Die Pflicht, Datenschutz bereits im Designstadium einer Datenverarbeitung zu berücksichtigen, soll sicherstellen, dass das Unternehmen nicht später mit dem Verweis auf technische Notwendigkeiten die Umsetzung von Datenschutzpflichten für unmöglich erklären kann. Systeme, mit denen Daten verarbeitet werden sollen, müssen also von Anfang an so ausgestaltet werden, dass die Grundsätze der DSGVO (z.B. Erforderlichkeitsprinzip, Transparenzprinzip) im operativen Betrieb auch umsetzbar sind.

Die wohl größte Herausforderung besteht dabei wohl darin, dass nicht der Hersteller, sondern der Verantwortliche - also das Unternehmen, das das System letztlich einsetzt - in der Pflicht ist, Privacy by Design umzusetzen. Entsprechend sollte ein datenschutzkonformer Designstandard mit dem Hersteller vertraglich vereinbart werden, um nicht später mit einem datenschutzrechtlich unbrauchbaren System arbeiten zu müssen.

Dies gilt gleichermaßen für den Privacy-by-Default-Grundsatz: Systeme müssen so konfigurierbar sein, dass sie im Startzustand der Verarbeitung nur solche Daten verarbeiten, die zwingend für den jeweils verfolgen Zweck erforderlich sind. Ist also ein bestimmtes App-Feature (z.B. Personalisierung) für die Erfüllung eines bestimmten Verarbeitungszwecks (z.B. Texte verfassen) nicht erforderlich, muss dieses zunächst deaktiviert bleiben bis der Betroffene es gezielt aktiviert.

So, wie auch alle anderen Pflichten der DSGVO ist die Erfüllung der Privacy-by-Design und -Default-Grundsätze bußgeldbewehrt.