Artikel 32 DSGVO: Sicherheit der Verarbeitung

Kategorien: Datenschutz, Recht und Übersicht

Der Artikel 32 der Datenschutz-Grundverordnung (DS-GVO) regelt die Sicherheit der Verarbeitung. Er ist auch bei E-Mail Kommunikation und anderen elektronischen Datentransfers anzuwenden. Er besagt:

Gesetzestext

(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:

a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;

b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;

c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;

d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

(2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden – verbunden sind.

(3) Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.

(4) Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.

Bemerkungen

Der in Absatz 1 dieses Artikels genannte Stand der Technik ist ein strengeres Kriterium als es beispielsweise die anerkannten Regeln der Technik sind. Innerhalb der EU wird als Rechtsbegriff statt dem Stand der Technik häufig die Formulierung der besten verfügbaren Techniken verwendet. Diese Formulierung zeigt deutlich, dass die Anforderungen an die Absicherung von Systemen sehr hoch angesetzt werden. Es reicht demnach nicht, eine gute Absicherung zu gewährleisten, sondern es muss eine Absicherung gewährleistet werden, die mit den besten verfügbaren Mitteln erreicht werden kann. Hierbei kann durchaus die Leistbarkeit einer Anschaffung berücksichtigt werden. Das IT-Grundschutz-Kompendium des BSI definiert den Stand der Technik in Abschnitt 1.2 so: „Anforderungen und Maßnahmen, die den Stand der Technik abbilden, entsprechen dem, was zum jeweiligen Zeitpunkt einerseits technisch fortschrittlich und andererseits in der Praxis als geeignet erwiesen haben.“

Auch interessant

• E-Mail Transportverschlüsselung
• Art. 5 DSGVO: Grundsätze für die Datenverarbeitung
• Art. 25 DSGVO: Datenschutz durch Technikgestaltung
• Art. 6 DSGVO: Rechtsgrundlagen der Verarbeitung
• Art. 13 DSGVO: Informationspflichten
• Art. 26 DSGVO: Gemeinsame Verantwortlichkeit