Art. 25 – DSGVO – Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen — wie z. B. Pseudonymisierung — trifft, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.
(2) Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.
(3) Ein genehmigtes Zertifizierungsverfahren gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in den Absätzen 1 und 2 des vorliegenden Artikels genannten Anforderungen nachzuweisen.
Erwägungsgründe
Häufig gestellte Fragen
Die DSGVO verpflichtet Verantwortliche und Auftragsverarbeiter, technische und organisatorische Maßnahmen (TOMs) zu implementieren, die ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten. Dabei sind insbesondere die Vorgaben aus Art. 25 DSGVO (Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen) und Art. 32 DSGVO (Sicherheit der Verarbeitung) relevant.
Was fordert Art. 25 DSGVO?
Art. 25 DSGVO (Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen) verlangt, dass der Datenschutz bereits bei der Entwicklung von Prozessen und Technologien berücksichtigt wird („Privacy by Design“). Datenverarbeitungsprozesse müssen so gestaltet werden, dass personenbezogene Daten bestmöglich geschützt und nur die notwendigen Daten verarbeitet werden („Privacy by Default“).
Was regelt Art. 32 DSGVO?
Art. 32 DSGVO (Sicherheit der Verarbeitung) fordert geeignete technische und organisatorische Maßnahmen, um ein der jeweiligen Datenverarbeitung angemessenes Schutzniveau sicherzustellen. Die Angemessenheit wird anhand von Faktoren wie:
- Art, Umfang, Umstände und Zwecke der Verarbeitung,
- Eintrittswahrscheinlichkeit und Schwere eines potenziellen Schadens für Betroffene und
- wirtschaftliche und technische Realisierbarkeit bewertet.
Verantwortliche müssen nachweisen können, dass ihre Maßnahmen dem Risiko angemessen sind.
Dabei müssen aber die Kosten und die anderen Faktoren der Betriebsorganisation nicht außer Acht gelassen werden, es gilt also eben NICHT „Für den Datenschutz darf nichts zu teuer sein!“.
Was bedeutet „Stand der Technik“?
Der „Stand der Technik“ bezieht sich auf bewährte Technologien und Verfahren, die als sicher und wirksam anerkannt sind. Er ist dynamisch und erfordert, dass Unternehmen ihre Sicherheitsmaßnahmen kontinuierlich aktualisieren.
Dabei ist die tatsächliche Risikoexposition und der Risikoappetit des Unternehmens entscheidend: Je sensibler die Daten und je größer die potenziellen Risiken, desto höhere Anforderungen müssen an die eingesetzten Technologien gestellt werden.
Daher ist die in der NIS2-Regulierung geforderte Risikoanalyse so entscheidend.
Welche Rolle spielt die NIS2-Richtlinie?
Die NIS2-Richtlinie sowie die Anforderungen des neuen BSIG ergänzt die DSGVO, indem sie EU-weit verbindliche Standards für Cybersicherheit definiert. Sie stellt klarere Anforderungen an den technischen Umsetzungsstandard und gilt insbesondere für kritische Infrastrukturen und Unternehmen, die essentielle Dienste erbringen. Dies schafft eine verlässliche Orientierung für die praktische Umsetzung der Sicherheitsmaßnahmen.
Fazit
Unternehmen sollten ihre technischen Sicherheitsmaßnahmen regelmäßig prüfen und aktualisieren, um den Vorgaben der DSGVO und NIS2 zu entsprechen. Der „Stand der Technik“ ist dabei kein festgelegtes Niveau, sondern richtet sich nach dem Risiko der Verarbeitung. Verantwortliche sollten ihre Maßnahmen dokumentieren und an veränderte Risiken anpassen, um ein hohes Maß an Datenschutz sicherzustellen.
Navigieren Sie sicher durch den DSGVO-Dschungel!
Holen Sie sich den Umsetzungsfahrplan zur DSGVO und unseren Newsletter!