Artikel 32 EU-DSGVO: Sicherheit der Verarbeitung

  1. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:

    1. die Pseudonymisierung und Verschlüsselung personenbezogener Daten;

    2. die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;

    3. die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;

    4. ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

  2. Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden – verbunden sind.

  3. Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.

  4. Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.

Kommentar zu Art. 32 DSGVO

Art. 32 DSGVO befasst sich mit verschiedenen technischen und organisatorischen Maßnahmen, kurz TOMs, die etwa von einem Unternehmen oder einer Behörde zum Schutz personenbezogener Daten zu treffen sind. Nicht abschließend werden hier verschiedene Methoden des Datenschutzes wie etwa die Pseudonymisierung der Daten einer Person aufgeführt.

Hierbei ist jedoch zu beachten, dass der Gesetzgeber Unternehmen und anderen Institutionen einen gewissen Spielraum zur Umsetzung der jeweiligen Maßnahmen und weiterführender Schutzmechanismen einräumt. So können etwa der Stand der Technik, die Gefahr für einen Missbrauch der jeweiligen Daten, die Schwere der Folgen, der Zweck der Verarbeitung, die Kosten etc. in die Überlegungen einbezogen werden, welche Maßnahmen in welchem Umfang ergriffen werden müssen. In diesem Sinne wird etwa ein Ein-Mann-Unternehmen, welches nur eine begrenzte Zahl an Kundendaten verarbeitet, die zusätzlich auch nicht sehr risikobelastet sind, weniger tiefgreifende Maßnahmen treffen müssen als Großbanken oder Versicherungsträger, die extrem schutzwürdige Daten in großem Ausmaß verarbeiten.

Maßnahmen, die nach Art. 32 DSGVO getroffen werden sollten


Im ersten Absatz des Art. 32 DSGVO werden abstrakte Maßnahmen genannt, die ein ausreichendes Schutzniveau für personenbezogene Daten herstellen. Hinzuzuziehen ist zudem der zweite Absatz, in welchem klargestellt wird, dass zunächst eine Risikoabwägung stattfinden sollte, um die Angemessenheit der Schutzmaßnahmen zu ermitteln: Je höher also die Gefahr ist, dass Daten in Ihrem Unternehmen verlorengehen, missbraucht oder offengelegt werden, desto umfangreichere Maßnahmen sind zu treffen.

Hier kommt es nicht auf den Schaden oder das Risiko für das Unternehmen an, sondern viel mehr auf die Risiken für die Rechte und Freiheiten natürlicher Personen. Diese können aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einem physischen, materiellen oder immateriellen Schaden führen könnten. Dies ist beispielsweise der Fall,

  • wenn die Verarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung führen kann,

  • wenn personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Zugehörigkeit zu einer Gewerkschaft hervorgehen, verarbeitet werden oder

  • wenn die Verarbeitung eine große Menge personenbezogener Daten und eine große Anzahl von betroffenen Personen betrifft.

Konkret geht es im Art. 32 DSGVO um folgende Methoden des Datenschutzes:

  1. Pseudonymisierung und Verschlüsselung personenbezogener Daten Beispiele: Passwortvergabe, SSL-Zertifikate, VPN

  2. Dauerhafte Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung Beispiele: Regelmäßige IT-Checks, Nutzung der neusten Technologien, Zugriff nur durch autorisiertes Personal, Berechtigungskonzept

  3. Schnelle Wiederherstellungsmöglichkeit der personenbezogenen Daten bei einem physischen oder technischen Zwischenfall Beispiele: regelmäßige Backups, Nutzung einer Cloud, Zugriff auf die Daten von verschiedenen Geräten aus

  4. Regelmäßige Überprüfung, Bewertung und Evaluierung der technischen und organisatorischen Maßnahmen Beispiel: Erstellung von jährlichen Tätigkeitsberichten, Dokumentation der Auftragsverarbeitungsverhältnissen, Prüfung des IT-Sicherheitskonzepts, regelmäßige Passwortänderungen

Art. 32 DSGVO in Ihrem Unternehmen richtig umsetzen


Um Sanktionen gegen Ihr Unternehmen oder Beschwerden bei der Aufsichtsbehörde zu vermeiden, sollten auch Sie Datenschutzmaßnahmen ergreifen. Hierbei ist natürlich die Größe, Art und finanzielle Stemmkraft Ihrer Firma zu beachten. Zumindest einfache, weniger kostenintensive Maßnahmen müssen in kleinen Unternehmen umgesetzt werden. Hierzu zählen etwa die verbesserte Sicherung des Firmengebäudes zum Beispiel durch Umzäunungen oder eine Alarmanlage, die Auslage von Listen zur Besucheranmeldung oder die Passwortvergabe an alle Mitarbeiter. Bedenken Sie, dass Ihre Mitarbeiter ferner auch an das Telekommunikationsgeheimnis gebunden sind und laut des vierten Absatzes des Art. 32 DSGVO Daten im Normalfall nur auf Anweisung verarbeiten dürfen. Da auch hier große Datenschutz-Stolpersteine im Weg liegen, empfiehlt sich zunächst eine Mitarbeiterschulung, so dass die alten und neuen Grundsätze der Datenschutzverordnung jedermann bekannt sind.

Falls Unsicherheiten bestehen oder in Ihrem Unternehmen keine Ressourcen vorhanden sind, um den Datenschutz korrekt einzuhalten und zu überprüfen, kann ein (externer) Datenschutzbeauftragter hier sowohl für kleine, mittelständische als auch für große Unternehmen eine enorme Entlastung bedeuten. Dieser nimmt zum Beispiel eine Bestandsaufnahme vor und erklärt Ihnen detailliert, welche Maßnahmen in Ihrem individuellen Fall ergriffen werden sollten. Auch bürokratische Angelegenheiten, die sehr viel Zeit in Anspruch nehmen wie etwa die Dokumentation und Prüfung der Auftragsverarbeitung oder die Korrespondenz mit Aufsichtsbehörden, übernimmt der Datenschatzbeauftragte für Sie.

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr