Offizielle Website – Bundesrepublik Deutschland
Digitale DachmarkeDigitale Dachmarke
Servicestandard
Servicestandard

Datenschutz in der technischen Gestaltung umsetzen

Datenschutz in der technischen Gestaltung sorgt dafür, dass Daten von Anfang an sicher verarbeitet werden, wenn Sie einen Service anbieten. Dazu gehören Voreinstellungen im digitalen Angebot. Durch diese werden nur notwendige Daten erhoben, gespeichert und geteilt. Maßnahmen wie diese werden datenschutzfreundlich genannt. Zum einen, weil sie Daten der Nutzenden ohne aktive Handlung bestmöglich schützen. Zum anderen, weil sie die Umsetzung für Verantwortliche einfacher machen.

Feedback geben
Hilfreiche Fachgebiete
Datenschutz
Wichtig in diesen Entwicklungsphasen
Zuletzt aktualisiert am
9.12.2025

Zum Vorgehen

Beginnen Sie mit der Planung und Einbindung von Datenschutz bereits mit dem Entwurf des digitalen Angebots. Berücksichtigen Sie den Prozess, in dem der Service stattfindet. Schauen Sie sich die Infrastruktur und Fachverfahren an, die zum Prozess der Verwaltungsleistung gehören.

Neben technischen können Sie auch organisatorische Bedingungen schaffen, die Risiken für die Rechte und Freiheit von Nutzenden des Angebots reduzieren.

Auch wenn das digitale Angebot in Betrieb ist, sollten Sie regelmäßig prüfen, ob sich der Datenschutz in der technischen Gestaltung verbessern lässt.

Dieses Vorgehen hilft Ihnen, die Regeln der DSGVO einzuhalten.

Expertise einholen und Zuständigkeit klären

Stellen Sie fest, welche Datenschutz-Expertise für das digitale Angebot gebraucht wird und verfügbar ist.

  • Datenschutzbeauftragte beraten Sie zu Anforderungen und Maßnahmen
  • Datenschutzkoordinatoren und -koordinatorinnen unterstützen bei der Umsetzung von Maßnahmen zum Datenschutz
  • Sachbearbeiter und Sachbearbeiterinnen können Aussagen zum Prozess treffen und fachlichen Fragen beantworten

Holen Sie sich externe Unterstützung bei

  • Aufsichtsbehörden
  • Fach-Communities
  • anderen Teams, die die gleiche oder eine ähnlichen Lösung nutzen

Zuständigkeit und Zusammenarbeit festlegen

Legen Sie eine Rolle fest, die regelmäßig für die Einbindung der notwendigen Expertise sorgt.

Datenverarbeitung verstehen und einordnen

Bestandsaufnahme durchführen

  • Sichten Sie den Entwurf für das digitale Angebot
  • Arbeiten Sie am Entwurf mit, falls er noch nicht vorliegt
  • Benennen Sie alle Stellen, die an der Verarbeitung beteiligt sind
  • Halten Sie fest, in welchen Prozessschritten personenbezogene Daten abgefragt und verarbeitet werden

Datenverarbeitung bewerten

Bewerten Sie die Datenverarbeitung anhand der zwei Voraussetzungen:

  1. Alle Daten, die erhoben werden, sind notwendig, um das Ziel der Verarbeitung zu erreichen
  2. Es werden alle Daten erhoben, um das Ziel der Verarbeitung zu erreichen

Prüfen Sie

  • die rechtliche Grundlage und die Verhältnismäßigkeit der Verarbeitung
  • ob benötigte Daten anderweitig verfügbar sind. Zum Beispiel weil Nutzende sie in einem vorherigen Prozessschritt schon eingereicht haben

Machen Sie Vorschläge für Alternativen, wenn Daten nicht notwendig sind.

Verantwortlichkeiten und Vereinbarungen klären

  • Legen Sie fest, wer für die Verarbeitung der Daten verantwortlich ist
  • Klären Sie, welche datenschutzrechtlichen Vereinbarungen Sie abschließen müssen. Zum Beispiel durch Auftragsverarbeitungs-Verträge oder Vereinbarungen zur gemeinsamen Verantwortlichkeit

Entwicklung datenschutzfreundlich begleiten

Risiken früh und fortlaufend analysieren

  • Nehmen Sie frühzeitig eine strukturierte, erste Risikoanalyse vor
  • Ergänzen und aktualisieren Sie die Risikoanalyse im Projektverlauf
    Zum Beispiel, wenn relevante Design-Entscheidungen getroffen wurden
  • Nehmen Sie geeignete Prüfungen vor, um Risiken einschätzen zu können
  • Prüfen Sie die Muss-Listen der Aufsichtsbehörden für eine Datenschutz-Folgenabschätzung (DSFA)
  • Führen Sie eine Schwellwertanalyse durch, um die Notwendigkeit einer Datenschutz-Folgenabschätzung (DSFA) zu klären

