Der Euro­päi­sche Daten­schutz­aus­schuss (EDSA) hat den auf den 13. Novem­ber 2019 datier­ten Ent­wurf von Leit­li­ni­en zu Pri­va­cy by Design und Pri­va­cy by Default i.S.v. Art. 25 DSGVO ver­öf­fent­licht (Gui­de­lines 4/2019 on Artic­le 25 Data Pro­tec­tion by Design and by Default). Der Ent­wurf liegt zur Kon­sul­ta­ti­on auf, Stel­lung­nah­men wer­den bis am 16. Janu­ar 2020 entgegengenommen.

Die (pri­ma vista nicht sehr ergie­bi­gen) Leit­li­ni­en ent­hal­ten zur Haupt­sa­che eine Ana­ly­se von Art. 25 DSGVO. Da Art. 25 Abs. 1 DSGVO ver­langt, dass geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Mass­nah­men (TOMs) getrof­fen wer­den – nur eben nicht erst zum Zeit­punkt der eigent­li­chen Ver­ar­bei­tung, son­dern bereits zum “Zeit­punkt der Fest­le­gung der Mit­tel für die Ver­ar­bei­tung” – sind die Aus­füh­run­gen des EDSA gene­rell für die Bestim­mung ange­mes­se­ner TOMs relevant.