Art. 32 DSGVO – Sicherheit der Verarbeitung
(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:
|
a) |
die Pseudonymisierung und Verschlüsselung personenbezogener Daten; |
|
b) |
die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; |
|
c) |
die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; |
|
d) |
ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. |
(2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch — ob unbeabsichtigt oder unrechtmäßig — Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.
(3) Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.
(4) Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.
Hinweis:
- Das erforderliche Sicherheitsniveau für mittelständische Unternehmen wird insbesondere durch die NIS2-Regulierung definiert. Weitere Informationen, welche NIS2-Anforderungen im Detail bestehen, finden Sie im Annex der NIS2UmsVO.
Erwägungsgründe
Häufig gestellte Fragen
Die DSGVO verpflichtet Verantwortliche und Auftragsverarbeiter, technische und organisatorische Maßnahmen (TOMs) zu implementieren, die ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten. Dabei sind insbesondere die Vorgaben aus Art. 25 DSGVO (Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen) und Art. 32 DSGVO (Sicherheit der Verarbeitung) relevant.
Was fordert Art. 25 DSGVO?
Art. 25 DSGVO (Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen) verlangt, dass der Datenschutz bereits bei der Entwicklung von Prozessen und Technologien berücksichtigt wird („Privacy by Design“). Datenverarbeitungsprozesse müssen so gestaltet werden, dass personenbezogene Daten bestmöglich geschützt und nur die notwendigen Daten verarbeitet werden („Privacy by Default“).
Was regelt Art. 32 DSGVO?
Art. 32 DSGVO (Sicherheit der Verarbeitung) fordert geeignete technische und organisatorische Maßnahmen, um ein der jeweiligen Datenverarbeitung angemessenes Schutzniveau sicherzustellen. Die Angemessenheit wird anhand von Faktoren wie:
- Art, Umfang, Umstände und Zwecke der Verarbeitung,
- Eintrittswahrscheinlichkeit und Schwere eines potenziellen Schadens für Betroffene und
- wirtschaftliche und technische Realisierbarkeit bewertet.
Verantwortliche müssen nachweisen können, dass ihre Maßnahmen dem Risiko angemessen sind.
Dabei müssen aber die Kosten und die anderen Faktoren der Betriebsorganisation nicht außer Acht gelassen werden, es gilt also eben NICHT „Für den Datenschutz darf nichts zu teuer sein!“.
Was bedeutet „Stand der Technik“?
Der „Stand der Technik“ bezieht sich auf bewährte Technologien und Verfahren, die als sicher und wirksam anerkannt sind. Er ist dynamisch und erfordert, dass Unternehmen ihre Sicherheitsmaßnahmen kontinuierlich aktualisieren.
Dabei ist die tatsächliche Risikoexposition und der Risikoappetit des Unternehmens entscheidend: Je sensibler die Daten und je größer die potenziellen Risiken, desto höhere Anforderungen müssen an die eingesetzten Technologien gestellt werden.
Daher ist die in der NIS2-Regulierung geforderte Risikoanalyse so entscheidend.
Welche Rolle spielt die NIS2-Richtlinie?
Die NIS2-Richtlinie sowie die Anforderungen des neuen BSIG ergänzt die DSGVO, indem sie EU-weit verbindliche Standards für Cybersicherheit definiert. Sie stellt klarere Anforderungen an den technischen Umsetzungsstandard und gilt insbesondere für kritische Infrastrukturen und Unternehmen, die essentielle Dienste erbringen. Dies schafft eine verlässliche Orientierung für die praktische Umsetzung der Sicherheitsmaßnahmen.
Fazit
Unternehmen sollten ihre technischen Sicherheitsmaßnahmen regelmäßig prüfen und aktualisieren, um den Vorgaben der DSGVO und NIS2 zu entsprechen. Der „Stand der Technik“ ist dabei kein festgelegtes Niveau, sondern richtet sich nach dem Risiko der Verarbeitung. Verantwortliche sollten ihre Maßnahmen dokumentieren und an veränderte Risiken anpassen, um ein hohes Maß an Datenschutz sicherzustellen.
Navigieren Sie sicher durch den DSGVO-Dschungel!
Holen Sie sich den Umsetzungsfahrplan zur DSGVO und unseren Newsletter!