Sicherheit der Verarbeitung

Aus Datenschutz-Wiki
Zur Navigation springen Zur Suche springen

Anforderungen gemäß Datenschutz-Grundverordnung

Der Verantwortliche sollte geeignete und wirksame Maßnahmen treffen müssen und nachweisen können, dass die Maßnahmen auch wirksam sind (vgl. EG 74). Zum Nachweis der Einhaltung der DS-GVO sollte der Verantwortliche Maßnahmen ergreifen, die insbesondere

  • den Grundsätzen des Datenschutzes durch Technik (data protection by design) genügen und
  • durch datenschutzfreundliche Voreinstellungen (data protection by default) dazu beitragen.

Diese Maßnahmen können u.a. darin bestehen (vgl. EG 78):

  • Minimierung der Verarbeitung personenbezogener Daten
  • schnellstmögliche Pseudonymisierung personenbezogener Daten
  • Transparenz bezüglich der Funktionen und Verarbeitung
  • Überwachung der Verarbeitung
  • Schaffung und Verbesserung von Sicherheitsfunktionen

Näher spezifiziert werden diese Punkte in Artikel 32 - Sicherheit der Verarbeitung:

(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten...

Das angemessene Schutzniveau - Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung - soll durch technische und organisatorische Maßnahmen (TOM) dieses Umfangs gewährleistet werden:

  • Pseudonymisierung
"Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden" (vgl. Art. 4 Nr. 5)
  • Verschlüsselung
Anwendung kryptographischer Verfahren zur Sicherstellung der Vertraulichkeit und Integrität von Daten bei ihrer Übermittlung, Schutz vor unbefugtem oder manipulierenden Zugriff auf Daten "unter Berücksichtigung des Stands der Technik und der Implementierungskosten" (vgl. EG 83)
  • Vertraulichkeit
Schutz vor unbefugter Preisgabe von Informationen; "vertrauliche Daten und Informationen dürfen ausschließlich Befugten in der zulässigen Weise zugänglich sein"[1]
zur Vertraulichkeit gehört, "dass Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können." (vgl. EG 39), also der "Schutz vor unbefugter oder unrechtmäßiger Verarbeitung" (Art. 5 Abs. 1 lit f))
  • Integrität
Gewährleistung der Korrektheit bzw. Unversehrtheit von Daten sowie der korrekten Funktionsweise von Systemen; Daten müssen vollständig, unverfälscht und unverändert sein[1]
  • Verfügbarkeit
Schutz vor mutwilligem oder unbeabsichtigtem Verlust, mutwilliger oder unbeabsichtigter Zerstörung oder Schädigung von Daten, Systemen oder Diensten
  • Belastbarkeit der Systeme und Dienste
  • rasche Wiederherstellung von Verfügbarkeit und Zugang.

Weitere Informationen

Check-Liste zur "Sicherheit der Verarbeitung" basierend auf dem Muster der GDD zur Auftragsverarbeitung, "GDD-Praxishilfe DS-GVO IV" vom April 2017 (RTF)

Einzelnachweise