Sind Datenschutzmaßnahmen notwendig?
Für das Verwenden von Daten müssen bestimmte Voraussetzungen erfüllt und Maßnahmen zum Datenschutz getroffen werden. Ein Verstoß gegen das Datenschutzgesetz kann Verwaltungsstrafen und gerichtliche Folgen nach sich ziehen.Öffentliche oder nichtöffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen. Diese sind erforderlich, um die Ausführung der Vorschriften der DSGVO und der BDSG-neu, insbesondere die in der Anlage zu dieser Verordnung und dem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Datenschutzmaßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.
Datensicherheit muss gewährleistet werden
Neben dem Datenschutz muss auch immer die Datensicherheit gewährleistet werden. Das heißt, dass personenbezogene Daten durch geeignete Datenschutzmaßnahmen zu schützen sind.
Der Verantwortliche trifft unter Berücksichtigung von
- Stand der Technik, Implementierungskosten
- Art, Umfang, Umständen, Zwecken der Verarbeitung
- Eintrittswahrscheinlichkeit des Risikos für die Rechte und Freiheiten natürlicher Personen und Schwere der Risiken zum Zeitpunkt der Festlegung der Mittel und zum Zeitpunkt der Verarbeitung
geeignete technische und organisatorische Maßnahmen, die darauf ausgelegt sind, die Datenschutzgrundsätze umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Datenschutzmaßnahmen gemäß der EU-DSGVO und BDSG-neu
Die Datenschutzmaßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden. Gefordert ist auch eine Rechenschaftspflicht über Maßnahmen nach Art. 5 Abs. 2 DSGVO.
In der DSGVO gibt es keine Vorgabe von Maßnahmenkategorien wie in § 9 BDSG und Anlage zum BDSG. Diese sind in BDSG-neu § definiert
Künftig müssen Vorgaben des Art. 32 DSGVO umgesetzt werden, d.h. auch Abwägung der Maßnahmen nach Schutzbedarfsanalyse. Anforderungen an Maßnahmen ähnlich den IT-Sicherheitsgesetzen, vgl. §13 Abs. 7 TMG.
Geeignete Maßnahmen sind in Art. 32 Abs. 1 der DSGVO beschrieben und umfassen u.a.:
- die Pseudonymisierung und Verschlüsselung der personenbezogenen Daten;
- die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung der Daten;
(sie müssen gewährleisten, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität));
- ein Verfahren zur Gewährleistung des Zugangs zu den personenbezogenen Daten um bei einem physischen oder technischen Zwischenfall rasch wieder herzustellen; (sie müssen gewährleisten, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden kann (Wiederherstellbarkeit))
- ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. (sie müssen gewährleisten, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit).
Das Prinzip der Integrität und Vertraulichkeit aus Art. 5 Abs. 1 lit. f. der DSGVO, das eine angemessene Sicherheit der personenbezogenen Daten verlangt (auch aus Sicht der betroffenen Person, nicht nur aus Sicht des Verantwortlichen), wird insbesondere mit den Regelungen in Art. 24, Art. 25 und Art. 32 der DSGVO umgesetzt.
DSGVO Art. 24 Abs. 1 formuliert die Pflichten des Verantwortlichen im Hinblick auf die zu ergreifenden technischen und organisatorischen Maßnahmen. Erforderlich sind Maßnahmen, um „sicherzustellen und den Nachweis erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt“. Diese Maßnahmen sind erforderlichenfalls zu überprüfen und zu aktualisieren.
Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.
Um zu bestimmen, welche spezifischen Schutzmaßnahmen zu treffen sind, ist immer eine Abwägung der Erfordernisse vorzunehmen. Ändern sich die jeweils zu berücksichtigenden Umstände (z.B. eine Änderung der Eintrittswahrscheinlichkeit auf Grund neuer technischer Möglichkeiten), ist eine neue Bewertung und ggfs. die Aktualisierung / Anpassung der Schutzmaßnahmen erforderlich.