Skip to content

Datenschutzblog

Datensicherheitsvorgaben aus der DSGVO

Grundsatz

Der Grundsatz der Integrität und Vertraulichkeit, den wir schon in unseren sieben DSGVO-Prinzipien dargestellt haben, beschäftigt sich mit der Datensicherheit. Demnach sollen Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen.

Regelung

Die DSGVO enthält für die Datensicherheitsvorgaben allgemeingültig formulierte Regelungen. Diese erlauben, je nach Einzelfall, individuell auf die Gegebenheiten einzugehen. Sie sollen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen treffen. Es soll ein dem Risiko angemessenes Schutzniveau gewährleistet werden. Das bedeutet, wer nur Daten mit geringer Schutzstufe verarbeitet, muss grundsätzlich weniger Aufwand betreiben als ein Verantwortlicher, der sehr sensible Daten mit hoher Schutzstufe verarbeitet.

Beispiele für Datensicherheit

  • Pseudonymisierung und Verschlüsselung personenbezogener Daten
  • Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste sicherzustellen (z.B. Redundante Systeme)
  • Die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen (z.B. Backups)
  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung (z.B. Zertifizierung nach ISO)

Hintergrund

Auch wenn es im ersten Moment eher allgemein klingt und keine konkreten Handlungsempfehlungen bietet, hat diese Regelung einen Hintergrund. Die Technik ändert sich laufend, Dinge werden weiterentwickelt, es gibt neue Verfahren und bewährte Dinge verlieren ihre Gültigkeit. Was gestern gut war, muss es Morgen nicht. Gesetze und Verordnungen werden nicht in dieser Geschwindigkeit aktualisiert. Daher ist im Einzelfall unter den oben vorgestellten Punkten zu prüfen, welche Maßnahmen ergriffen werden.

 

Rechtsgrundlagen: Art. 5, 12 DSGVO
Erwägungsgründe: 75, 76, 77, 78

An den Anfang scrollen