Im Folgenden wird die Anforderung von Art. 25 Absatz 1DSGVO analysiert, dass die Maßnahmen „wirksam“umgesetzt werden müssen.Dies geschieht im Zusammenhang mit dem übrigen Wortlaut von Art. 25 Absatz 1DSGVO.
Im Gegensatz zu der vorangegangenen Analyse dient die vorliegende Analyse nicht dazu, Bereiche zu ermitteln, für die Maßnahmen gefunden werden müssen.Vielmehr wird sie als ein wichtiger Aspekt verwendet, der bei jeder der vorgeschlagenen Maßnahmen berücksichtigt werden muss.
Art. 25 Absatz 1 DSGVO verpflichtet die Verantwortlichen, geeignete Maßnahmen zu ergreifen, „die dafür ausgelegt sind, dieDatenschutzegrundsätze umzusetzen“, um „die notewndigen Garantien in die Verarbeitung aufzunehmen“.In diesem Zusammenhang bringt das Erfordernis der Wirksamkeit zum Ausdruck, dass die Durchführung von Maßnahmen kein Ziel an sich ist. Vielmehr sind die Maßnahmen nur dann von Wert, wenn sie die Datenschutzgrundsätze wirksam umsetzen und die Garantien aufnehmen.Folglich wäre die bloße Umsetzung von Maßnahmen ohne Berücksichtigung ihrer Wirksamkeit ein sinnloses Unterfangen.
Die Kontexte, in denen die Wirksamkeit zu analysieren ist, werden in Art. 25 Absatz 1DSGVO in Form von denVerantwortlichen zu berücksichtigenden Aspekten bereitgestellt.Im Einzelnen handelt es sich um die folgenden Aspekte [in einer anderen Reihenfolge als im Text der DSGVO]:
- „die unterschiedliche Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen“,
- „die Implementierungskosten“,
- „der Stand der Technik“ und
- „Art, Umfang, Umstände und Zwecke der Verarbeitung“.
Wenn man die Wirksamkeit im Zusammenhang mit den Risiken für die betroffenen natürlichen Personen betrachtet, ist es offensichtlich, dass die Maßnahme wirksam sein muss, um die Risiken zu vermindern.Dies impliziert auch eine gewisse Verhältnismäßigkeit im Hinblick auf das Ausmaß der Risiken.Bei der Betrachtung eines Bündels umgesetzter Maßnahmen ist deren Wirksamkeit ausreichend, wenn sie geeignet sind, das Risiko auf ein akzeptables Maß zu reduzieren.
Bei der Betrachtung der Wirksamkeit im Zusammenhang mit den Kosten scheint die Datenschutz-Grundverordnung anzuerkennen, dass die für die Durchführung von Maßnahmen zur Verfügung stehenden Ressourcen begrenzt sind und effektiv genutzt werden sollten.Dies erlaubt es den Verantwortlichen, weniger teure, kosteneffiziente Maßnahmen anstelle von teuren Maßnahmen mit ähnlicher Wirkung einzusetzen. Mit anderen Worten: Das Kriterium ist die Wirksamkeit, nicht die Erschwinglichkeit oder die Kosten für die Verantwortlichen als solche. Die Berücksichtigung der Kosten lässt zwar die Möglichkeit offen, dass die Kosten als überhöht angesehen werden, doch können hohe Kosten nicht als Rechtfertigung dafür dienen, die in verschiedenen Kontexten erforderliche Wirksamkeit außer Acht zu lassen. Sind die Kosten, die zur Gewährleistung eines angemessenen Garantieniveaus erforderlich sind, für einen Verantwortlichen zu hoch, sollte er von der Verarbeitung Abstand nehmen.
