Sicherheit personenbezogener Daten: Umgang mit Art. 32 DS-GVO
Zusammenfassung
Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist eines der grundlegenden Ziele der EU Datenschutz-Grundverordnung (DS-GVO), wie man in Art. 1 Abs. 1 DS-GVO) nachlesen kann. Dabei verfolgt die DS-GVO einen Risiko-orientierten Ansatz. Dementsprechend muss neben dem Vorliegen eines Erlaubnistatbestandes und der Einhaltung der Grundsätze des Datenschutzes (Art. 5 DS-GVO) insbesondere auch die Sicherheit der Verarbeitung gewährleistet sein. Dabei ist nicht das höchstmögliche Maß an Sicherheit der Verarbeitung zu gewährleisten, sondern es muss ein angemessenes Schutzniveau sichergestellt werden: Art. 32 DS-GVO schreibt vor, dass unter Berücksichtigung
des Stands der Technik,
der Implementierungskosten,
der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie
der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die persönlichen Rechte und Freiheiten
geeignete technische und organisatorische Maßnahmen getroffen werden müssen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Verantwortlich für die Gewährleistung ist nach Art. 32 DS-GVO sowohl der für die Verarbeitung Verantwortliche als auch – sofern vorhanden - der Auftragsverarbeiter. Letzterer natürlich nur für den Teil, den der Auftragsverarbeiter zu verantworten hat. Aus Art. 5 DS-GVO folgt eine Nachweispflicht, die aber indirekt auch von Art. 32 Abs. 3 DS-GVO verlangt wird.
Der Schutz der Daten ist entsprechend der DS-GVO also nicht absolut. Allerdings verlangt die DS-GVO auch, dass dieser dem Risiko der Verarbeitung angemessene Schutz auf Dauer sicherzustellen ist. D. h. die
Vertraulichkeit,
Integrität,
Verfügbarkeit und
Belastbarkeit
für Systeme und Dienste im Zusammenhang mit der Verarbeitung der personenbezogenen Daten ist auf Dauer zu gewährleisten. Demgemäß muss z. B. die Verfügbarkeit und der Zugang der personenbezogenen Daten nach einem physischen oder technischen Zwischenfall (angemessen) „rasch“ wiederherstellbar sein; beides unter dem Aspekt, dass Schäden für die betroffene Person vermieden werden. Denn während die „klassische“ IT-Sicherheit die (Daten-)Sicherheit des Unternehmens gewährleistet, verlangt Art. 32 DS-GVO eine Betrachtung und Behandlung der Risiken für die betroffenen Personen; den Rechten und berechtigten Interessen der von der Verarbeitung betroffenen Personen und sonstiger von der Verarbeitung betroffener Menschen Rechnung zu tragen. Dabei ist der Begriff der „Verarbeitung“ in der DS-GVO weiter gefasst als im bisherigen deutschen Datenschutzrecht. Unter Verarbeitung ist alles zu verstehen, was mit den Daten geschieht, z.B. Erhebung, Auslesung, Änderung, Speicherung, Löschung – kurz alles, was man mit Daten tun kann.