DDV Suche
DS-GVO: Auslegungstipp "Technische und organisatorische Maßnahmen"
Unternehmen treffen in der Regel bereits aus rein betriebswirtschaftlichen Gesichtspunkten
geeignete technische und organisatorische Maßnahmen zum Schutz ihrer Daten. Die
Datenschutz-Grundverordnung verpflichtet im Hinblick auf die Verarbeitung von personenbezogenen Daten hierzu (Artikel 32). Welche Maßnahmen geeignet sind, richtet sich nach dem Stand der Technik, den Implementierungskosten und den konkreten Risiken. Im Ergebnis soll ein angemessenes Schutzniveau sichergestellt werden.
Der heutige § 9 BDSG zu den technischen und organisatorischen Maßnahmen mit seiner konkretisierenden und detaillierten Anlage wird in der bisherigen Form nicht mehr bestehen. Nach der Verordnung schließen die zu treffenden technischen und organisatorischen Maßnahmen insbesondere ein:
- Die Pseudonymisierung und Verschlüsselung personenbezogener Daten,
- die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen,
- die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem pysischen oder technischen Zwischenfall rasch wiederherzustellen,
- ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Die Verordnung verlangt weiter, bei der Beurteilung des angemessenen Schutzniveaus besonderes Augenmerk walten zu lassen: Zu berücksichtigen sind vor allem die Risiken, die mit der Verarbeitung verbunden sind – insbesondere durch unbeabsichtigte oder unrechtmäßige Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.
Schließlich gibt § 32 als Anforderung vor, dass sowohl der Verantwortliche wie auch der Auftragsverarbeiter die erforderlichen Schritte unternehmen, um sicherzustellen, dass auch die unterstellten Personen mit Zugang zu personenbezogenen Daten eine Datenverarbeitung nur auf Anweisung des Verantwortlichen vornehmen, falls sie nicht rechtlich zur Verarbeitung verpflichtet sind.
Insgesamt lässt sich feststellen, dass unter der Datenschutz-Grundverordnung die rein technischen Aspekte der Datenverarbeitung, die bisher eher unter der Thematik „IT-Sicherheit“ einzuordnen waren, eine im Vergleich zum bisherigen Bundesdatenschutzgesetz größere Bedeutung gewinnen werden. Es ist aber davon auszugehen, dass auf europäischer Ebene noch entsprechende Kriterien definiert werden müssen.
Zur Vertiefung: DDV-Best Practice Guide Europäische Datenschutz-Grundverordnung, 3. überarbeitete Auflage Juli 2019
Ihre Ansprechpartner
Gerne stehen die Mitarbeiter der DDV-Geschäftsstelle für Ihre Fragen zur Verfügung. Hier finden Sie die direkten Kontakte für häufige Fragen. Eine Liste aller Mitarbeiter finden Sie auf der Seite Geschäftsstellen.
Martina Rambach
E-Mail: m.rambach@ddv.deTel: 069 401 276-522
Fax: 069 401 276-599
Franz Peter Altemeier
E-Mail: fp.altemeier@ddv.deTel: 030 509 3209-44
Fax: 030 509 3209-55