Die Datenschutzgrundverordnung fordert von der Verantwortlichen Stelle (also immer der Führung eines Unternehmens oder einer Institution) die Umsetzung geeigneter technischer und organisatorischer Maßnahmen auf dem Stand der Technik. In Erwägungsgrund 78 der DSGVO wird konkretisiert: „Um die Einhaltung dieser Verordnung nachweisen zu können, sollte der Verantwortliche interne Strategien festlegen und Maßnahmen ergreifen, die insbesondere den Grundsätzen des Datenschutzes durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) Genüge tun.“ Hieraus ergeben sich nun verschiedene Anforderungen an die Verantwortliche Stelle. Insbesondere muss Sie den Nachweis der Umsetzung von Privacy by Design beim Einkauf z.B. von Soft- und Hardware und der Entwicklung und Implementierung von Prozessen führen. Hierzu sollte eine entsprechende Richtlinie im Unternehmen veröffentlicht und berücksichtigt werden.
Für die Umsetzung des Privacy by Design ist dabei die notwendige Einhaltung der Betroffenenrechte (Löschung, Auskunft, Einschränkung, Datenübertragbarkeit), die datenschutzfreundliche Implementierung (Privacy by Design) neuer Verarbeitungen und die nachweisliche Einhaltung der Datenschutzgrundsätze (Datensicherheit, Datensparsamkeit, Zweckbindung, Transparenz) mit Maßnahmen wie Anonymisierung, Pseudonymisierung oder allgemein Schaffung von Vertraulichkeit, Verfügbarkeit und Integrität, für personenbezogene Daten zu berücksichtigen.