Art.32 DSGVO
Werden personenbezogene Daten verarbeitet, so müssen angemessene Schutzmaßnahmen im Rahmen der Datensicherheit getroffen werden. Die Anforderungen an diese wachsen proportional mit der Digitalisierung der Alltags- und Unternehmensprozesse.
Im folgenden Artikel erfahren Sie mehr über rechtliche Vorgaben und Möglichkeiten der Risikoreduzierung.
Das Wichtigste auf einen Blick
1. Datenschutz und Datensicherheit
Der Datenschutz ist in den letzten Jahren ein immer wichtigeres und präsenteres Thema geworden. Doch auch die Datensicherheit sollte nicht auf der Strecke bleiben.
Im Bereich des Datenschutzes wird vor allem die Freiheit des Individuums im Umgang mit seinen personenbezogenen Daten sichergestellt.
Die Datensicherheit hingegen bezieht sich auf die allgemeine Verhinderung eines unzuläs-sigen Umgangs mit personenbezogenen Daten und die Sicherung der Daten durch geeig-nete technisch-organisatorische Maßnahmen (TOM‘s).
Der Datenschutz und die Datensicherheit sind eng miteinander verbunden: Die Ziele der beiden Begriffe lassen sich nur durchsetzen, wenn in beiden Bereichen jeweils angemessene Maßnahmen vorgenommen worden sind.
2. Ziel und Adressaten des Art. 32 DS-GVO
Die Norm verlangt, dass der Verantwortliche und der Auftragsverarbeiter geeignete tech-nische und organisatorische Maßnahmen treffen, um die Datensicherheit zu garantieren und das Risiko des Datenmissbrauchs zu reduzieren.
Aus der Norm geht also hervor, dass diese an den Verantwortlichen und, wenn bestellt, den Auftragsverarbeiter adressiert ist.
Der Verantwortliche und der Auftragsverarbeiter führen die Verarbeitung entweder selbst durch oder tragen in rechtlicher Hinsicht die Verantwortung. Daher sind sie auch gefragt, wenn es um die Schaffung geeigneter Schutzmaßnahmen geht.
3. Technisch-organisatorische Maßnahmen
Unter TOM’s sind gesetzlich vorgeschriebene Maßnahmen zu verstehen, welche die Einhaltung des Datenschutzes gewährleisten. Diese Maßnahmen betreffen viele verschie-dene Bereiche Ihres Unternehmens. Beispielsweise müssen sowohl für den physischen Zutritt als auch für den technische Zugriff TOM‘s vorgenommen werden, um Daten abzusichern.
Es gibt eine Vielzahl möglicher Szenarien, in denen es wichtig ist, Schutzmechanismen zu implementieren.
Bei der Bestimmung der Maßnahmen ist eine Verhältnismäßigkeitsprüfung vorzunehmen.
Zum einen müssen die TOM‘s im Hinblick auf die Umsetzung geeignet sein, das angestrebte Ziel zu erreichen.
Darüber hinaus sind der Stand der Technik, die Implementierungskosten, die Art, der Umfang, die Umstände und der Zweck der Verarbeitung sowie die Eintrittswahr-scheinlichkeiten und die Risikohöhe mit den Rechten und der Freiheit des Betroffenen abzuwägen.
Die Abwägung sollte dokumentiert werden, um nachweisen und erklären zu können, wie die Maßnahmen ausgewählt wurden. Ein verbleibendes Restrisiko ist zu bestimmen.
Die getroffenen Maßnahmen sollten nach Art. 32 Abs. 1 DS-GVO folgende Punkte enthalten:
3.1. Pseudonymisierung und Verschlüsselung
Die Pseudonymisierung und die Verschlüsselung sind geeignete TOM’s zur Risiko-reduzierung.
Die Pseudonymisierung wird in Art. 4 Nr. 5 DS-GVO definiert: Hierunter ist eine Verarbeitung personenbezogener Daten in einer Weise zu verstehen, die dafür sorgt, dass die Daten ohne die Hinzuziehung zusätzlicher Informationen nicht mehr den betroffenen Personen zuzuordnen sind.
Mithilfe einer Verschlüsselung werden Daten für unbefugte Personen unzugänglich gemacht.
Durch die beiden Arten der Sicherung ist das Risiko, welches der Besitz von personen-bezogenen Daten mit sich bringt, minimiert.
