Technisch-organisatorischer Datenschutz und Nachweis der Datensicherheit

Die "Sicherheit der Verarbeitung", die bis zum 24. Mai 2018 im NDSG unter § 7 (Technische und organisatorische Maßnahmen) erfasst wurde, wird in der EU-DSGVO in Art. 5 und insbesondere in Art. 32 normiert. Danach haben der Verantwortliche und ggf. der Auftragsverarbeiter - "unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen" - geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Diese Maßnahmen schließen unter anderem Folgendes ein:

  • die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
  • die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
  • die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
  • ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Die EU-DSGVO misst zwar einerseits diesen technischen und organisatorischen Maßnahmen (TOMs) zur Gewährleistung des Schutzes personenbezogener Daten einen sehr großen Stellenwert zu, benennt jedoch andererseits kaum konkrete Maßnahmen, nach denen das geforderte hohe Schutzniveau erreicht werden kann. Auch das novellierte Niedersächsische Datenschutzgesetz benennt kaum ergänzende konkrete Maßnahmen. Zur Orientierung können jedoch die in § 64 des BDSG genannten Maßnahmen herangezogen werden. Zudem sind bei der Entwicklung von IT-Systemen neben der Einbindung des Datenschutzbeauftragten auch die Grundsätze "Privacy by Design" (Datenschutz durch Technik) und "Privacy by Default" (datenschutzfreundliche Voreinstellungen) zwingend einzuhalten (s. Art. 25 EU-DSGVO).


Glossar