Logo

GMDS Arbeitsgruppe
„Datenschutz und IT-Sicherheit im Gesundheitswesen“ (DIG)

Datenschutzhinweise   Cookie-Hinweise   Impressum   Kontakt   Sitemap
Veranstaltungskalender

Sicherheit personenbezogener Daten: Umgang mit Art. 32 DS-GVO

Zusammenfassung

Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist eines der grundlegenden Ziele der EU Datenschutz-Grundverordnung (DS-GVO), wie man in Art. 1 Abs. 1 DS-GVO) nachlesen kann. Dabei verfolgt die DS-GVO einen Risiko-orientierten Ansatz. Dementsprechend muss neben dem Vorliegen eines Erlaubnistatbestandes und der Einhaltung der Grundsätze des Datenschutzes (Art. 5 DS-GVO) insbesondere auch die Sicherheit der Verarbeitung gewährleistet sein. Dabei ist nicht das höchstmögliche Maß an Sicherheit der Verarbeitung zu gewährleisten, sondern es muss ein angemessenes Schutzniveau sichergestellt werden: Art. 32 DS-GVO schreibt vor, dass unter Berücksichtigunggeeignete technische und organisatorische Maßnahmen getroffen werden müssen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Verantwortlich für die Gewährleistung ist nach Art. 32 DS-GVO sowohl der für die Verarbeitung Verantwortliche als auch – sofern vorhanden - der Auftragsverarbeiter. Letzterer natürlich nur für den Teil, den der Auftragsverarbeiter zu verantworten hat. Aus Art. 5 DS-GVO folgt eine Nachweispflicht, die aber indirekt auch von Art. 32 Abs. 3 DS-GVO verlangt wird.
Der Schutz der Daten ist entsprechend der DS-GVO also nicht absolut. Allerdings verlangt die DS-GVO auch, dass dieser dem Risiko der Verarbeitung angemessene Schutz auf Dauer sicherzustellen ist. D. h. diefür Systeme und Dienste im Zusammenhang mit der Verarbeitung der personenbezogenen Daten ist auf Dauer zu gewährleisten. Demgemäß muss z. B. die Verfügbarkeit und der Zugang der personenbezogenen Daten nach einem physischen oder technischen Zwischenfall (angemessen) „rasch“ wiederherstellbar sein; beides unter dem Aspekt, dass Schäden für die betroffene Person vermieden werden. Denn während die „klassische“ IT-Sicherheit die (Daten-)Sicherheit des Unternehmens gewährleistet, verlangt Art. 32 DS-GVO eine Betrachtung und Behandlung der Risiken für die betroffenen Personen; den Rechten und berechtigten Interessen der von der Verarbeitung betroffenen Personen und sonstiger von der Verarbeitung betroffener Menschen Rechnung zu tragen. Dabei ist der Begriff der „Verarbeitung“ in der DS-GVO weiter gefasst als im bisherigen deutschen Datenschutzrecht. Unter Verarbeitung ist alles zu verstehen, was mit den Daten geschieht, z.B. Erhebung, Auslesung, Änderung, Speicherung, Löschung – kurz alles, was man mit Daten tun kann.

Copyright

Die Ausarbeitung wurde unter einen Creative Commons-Lizenz (4.0 Deutschland Lizenzvertrag) veröffentlicht. Um sich die Lizenz anzusehen, gehen Sie bitte ins Internet auf die Webseite https://creativecommons.org/licenses/by-sa/4.0/deed.de bzw. für den vollständigen Lizenztext auf die Webseite https://creativecommons.org/licenses/by-sa/4.0/legalcode.

Download der Ausarbeitung:

(Stand: 16. Februar 2018)