Datenschutzfolgenabschätzung und Maßnahmen ableiten

  • Führen Sie bei Bedarf eine Datenschutz-Folgenabschätzung gemäß Artikel 35 DSGVO durch
  • Prüfen Sie, ob Sie durch alternative Design-Entscheidungen das Risiko reduzieren können
  • Leiten Sie Maßnahmen ab, um die identifizierten Risiken zu reduzieren

Geeignete technische und organisatorische Maßnahmen auswählen

Wählen Sie technische und organisatorische Maßnahmen (TOMs) aus, um Risiken zu mindern. Zu TOMs gehört unter anderem

  • das Verschlüsseln von Daten
  • Löschkonzepte für die Datenverarbeitung
  • Rollen- und Berechtigungskonzepte, die den Zugang zu Daten regeln

Wählen Sie Soft- und Hardware sowie andere Bestandteile aus, mit denen Sie geeignete technische und organisatorische Maßnahmen umsetzen können.

Achten Sie bei der Auswahl der Mittel, um Daten zu verarbeiten, auf

  • organisatorische Eignung
  • technische Eignung
  • Anwendbarkeit
  • rechtliche Anforderungen
  • Kosteneffizienz und Skalierbarkeit

Nutzende gut informieren

  • Identifizieren Sie den geeigneten Ort im digitalen Angebot, um Nutzende über die Datenverarbeitung und ihre Rechte zu informieren
  • Wählen Sie die geeigneten sprachlichen Mittel, damit Nutzende verstehen, was mit ihren Daten passiert und was ihre Rechte sind
  • Am besten prüfen Sie mit Nutzenden, ob sie die Informationen finden und verstehen
  • Entwickeln Sie die Informationen für Nutzenden wie den Service selbst weiter

Betrieb und Weiterentwicklung steuern

  • Prüfen Sie im laufenden Betrieb regelmäßig, ob die Verarbeitung weiterhin die Anforderungen der Datenschutz-Grundverordnung (DSGVO) einhält
  • Passen Sie bei Bedarf technische und organisatorische Maßnahmen an
  • Passen Sie bei Bedarf die gesamte Verarbeitung an

Überlegen Sie sich frühzeitig, wie die Verarbeitung weiterentwickelt werden soll.

Planen Sie, wie Sie mit neuen Anforderungen umgehen.

Wie können Sie vorgehen,

  • wenn neue Daten erhoben werden sollen
  • wenn Daten anders abgefragt werden sollen
  • bei Nutzung der Lösung für ähnliche, abgetrennte Verarbeitungen. Zum Beispiel der Nachnutzung Ihres digitalen Angebots durch andere Stellen

Erfahrungen in der Praxis haben gezeigt

1. Frühes Einbinden von Datenschutz

Die frühe Integration von Datenschutz verhindert, dass „Datenschutz“ als zusätzlicher Schritt empfunden wird. Steuernde und Verantwortliche können ihre rechtlichen Pflichten leichter umsetzen und nachweisen. Zudem entsteht ein besseres Bewusstsein für Risiken und Herausforderungen beim Datenschutz.

2. Datenschutzfreundliche Verarbeitung

Das Einschränken der Verarbeitung ist eine Möglichkeit, um eine Verarbeitung datenschutzfreundlich zu gestalten.

Gestalten Sie Einschränkungen nicht zum Nachteil der Nutzenden. Entwickeln Sie stattdessen eine bessere Lösung für die Nutzenden

3. Nutzende unterstützen und Handlungsspielräume geben

  • Bieten Sie Hilfestellung an und führen Sie Nutzende gut durch den Prozess
  • Stellen Sie geeignete Einstell-Möglichkeiten bereit, durch die Nutzende zusätzliche Funktionen nutzen oder weitere Verarbeitungen zulassen können
  • Stellen Sie strukturierte Informationen zu passenden Zeitpunkten der Nutzerreise bereit

Unterstützende Elemente sind zum Beispiel

  • kleine „Assistenten“ oder „Tools“, die beim Ausfüllen von Formularen helfen
  • Hilfen beim Einreichen von Nachweisen

Beispiele für unterstützende Elemente

  • ein „Schwärzungstool“ mit Anleitung, was üblicherweise geschwärzt werden kann
  • statt dem Hochladen eines Dokuments ein elektronischer Abruf der Information
  • automatische Vervollständigung von Angaben
  • automatisches Schwärzen von Namen bei Bekanntmachungen

Geben Sie den Nutzenden Möglichkeiten zu wählen:

  • Lassen Sie Nutzende auswählen, welche Antrags-Wege sie nutzen möchten
  • Lassen Sie Nutzende auswählen, welche Nachweis-Arten sie verwenden wollen. Dies stärkt Vertrauen in das digitale Angebot