Betrachtet man die Wirksamkeit im Zusammenhang mit dem Stand der Technik, so hat dies zweierlei Konsequenzen.Einerseits wird verhindert, dass die Verantwortlichen neue Maßnahmen ignorieren und das Schutzniveau nicht an den Stand der Technik anpassen.Andererseits kann ein Verantwortlicher nicht verpflichtet werden, Maßnahmen umzusetzen, die in einem Forschungspapier beschrieben wurden, ohne dass sie in einer betrieblichen Umgebung getestet oder nutzbar gemacht wurden.In Situationen, in denen die Verantwortlichen darauf angewiesen sind, dass der Markt bestimmte Arten von Software bereitstellt, kann es für die Verantwortlichen gerechtfertigt sein, die implementierten Maßnahmen auf die tatsächlich auf dem Markt verfügbaren zu beschränken, wenn diese ausreichen, um einen wirksamen Schutz zu gewährleisten.Wie im Zusammenhang mit den Kosten kann dies jedoch nicht von den Wirksamkeitsanforderungen in anderen Zusammenhängen absehen.
Im Zusammenhang mit Sicherheitsmaßnahmen kommt dem Stand der Technik eine besondere Bedeutung zu.Die Cybersicherheit kann als ein Wettrüsten zwischen Angreifern und Verteidigern betrachtet werden.In der sich ständig weiterentwickelnden Bedrohungslandschaft finden die Angreifer immer ausgefeiltere Angriffsmethoden, während die Verteidiger immer wirksamere Mittel zur Abwehr von Angriffen finden.Dies macht deutlich, dass das Konzept einer „effektiven Verteidigung“ ständig in Bewegung ist.In diesem Zusammenhang sind aktuelle Informationen über Bedrohungen und verfügbare Verteidigungsmaßnahmen wichtig, um die Wirksamkeit der eingeführten Maßnahmen zu beurteilen.Auch die Nichtumsetzung neuer Maßnahmen, z. B. in Form von sicherheitskritischen Updates oder Patches, kann von den Verantwortlichen nicht gerechtfertigt werden (außer in dem seltenen Fall, dass die neuen Maßnahmen für die Verarbeitungstätigkeiten und die damit verbundenen Risiken irrelevant sind).
DerEDSA weist in seinen Leitlinien zu Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen darauf hin, dass der Stand der Technik nicht nur durch technische Maßnahmen definiert wird, sondern auch organisatorische Maßnahmen wie Rahmen, Standards, Zertifizierungen und Verhaltensregeln[1] umfasst.
Bei der Betrachtung der Wirksamkeit in Bezug auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung wird anerkannt, dass die Maßnahmen auf die jeweilige Verarbeitung abgestimmt werden müssen.Eine Maßnahme, die für ein traditionelles Informationssystem wirksam ist, das Menschen bei der Entscheidungsfindung unterstützt, ist möglicherweise nicht wirksam, wenn sie auf eine maschinelle Lernanwendung angewandt wird, die automatische Entscheidungen trifft; eine Maßnahme, die für eine Verarbeitung in geringem Umfang in einer kleinen Umgebung gut funktioniert, lässt sich möglicherweise nicht auf eine Verarbeitung in großem Umfang übertragen; und eine Maßnahme, die wirksam ist, wenn vertrauenswürdige Auftragsverarbeiter eingesetzt werden (die selbst der DSGVO unterliegen), ist möglicherweise nicht wirksam und ausreichend, wenn weniger vertrauenswürdige Auftragsverarbeiter eingesetzt werden (z. B. solche, die in Drittländern ansässig und selbst nicht an die DSGVO gebunden sind).
Laut Art. 5 Absatz 2müssen die Verantwortlichen in der Lage sein, die Einhaltung der Datenschutz-Grundverordnung nachzuweisen.Ein wichtiger Aspekt dabei ist der Nachweis, dass die durchgeführten Maßnahmen tatsächlich wirksam sind.Dies sollte ein integraler Bestandteil des Entscheidungsprozesses darüber sein, welche Maßnahmen umgesetzt werden sollen.Die Dimensionen der Wirksamkeit sind in Art. 25 Absatz 1 aufgeführt und wurden oben bereits erörtert.
Quellenangaben
1Siehe Absatz 22 der EDSA-Leitlinien zur Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen. ↑