# Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

### 🌍 Einführung

Die Grundsätze des **Datenschutzes durch Technikgestaltung** (*Privacy by Design*) und der **datenschutzfreundlichen Voreinstellung** (*Privacy by Default*) stehen im Mittelpunkt der **DSGVO**, festgelegt in [Artikel 25](https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article25).\
Sie zielen darauf ab, sicherzustellen, dass der **Schutz personenbezogener Daten** bereits **bei der Konzeption eines Projekts** integriert wird und dass die **Standardeinstellungen** das höchstmögliche Datenschutzniveau gewährleisten.

> 🎯 Ziel: Risiken vorbeugen, bevor sie auftreten, und die Compliance in jeder Phase des Datenlebenszyklus nachweisen.

***

### 🧩 Wesentliche Definitionen

#### 🧠 Privacy by Design — "Datenschutz durch Technikgestaltung"

Der Verantwortliche berücksichtigt den Datenschutz **bereits bei der Konzeption** eines Produkts, einer Dienstleistung oder einer Verarbeitung.\
➡️ Man handelt **im Vorfeld**, vor jeder Datenerhebung oder Inbetriebnahme.

#### 🛡️ Privacy by Default — "Datenschutzfreundliche Voreinstellung"

Die Standardeinstellungen müssen das **höchstmögliche Schutzniveau** gewährleisten: Es werden nur die **unbedingt erforderlichen** Daten verarbeitet, und Freigabe- oder Sichtbarkeitsoptionen müssen **standardmäßig deaktiviert** sein.

#### ⚖️ Datenminimierung

Nur **angemessene, relevante und auf den Zweck beschränkte** Daten verarbeiten.

#### 🔐 Integrität und Sicherheit

Zugriffe einschränken, die **Vertraulichkeit, Integrität und Verfügbarkeit** der Daten gewährleisten und jede Aktion nachverfolgen.

#### ⏳ Speicherbegrenzung

Bereits **bei der Konzeption** die Löschung, Anonymisierung oder Archivierung der Daten nach Ablauf ihrer Nutzungsdauer planen.

***

### 🧭 Umsetzung von Privacy by Design

Der Ansatz muss **kontinuierlich** sein und in den **Lebenszyklus der Verarbeitung** integriert werden:

#### Wichtige Schritte:

1. **Das Projekt identifizieren**
   * Jede neue Verarbeitung, jedes neue Tool oder jede Prozessänderung.
   * Den Datenschutzbeauftragten bereits in der Planungsphase informieren.
2. **Die Auswirkungen bewerten**
   * Daten und Zwecke kartieren.
   * Risiken für die Rechte und Freiheiten identifizieren.
   * Bei Bedarf eine **Datenschutz-Folgenabschätzung (DSFA)** durchführen.
3. **Geeignete Maßnahmen konzipieren**
   * Datenminimierung, Segmentierung, Verschlüsselung, Pseudonymisierung, Protokollierung.
   * Speicherdauern, Rollen und Berechtigungen definieren.
   * Mechanismen zur Ausübung der Betroffenenrechte vorsehen.
4. **Die Compliance dokumentieren**
   * Maßnahmen im **Verarbeitungsverzeichnis** vermerken.
   * Nachweise im **Audit-Trail** archivieren.
   * Abwägungen begründen (Verhältnismäßigkeit, technologische Entscheidungen usw.).
5. **Kontrollieren und verbessern**
   * Verarbeitungen regelmäßig auditieren.
   * Verzeichnisse und Maßnahmenpläne aktualisieren.

***

### 🧱 Typische zu integrierende Maßnahmen

| Ziel                        | Technische oder organisatorische Maßnahme                          |
| --------------------------- | ------------------------------------------------------------------ |
| Daten minimieren            | Selektive Datenerhebung, Maskierung, automatische Löschung         |
| Datenflüsse sichern         | Verschlüsselung, TLS, starke Authentifizierung, Zugriffsmanagement |
| Rechte wahren               | Portal zur Rechteverwaltung (DSR), Widerspruchsverfahren           |
| Transparenz gewährleisten   | Datenschutzhinweise, Zugriffsprotokolle, klare Dokumentation       |
| Rückverfolgbarkeit sichern  | Protokollierung der Verarbeitungen, regelmäßige Audits             |
| Speicherdauer kontrollieren | Bereinigung, Anonymisierung, gesicherte Zwischenarchivierung       |

***

### 🧠 Zusammenhang mit der Accountability (nachweisbare Verantwortlichkeit)

**Privacy by Design** leitet sich direkt vom [Accountability-Prinzip (Artikel 5 DSGVO)](https://www.cnil.fr/fr/definition/accountability) ab.\
Der Verantwortliche muss **jederzeit** die Compliance seiner Verarbeitungen **nachweisen** können.

> 💬 Das bedeutet: *"Nicht nur konform sein, sondern in der Lage sein, dies nachzuweisen."*

***

### ⚙️ Privacy by Design in Dastra

Dastra erleichtert die konkrete Umsetzung von **Privacy by Design** und **Privacy by Default** durch seine integrierten Module:

#### 🔍 1. Risiken identifizieren

Erstellen Sie **gezielte Audits** oder **Analysemodelle** für jedes neue Projekt.

***

#### 🧮 2. Risiken bewerten und dokumentieren

Führen Sie **Datenschutz-Folgenabschätzungen (DSFA)** oder **Risikobewertungen** für jede Verarbeitung durch.

***

#### 📋 3. Compliance-Maßnahmen planen

Weisen Sie **Abhilfemaßnahmen** zu, verfolgen Sie deren Fortschritt und automatisieren Sie Erinnerungen.

***

#### 🗂️ 4. Im Verarbeitungsverzeichnis dokumentieren

Integrieren Sie Sicherheits- und Governance-Maßnahmen in Ihre **Verarbeitungsdatensätze**, mit Nachweis und Protokollierung.

***

### 🤖 Erweiterung: Privacy by Design und verantwortungsvolle KI

**Privacy by Design** gilt auch für die **Governance von KI-Systemen** (KI-Verordnung).\
Dastra ermöglicht es, Ihre **KI-Modelle** mit ihren **Datenverarbeitungen** zu verknüpfen, die Compliance zu bewerten und die **Maßnahmen zur Risikominderung** zu dokumentieren.

***

### 📘 Weiterführende Informationen

***

{% hint style="success" %}
💡 **Gute Praxis:** Antizipieren Sie die Compliance bereits in der Entwurfsphase: Binden Sie den Datenschutzbeauftragten ein, dokumentieren Sie die Entscheidungen, bewerten Sie die Risiken und integrieren Sie standardmäßig Garantien.\
Dastra hilft Ihnen, diesen Ansatz zu strukturieren und leicht nachzuweisen.
{% endhint %}


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://doc.dastra.eu/de/nutzliche-hinweise/rgpd-en-bref/confidentialite-des-la-conception-et-par-defaut.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.