Gemäß Erwägungsgrund 78 der Datenschutz-Grundverordnung „ist es zum Schutz der in Bezug auf die Verarbeitung personenbezogener Daten bestehenden Rechte und Freiheiten natürlicher Personen erforderlich, dass geeignete technische und organisatorische Maßnahmen getroffen werden, damit die Anforderungen [der DSGVO] erfüllt werden.“ Diese Bestimmung, die einen Eckpfeiler des Rechtsrahmens darstellt, wird für den besonderen Fall der Verarbeitung zu Forschungszwecken weiter ausgeführt. Erwägungsgrund 156 und Artikel 89 DSGVO fordern die Umsetzung „geeigneter Garantien“ und betonen die Bedeutung des Schutzes der Rechte und Freiheiten natürlicher Personen.
Die DSGVO enthält keine umfassende Liste technischer und organisatorischer Maßnahmen, sondern überlässt es dem Verantwortlichen, diese zu ermitteln und ihre Wirksamkeit zur Minderung der Risiken für die betroffenen Personen zu bewerten. Außerdem sollten die Forscher eine externe Sicherheits- und Datenschutzüberprüfung zwecks Bestätigung in Betracht ziehen, dass die Sicherheits- und Compliance-Maßnahmen solide sind, und um die Einhaltung des Grundsatzes der Rechenschaftspflicht nachzuweisen.
| Beispiele für technische und organisatorische Maßnahmen. | |
| Technische Maßnahmen | Organisatorische Maßnahmen |
| Anonymisierung oder Pseudonymisierung der Daten[1] | Sicherheitsrichtlinien |
| Verschlüsselung der Kommunikation | Datenmanagementpläne |
| Schutz der Daten vor unbefugtem Zugriff | Schulungsprogramm für das Personal |
| Schwachstellenanalyse/Penetrationstests | Regelmäßige Überprüfungen und Bewertungen |
Quellenangaben
1Weitere Informationen zur Anonymisierung finden Sie in Abschnitt 3.3.5 Löschung oder Vernichtung von Daten. Weitere technische Informationen finden Sie unterPANELFIT DOCUMENT ON ANONYMISATION ↑