Unternehmen treffen in der Regel bereits aus rein betriebswirtschaftlichen Gesichtspunkten

geeignete technische und organisatorische Maßnahmen zum Schutz ihrer Daten. Die

Datenschutz-Grundverordnung verpflichtet im Hinblick auf die Verarbeitung von personenbezogenen Daten hierzu (Artikel 32). Welche Maßnahmen geeignet sind, richtet sich nach dem Stand der Technik, den Implementierungskosten und den konkreten Risiken. Im Ergebnis soll ein angemessenes Schutzniveau sichergestellt werden.

Der heutige § 9 BDSG zu den technischen und organisatorischen Maßnahmen mit seiner konkretisierenden und detaillierten Anlage wird in der bisherigen Form nicht mehr bestehen. Nach der Verordnung schließen die zu treffenden technischen und organisatorischen Maßnahmen insbesondere ein:

• Die Pseudonymisierung und Verschlüsselung personenbezogener Daten,
• die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen,
• die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem pysischen oder technischen Zwischenfall rasch wiederherzustellen,
• ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Die Verordnung verlangt weiter, bei der Beurteilung des angemessenen Schutzniveaus besonderes Augenmerk walten zu lassen: Zu berücksichtigen sind vor allem die Risiken, die mit der Verarbeitung verbunden sind – insbesondere durch unbeabsichtigte oder unrechtmäßige Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.

Schließlich gibt § 32 als Anforderung vor, dass sowohl der Verantwortliche wie auch der Auftragsverarbeiter  die erforderlichen Schritte unternehmen, um sicherzustellen, dass auch die unterstellten Personen mit Zugang zu personenbezogenen Daten eine Datenverarbeitung  nur auf Anweisung des Verantwortlichen vornehmen, falls sie nicht rechtlich zur Verarbeitung verpflichtet sind.

Insgesamt lässt sich feststellen, dass unter der Datenschutz-Grundverordnung die rein technischen Aspekte der Datenverarbeitung, die bisher eher unter der Thematik „IT-Sicherheit“ einzuordnen waren, eine im Vergleich zum bisherigen Bundesdatenschutzgesetz größere Bedeutung gewinnen werden. Es ist aber davon auszugehen, dass auf europäischer Ebene noch entsprechende Kriterien definiert werden müssen.

Zur Vertiefung: DDV-Best Practice Guide Europäische Datenschutz-Grundverordnung, 3. überarbeitete Auflage Juli 2019