:C:2022:912

    Vorlage zur Vorabentscheidung – Verhinderung der Nutzung des Finanzsystems zum Zweck der Geldwäsche und der Terrorismusfinanzierung – Richtlinie (EU) 2018/843 zur Änderung der Richtlinie (EU) 2015/849 – Erfolgte Änderung von Art. 30 Abs. 5 Unterabs. 1 Buchst. c der Richtlinie 2015/849 – Zugang aller Mitglieder der Öffentlichkeit zu den Informationen über die wirtschaftlichen Eigentümer – Gültigkeit – Art. 7 und 8 der Charta der Grundrechte der Europäischen Union – Achtung des Privat- und Familienlebens – Schutz personenbezogener Daten

  • C-175/20 – „SS” SIA gegen Valsts ieņēmumu dienestsECLI:EU:C:2022:124

    Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 2 – Anwendungsbereich – Art. 4 – Begriff ‚Verarbeitung‘ – Art. 5 – Grundsätze der Verarbeitung – Zweckbindung – Datenminimierung – Art. 6 – Rechtmäßigkeit der Verarbeitung – Verarbeitung, die für die Wahrnehmung einer Aufgabe von öffentlichem Interesse, die dem für die Verarbeitung Verantwortlichen übertragen wurde, erforderlich ist – Verarbeitung, die für die Erfüllung einer rechtlichen Verpflichtung des für die Verarbeitung Verantwortlichen erforderlich ist – Art. 23 – Einschränkungen – Datenverarbeitung für steuerliche Zwecke – Ersuchen um Offenlegung von Informationen über Online-Verkaufsinserate für Fahrzeuge – Verhältnismäßigkeit

  • BGH, Urt. v. 27.01.2022 – III ZR 4/21ECLI:DE:BGH:2022:270122UIIIZR4.21.0

    Der von einem Unterlassungsurteil im Verbandsklageverfahren ausgehenden Bindungswirkung für den Individualprozess steht eine spätere Gesetzesänderung nicht entgegen, soweit in dem Individualprozess die Wirksamkeit einer Bestimmung im Streit steht, die vor dieser Gesetzesänderung in den Vertrag einbezogen worden ist.

  • BSG, Beschl. v. 10.11.2021 – B 1 KR 86/20 BECLI:DE:BSG:2021:101121BB1KR8620B0
  • BSG, Urt. v. 20.01.2021 – B 1 KR 15/20 RECLI:DE:BSG:2021:200121UB1KR1520R0
  • BSG, Urt. v. 20.01.2021 – B 1 KR 7/20 RECLI:DE:BSG:2021:200121UB1KR720R0

    1. Die gesetzlichen Regelungen zur elektronischen Gesundheitskarte stehen in Einklang mit den Vorgaben der Datenschutz-Grundverordnung (juris: EUV 2016/679), ungeachtet der Frage, ob sie im Rahmen der gesetzlichen Krankenversicherung unmittelbar Anwendung findet, und verletzen die Versicherten weder in ihrem Grundrecht auf informationelle Selbstbestimmung noch in ihren Grundrechten nach der EU-Grundrechte-Charta (juris: EUGrdRCh). 2. Der Gesetzgeber hat mit den durch das Patientendaten-Schutz-Gesetz (PDSG) neu gefassten Regelungen des SGB V zur elektronischen Gesundheitskarte und zur Telematikinfrastruktur ausreichende Vorkehrungen zur Gewährleistung einer angemessenen Datensicherheit getroffen und ist dabei auch seiner Beobachtungs- und Nachbesserungspflicht nachgekommen. 3. Die Einhaltung der datenschutzrechtlichen Vorgaben im Zusammenhang mit der elektronischen Gesundheitskarte und der Telematikinfrastruktur ist durch die zuständigen Aufsichtsbehörden zu überwachen und können die Versicherten im Rahmen der speziellen datenschutzrechtlichen Rechtsbehelfe gerichtlich überprüfen lassen, ohne dass hierdurch die gesetzliche Obliegenheit zur Nutzung der elektronischen Gesundheitskarte und deren Verfassungsmäßigkeit tangiert werden.

Diese Seite zeigt die aktuelle Fassung (Quelle: © Europäische Union, https://eur-lex.europa.eu). Für tagesaktuelle, zitiersichere Abfragen lässt sich Art. 25 DSGVO und jede andere deutsche oder europäische Rechtsquelle live per Lawbster-MCP abrufen.

Kann ich Art. 25 DSGVO direkt in ChatGPT oder Claude abfragen?

Ja. Über Lawbster (MCP-Server) greifen KI-Assistenten wie Claude, ChatGPT, Cursor und Copilot Studio — oder eigene Anwendungen per REST-API — direkt auf den tagesaktuellen Volltext deutscher und europäischer Gesetze, Verordnungen und Gerichtsentscheidungen zu. Free-Tier verfügbar.

Diese Norm ist Teil von Lawbster — verifizierte deutsche und europäische Gesetze, Verordnungen und Gerichtsentscheidungen, live in jedem KI-Assistenten per MCP (Claude, ChatGPT, Cursor, Copilot Studio u. a.) oder über die REST-API. API-Key holen.