“Privacy by Design” – das klingt ein bisschen nach einer gecasteten Boy-Band der späten Neunziger. Dahinter verbirgt sich aber in Wahrheit einer der Grundsätze zur Auswahl technischer und organisatorischer Maßnahmen. Zwar ist der dazugehörige Text von Art. 25 Abs. 1 nicht annähernd so eingängig wie die Hits der 90er, aber genauso nichtssagend. Im Ergebnis soll sich der Verantwortliche schon von Anfang an mit dem Datenschutz beschäftigen und nicht erst auf Verstöße reagieren. Hierfür hat der Verantwortliche bei Festlegung seiner Maßnahmen solche auszuwählen, die geeignet sind, die Datenschutzgrundsätze von Art. 5 wirksam umsetzen.
Ist das passiert, kommt das zweite Prinzip von Art. 25 zum Tragen „Privacy by Default“. Hiernach sind innerhalb der Maßnahmen datenschutzfreundliche Voreinstellungen zu treffen. Das hieße dann beispielsweise „do not track“ bei Browsern und sonstigen Programmen.