sicherheit der verarbeitung aufsichtsbehörden datenschutz-folgenabschätzung dsfa office365 widerspruchsrecht 21 betriebsrat

Sicherheit der Verarbeitung gemäß Art. 32 DSGVO

/von

Derzeit ergeben sich die Maßnahmen, die zum Schutz der getroffenen Maßnahmen getroffen werden müssen aus dem § 9 BDSG nebst Anlage. Auch wenn die technischen und organisatorischen Maßnahmen dort mit Oberbegriffen umrissen werden, werden Kriterien zur Ermittlung einer dem jeweiligen Risiko angemessenen Maßnahme nicht genannt. Die DSGVO wird hier deutlich konkreter.

Schutzziele zur Informationssicherheit

In Artikel 32 DSGVO werden die Schutzziele, wie sie beispielsweise auch vom BSI im Grundschutzkompendium definiert werden, konkret benannt. Hierbei handelt es sich um die Ziele Vertraulichkeit, Integrität und Verfügbarkeit. Hinzugekommen ist als viertes Ziel, das der Belastbarkeit („resilience“). Was unter diesem Ziel genau zu verstehen ist, wird sich erst aus künftigen Stellungnahmen der Behörden, Kommentaren zur DSGVO oder sogar Gerichtsurteilen ableiten lassen. Eventuell ist hiermit eine Skalierbarkeit der Systeme gemeint, damit diese an steigenden Leistungs- und Sicherheitsbedarf künftig angepasst werden können.

Vorgehensweise bei der Auswahl geeigneter technischer und organisatorischer Maßnahmen

Zunächst wird es für die verantwortliche Stelle notwendig sein, den Schutzbedarf der relevanten personenbezogenen Daten festzustellen. Hierbei hat sich bereits heute die Klassifizierung in die Schutzbedarfsklassen normal, hoch und sehr hoch etabliert. Ebenso ist es bereits heute üblich, das bestehende Risiko für die Betroffenen anhand der folgenden Kriterien zu bewerten:

  1. Eintrittswahrscheinlichkeit eines bestimmten Risikos
  2. Schwere eines Risikos für die Rechte und Freiheiten natürlicher Personen

Höchste Anforderungen an die zu treffenden technischen und organisatorischen Maßnahmen werden an diejenigen Verarbeitungen gestellt, die eine hohe Eintrittswahrscheinlichkeit besitzen und gleichzeitig besonders schwere Risiken für die Rechte und Freiheiten der Betroffenen bedeuten.

Nachweispflicht für die verantwortlichen Stellen

Neu ist die in Artikel 5 DSGVO festgelegte Nachweispflicht für die Unternehmen. Nach bisherigem Stand hatte eine verantwortliche Stelle geeignete technische und organisatorische Maßnahmen zwar ebenfalls ordnungsgemäß umzusetzen. Im Zweifelsfall musste ein Betroffener bei einer vermeintlichen Verletzung seiner Persönlichkeitsrechte selbst nachweisen, dass die getroffenen Maßnahmen zum Schutz der Daten nicht geeignet oder ausreichend waren. Artikel 5 Abs. 2 DSGVO legt fest: „Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

Dies wird insgesamt dazu führen, dass technische Aspekte der Datenverarbeitung eine deutlich höhere Bedeutung für die Datenschutzverantwortlichen bekommen, als es bisher nach dem BDSG der Fall war. Ein geeignetes Mittel zum Nachweis der Einhaltung geeigneter technischer und organisatorischer Maßnahmen ist die Zertifizierung nach allgemein anerkannten Standards (beispielsweise ISO 27001).

Warten Sie nicht zu lange, mit der Umsetzung der technischen Anforderungen durch die DSGVO. Gerne berate und unterstütze ich Sie bei der Auswahl der geeigneten technischen und organisatorischen Maßnahmen. Sprechen Sie uns an!

Das könnte Sie auch interessieren
eu-dsgvo europa datenschutz-grundverordnung arbeitnehmerdatenschutz privacy shield safe harbor eprivacy verordnung dsgvo epvo brexit angemessenheitsbeschluss uk einwilligung newsletter werbung soft opt-inDSGVO von EU-Parlament verabschiedet
berichtigungSerie Betroffenenrechte: Das Recht auf Berichtigung (und Vervollständigung) nach Art. 16 DSGVO
vorabkontrolle videoüberwachung beweismittel bundesarbeitsgericht bag 4 bdsg europarechtswidrig bundesarbeitsgericht bag lag landesarbeitsgericht verwertungsverbotVideoüberwachung unter der EU-Datenschutz-Grundverordnung
betriebsrat personal vortrag schulung seminar beschäftigungsverhältnis beschäftigte standortbestimmung dsgvo fachkunde fortbildungDer Betriebsrat und der Datenschutz – was geht, was nicht?
schadenersatz betroffenenrechte auskunftsrecht löschrechtErsatz immaterieller Schäden nach der DSGVO – aktuelle Entwicklungen
sicherheit der verarbeitung aufsichtsbehörden datenschutz-folgenabschätzung dsfa office365 widerspruchsrecht 21 betriebsratSerie Betroffenenrechte: Das Widerspruchsrecht nach Art. 21 DSGVO
Allgemeines Bundesdatenschutzgesetz – ABDSGbdsg-neu abdsg recht gesetz ldsg bdsg landesdatenschutzgesetz bundesdatenschutzgesetz datenschutzbeauftragter besondere arten kategorien personenbezogener daten ds-gvo bundesrat bundestag ausweis kopieren scannen pauswg personalausweisgesetz beschäftigtendatenschutz abmahnung eprivacy-verordnung epvo stberg steuerberater auftragsverarbeitungdatenschutzerklärung generator tracking cookies analytics cookies piwikAnforderungen an eine Website aus Datenschutz-Sicht