Die beiden Begriffe, „Privacy by design“ und „Privacy by default“, beschreiben datenschutzrechtliche Vorgaben, um ein möglichst hohes Schutz-Niveau zu erreichen. Datenschutz sollte keine Ausnahme sein, sondern der Normalfall.
Das Design, also die zugrundeliegende Gestaltung von Software, Hardware oder auch Dienstleistungen, sollte so gestaltet sein, dass ein grundsätzlich höchstmögliches Ausmaß an Privatsphäre gewährleistet wird. Dies kann z.B. dadurch erreicht werden, dass systembedingt lediglich jene Daten verarbeitet werden, die für die reibungslose Funktionalität einer Software, Hardware oder Dienstleistung wirklich notwendig sind.
Oftmals liegt es im Auge des Benutzers, sinnvoll zu entscheiden, wieviel seiner Daten er preisgeben möchte, um eine bestimmte Funktion eines Produkts nutzen zu können. Sofern er sich bereit erklärt, mehr personenbezogene Daten vom ihm für die Nutzung freizugeben, z.B. um etwaige Zusatzleistungen in Anspruch nehmen zu können, so sollte ihm hierfür die Option offenstehen. Privacy by default beschreibt dabei den Zustand, dass ohne Eingreifen des Nutzers ein Höchstmaß an Privatsphäre gewährleistet sein soll und der Nutzer von diesem abweichen kann, sofern gewollt. Nicht jedoch umgekehrt, indem der Nutzer einen Mehraufwand tätigen müsse, um das gewollte Niveau an Privatsphäre zu erreichen.