Die getroffenen Maßnahmen müssen regelmäßig an den Stand der Technik angepasst werden, um langfristige Sicherheit zu garantieren.
3.2. Vertraulichkeit, Integrität, Verfügbarkeit und Belastung
Bei Systemen und Dienstleistungen im Zusammenhang mit der Datenverarbeitung müssen auf Dauer TOM’s festgelegt werden, welche die in Art. 32 Abs. 1 lit. b) DS-GVO aufgeführten Punkte Vertraulichkeit, Integrität, Verfügbarkeit und Belastung beinhalten.
Der Begriff der Vertraulichkeit ist schon in den Datenschutzgrundsätzen der DS-GVO verankert. Daten sind demnach nur den Befugten in einer zulässigen und datenschutz-konformen Weise preiszugeben und vertraulich zu behandeln.
Integrität bezieht sich auf die Vollständigkeit und Richtigkeit der verarbeiteten Daten und des Verarbeitungsvorgangs.
Eine unerlaubte Änderung der Daten ist verboten. Zugleich muss eine Berichtigung erfolgen, wenn Daten unrichtig verarbeitet wurden.
Um Integrität zu gewährleisten, können elektronische Signaturen, Prüfziffern, Eingabe-kontrollen oder Berechtigungssysteme für den Zugang, Zugriff und den Zutritt erforderlich sein.
Unter Verfügbarkeit ist unter anderem die Zugriffmöglichkeit von vermittelten und verar-beiteten Daten zu verstehen. Diese sollten für den vorgesehenen Zweck genutzt werden können.
Zugleich ist aber auch eine Speicherbegrenzung geboten. Daten müssen in regelmäßigen Abständen gelöscht werden, wenn sie nicht mehr für den angedachten Zweck benötigt werden.
Belastbarkeit umfasst nicht nur die Widerstandsfähigkeit, sondern auch die Robustheit und Anpassungsfähigkeit der getroffenen TOM’s.
Fehler und Zwischenfällen passieren.
Diese können nicht nur auf menschliches und technisches Versagen, sondern auch auf gezielte Angriffe oder neue Erkenntnisse über Rechtssicherheiten zurückzuführen sein. Es gilt, die notwendigen Maßnahmen nicht nur im minimal erforderlichen Umfang umzusetzen, sondern diese stets zu aktualisieren und auf den Stand der Technik zu halten.
Geschehen kann das beispielsweise, wenn die Angriffsfläche minimiert, ein Fehler direkt erkannt und das Personal ausreichend im Bereich der Datensicherheit geschult wird.
3.3. Wiederherstellbarkeit
Hat es einen datenschutzrechtlich relevanten Vorgang gegeben, so ist der Zugang und der Schutz wiederherzustellen und die Datensicherheit schnellstmöglich zu verbessern.
Es müssen daher TOM’s geschaffen werden, um auf einen solchen Vorfall angemessen zu reagieren. Hierbei muss auch die Einhaltung der Betroffenheitsrechte berücksichtigt werden.
3.4. Überprüfung, Bewertung und Evaluation
Ein geeignetes und angemessenes Schutzniveau soll dauerhaft aufrechterhalten werden. Da sich die tatsächlichen und rechtlichen Gegebenheiten der TOM’s regelmäßig ändern, ist es wichtig, wiederkehrende Überprüfungen vorzunehmen, die Maßnahmen zu bewerten und kritisch zu evaluieren.
Darüber hinaus gehört die Vornahme dieser Maßnahmen zu den Pflichten des Verantwortlichen oder des Auftragsverarbeitenden.
Die Zeitabstände der Überprüfung, Bewertung und Evaluation hängen vom Risiko und der Bedrohung ab. Die Vornahme kann beispielsweise wie folgend dargestellt erfolgen:
Zuerst wird die Wirksamkeit der getroffenen Maßnahmen getestet.
Neben den geplanten Tests sind auch Auswertungen von Sicherheitsanzeigen, Warnungen der Experten und andere Auffälligkeiten einzuarbeiten und zu beachten.
Die Tests können auf dem Computer (z. B. gezielter Angriff, Möglichkeit des Zugriffs auf sensible Dateien), aber auch in den Räumlichkeiten des Büros vorgenommen werden (z. B. Überprüfung der Sicherung der Aktenschränke, Passwörter in Schreibtischnähe).
Wird das Sicherheitssystem nach der Überprüfung in bestimmten Punkten unzureichend bewertet, so müssen im Rahmen der Evaluation Verbesserungen, Änderungen oder Umge-staltungen erfolgen.
