Verwandte Artikel und Erwägungsgründe
Home » DSGVO » Grundsätze » Integrität und Vertraulichkeit » Verwandte Artikel und Erwägungsgründe

Während Art. 5 Absatz 1 Buchstabe fDSGVO abstrakt besagt, dass „geeignete technische oder organisatorische Maßnahmen“ zu ergreifen sind, um die oben genannten Sicherheitsziele zu erreichen, enthält Art. 32 DSGVO weitere Details.

In Artikel 32 Absatz 1 heißt es, dass die Verantwortlichen bei der Entscheidung über geeignete Maßnahmen „den Stand der Technik und die Impmenentierungskosten“ sowie „die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung“ berücksichtigen mussen.Insbesondere der Kontext der Verarbeitung ist hier von Bedeutung, da man argumentieren kann, dass die aktuelle Bedrohungslage ein Aspekt davon ist.Wie erwartet, muss der Verantwortliche auch „die Risiken für die Rechte und Freiheitennatürlicher Personen“ berücksichtigen.

Das erforderliche Schutzniveau hängt also eindeutig von der Schwere der möglichen unerwünschten Folgen ab, denen die betroffenen Personen ausgesetzt sind, sowie von einem Bedrohungsmodell, das die Wahrscheinlichkeit unerwünschter Ereignisse abschätzt.Sicherheit ist also nur ein Mittel, kein Ziel an sich.Das Sicherheitsniveau ist ausreichend, wenn die Risiken für die betroffenen Personen auf ein akzeptables Maß reduziert werden.Die Auswahl der Maßnahmen hängt sowohl davon ab, was der Markt zu bieten hat, als auch davon, wie kosteneffizient diese Maßnahmen sind.

Art. 32 Absatz 1 Buchstabe d der Datenschutz-Grundverordnung besagt, dass Sicherheit ein Verfahren ist und kein einmal erreichtes Ziel.Insbesondere verlangt die DSGVO „ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“.

Art. 32 Absatz 2DSGVO enthält zusätzliche Details zu den Schutzzielen, indem er „Vernichtung, Verlust, Veränderung oder unbefugte Offenletungbeziehungsweise unbefugten Zugang – ob unbeabsichtigt oder unrechtmäßig – zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurde“ aufzählt.

Artikel 32 Absatz 3 DSGVO schlägt vor, dass „die Einhaltunggenehmigter Verhaltensregelnoder eines genehmigten Zertifizierungsverfahrens als Faktor herangezogen werden kann, umdie Einhaltung“ des Grundsatzes der Integrität und Vertraulichkeit nachzuweisen.

Art. 32 Absatz 4 DSGVO stellt klar, dass ein wichtiges Element der Sicherheit darin besteht, sicherzustellen, dass unterstellte natürlich Personen nur auf Anweisung des Verantwortlichen handeln.Dies ist notwendig, um eine klare Verantwortung und Rechenschaftspflicht festzulegen.Es ist auch notwendig, um die Anforderung von Art. 5 Absatz 1 Buchstabe f zum „Schutz vor unbefugter oder unrechtmäßiger Verarbeitung“ zu erfüllen.

Aus Art. 25 DSGVO folgt, dass alle von der DSGVO gestellten Anforderungen, einschließlich der Sicherheit, während des gesamten Lebenszyklus der Verarbeitungstätigkeit berücksichtigt werden müssen.Die Datenschutz-Grundverordnung verlangt also auch Sicherheit durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen.Die Sicherheit muss also auch zu Beginn des Lebenszyklus berücksichtigt werden, z. B. durch entsprechende Anforderungen bei einer Ausschreibung, und am Ende des Lebenszyklus, z. B. bei der Migration zu einem neuen Verarbeitungssystem und der Demontage des alten Systems.

Art. 30 Absatz 1 Buchstabe g DSGVO verlangt, dass die technischen und organisatorischen Maßnahmen in den an die Aufsichtsbehörden gerichteten Verzeichnissen von Verarbeitungstätigkeitenausdrücklich aufgeführt werden.

Skip to content