4. Privacy-Enhancing-Technologies (PETs) einsetzen

Die Auswahl von sogenannten Privacy-Enhancing-Technologies (PETs) erfordert viel Erfahrung

  • im jeweiligen Fachbereich
  • in der konkreten Anwendungsdomäne

Setzen Sie PETs ein, wo es sinnvoll und praktikabel ist.
Sie erreichen positive Effekte, die das Risiko verringern – auch ohne komplexe PETs

  • durch geschickte Eingriffe in den Prozess
  • durch organisatorische und technische Maßnahmen

Weitere Hilfestellung

Den passenden Kontakt für Ihre Fragen zu Datenschutz-Themen finden Sie mit dem Kontaktfinder der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI)

Diese Anleitung entstand in Zusammenarbeit mit Experten und Expertinnen aus der Praxis.

Hilfreiche Fachgebiete

Die genannten Fachgebiete und ihre Beschreibungen dienen als Orientierung. Sie zeigen auf, mit welchem Wissen und mit welchen Fähigkeiten die Punkte am besten umgesetzt werden können.

Datenschutz

Datenschutz-Experten und -Expertinnen bewerten Risiken der Datenverarbeitung, um sichere Entscheidungen zu ermöglichen. Sie wenden die DSGVO und einschlägige Fachgesetze an, damit digitale Angebote rechtssicher sind. Datenschutz-Experten und -Expertinnen erstellen Datenschutzkonzepte und planen Schutzmaßnahmen von Beginn an („Privacy by Design“). Sie stellen sicher, dass nur notwendige Daten erhoben werden, und dokumentieren Verarbeitungstätigkeiten, damit Transparenz und Rechenschaftspflicht gewahrt bleiben.

Zu allen hilfreichen Fachgebieten

Wichtig in diesen Entwicklungsphasen

Jedes digitale Angebot durchläuft verschiedene Phasen. Die 4 Phasen zur Entwicklung nach Servicestandard helfen Teams, strukturiert vorzugehen, die richtigen Schwerpunkte zu setzen und Entscheidungen zum passenden Zeitpunkt zu treffen.

Verstehen

In der Phase „Verstehen" entsteht ein gemeinsames Verständnis für das Problem, das gelöst werden soll. Anforderungen und Ziele für das digitale Angebot und den Prozess werden festgelegt. Die Grundlage bilden Erkenntnisse über die Personen, die den Service nutzen. Es entsteht Klarheit über bestehende Abläufe und Rahmenbedingungen. Veränderungen werden skizziert. Mit dieser Basis kann die Entwicklung in die passende Richtung gelenkt werden.

Entwickeln

In der Phase „Entwickeln" entsteht das digitale Angebot Schritt für Schritt. Lösungen werden von Personen mit verschiedenem Fachwissen gemeinsam erarbeitet. Lösungsansätze werden getestet, angepasst und ausgebaut. Die technische Entwicklung basiert auf offenen Standards und Open Source. Mit diesem Vorgehen reift der Service und wird betriebsbereit.

Weiterentwickeln

In der Phase „Weiterentwickeln" wird das digitale Angebot an veränderte Bedingungen angepasst. Neue Bedürfnisse, technische Entwicklungen und rechtliche Änderungen führen zu erweiterten Anforderungen. Lösungen entstehen aus der Verbindung bewährter Bausteine mit neuen Elementen. Offene Standards und Open Source sichern die Nachvollziehbarkeit. Die Weiterentwicklung hält den Service aktuell, wirksam und nutzerfreundlich.

Alle 4 Entwicklungsphasen

Alle 13 Punkte vom Servicestandard

  1. Nutzende verstehen und Bedürfnisse erkennen

  2. Problem beschreiben und Ziele bestimmen

  3. Verantwortung übernehmen und Ressourcen sichern

  4. Lösungen entwickeln, testen, anpassen und Fachwissen einbinden

  5. Bestehendes wiederverwenden und Neues gemeinsam gestalten

  6. Barrierefreie Nutzung sicherstellen und Teilhabe stärken

  7. Offene Standards beachten und Schnittstellen bereitstellen

  8. Datenschutz umsetzen und Risiken reduzieren

  9. Sicherheit herstellen und Vertrauen schaffen

  10. Open Source nutzen und Code teilen

  11. Verfügbarkeit sichern und Störungen beheben

  12. Wirkung messen und auf Ergebnissen aufbauen

  13. Rechtliche Hürden erkennen und Regelungen verbessern

Geben Sie uns Feedback

Ihr Feedback hilft uns, den Servicestandard an den Bedürfnissen der Nutzenden auszurichten. Beschreiben Sie Ihr Anliegen so detailliert wie möglich. Geben Sie keine persönlichen Daten ein. Ihr Feedback wird auf openCode veröffentlicht.