Die genannten Punkte und Maßnahmen sind vor allem im Bereich der Prävention des Datenmissbrauchs erforderlich.
Es besteht eine kontinuierliche Umsetzungsverpflichtung.
4. Beurteilung eines angemessenen Schutzniveaus
In Art. 32 Abs. 2 DS-GVO wird die Bedeutung des Schutzniveaus bei der Verarbeitung personenbezogener Daten hervorgehoben.
Die Sicherheit der Daten sollte also bei der Verarbeitung besonders berücksichtigt und angemessene Maßnahmen getroffen werden.
Mögliche Risiken ergeben sich hierbei unter anderem durch Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von Daten durch Fremdeinflüsse, höhere Gewalt oder Bedienungsfehler.
5. Verhaltensregeln und Nachweise
Nach Art. 32 Abs. 3 DS-GVO können genehmigte Verhaltensregeln oder Zertifi-zierungsverfahren als Faktor genutzt werden, um die Anforderungen in Abs. 2 (Hier 3.1. – 3.4.) nachzuweisen.
Da nur von einem „Faktor“ gesprochen wird, sind für den Nachweis weitere Prüfungen erforderlich, um davon sicherzustellen, dass ein angemessenes Sicherheitsniveau gegeben ist.
Die Verhaltensregel und Zertifizierungsverfahren müssen regelmäßig überprüft werden.
Dabei sollte eine Dokumentation der Prüfung vorgenommen werden.
6. Verarbeitung und Zugang unter Weisung
Eine weitere Schutzmaßnahme für die Datensicherheit ist in Art. 32 Abs. 4 DS-GVO aufgeführt: Personen, die Zugang zu personenbezogenen Daten haben, dürfen nur auf Weisung des Verantwortlichen oder des Auftragsverarbeitenden tätig werden. Eine Ausnahme gilt, wenn diese vom nationalen oder europäischen Recht vorgesehen ist.
Außerdem sollten die weisungsbefugten Personen umfangreich im Bereich der Datensicherheit geschult werden.
Durch die Regelung wird der unbefugte Zugang zu Daten erheblich erschwert. Das weisungsfremde Handeln ist ein sehr bekanntes Risiko für die Sicherheit der Daten.
Mögliche Fehler sind zudem besser zuzuordnen und nachzuvollziehen.
7. Fazit
Die Datensicherheit gewinnt wie der Datenschutz immer mehr an Bedeutung.
In der Praxis ist die Umsetzung der TOM’s durch einen sehr umfangreichen Maßnahmen-katalog für den datenschutzrechtlichen Laien oft unübersichtlich.
Es gibt viele verschiedene Punkte und Szenarien, bei denen eine genaue Anpassung an das Unternehmen und die durchgeführten Verarbeitungsvorgänge vorgenommen werden muss.
Darüber hinaus sind regelmäßige Überprüfungen, Bewertungen und Evaluationen erforderlich.
Einen Leitfaden für die Umsetzung von TOM’s finden Sie in unserem Datenschutzpaket.
Gerne beraten wir Sie auch bei jeglichen Fragen zur Datensicherheit in Ihrem Unternehmen.
Ähnliche spannende Beiträge
Art 33 DSGVO
Haftung und Recht auf Schadensersatz nach Art 82 DSGVO. Was gibt es zu beachten und für welche Fälle ist eine Haftung vorgesehen?
Art 32 DSGVO
Art 32 DSGVO behandelt die technisch-organisatorischen Maßnahmen. Wir informierenm Sie, wie diese umgesetzt werden müssen.
Artikel 15 DSGVO
In Artikel 15 DSGVO sind die Betroffenenrechte normiert. In diesem Artikel erfahren Sie, welche das sind und was es in der Praxis zu beachten gibt.
Art 82 DSGVO
Haftung und Recht auf Schadensersatz nach Art 82 DSGVO. Was gibt es zu beachten und für welche Fälle ist eine Haftung vorgesehen?
Art 9 DSGVO
Art 9 DSGVO regelt die Ausnahmen für die Verarbeitung von personenbezogenen Daten. Wir informieren Sie, wann die Verarbeitung zulässig ist.
Art 26 DSGVO
Art 26 DSGVO behandelt die gemeinsame Verantwortlichkeit von Unternehmen und Auftraggebern. Wir informieren Sie über alles Wichtige.