Art. 32 DS-GVO – Sicherheit der Verarbeitung

A. Allgemeines

Anknüpfend an Art. 17 der bis zum 24.05.2018 geltenden Richtlinie 95/46/EG (sogenannte EG-Datenschutzrichtlinie) verpflichtet Art. 32 DS-GVO die Verantwortlichen im Sinne von Art. 4 Nr. 7 DS-GVO und die Auftragsverarbeiter im Sinne von Art. 4 Nr. 7 DS-GVO dazu, die Sicherheit der Datenverarbeitung zu gewährleisten. Letztere muss in Relation zum Stand der Technik und zur Schwere des Risikos für die Rechte und Freiheiten des von der Datenverarbeitung Betroffenen stehen. Die noch in Art. 30 Abs. 4 des Entwurfs zur DS-GVO von 2012 enthaltene Ermächtigungsgrundlage für die EU-Kommission zum Erlass von Durchführungsbestimmungen hat es nicht mehr in die endgültige Fassung geschafft.

 

B. Angemessenes Schutzniveau

Der Verordnungsgeber verfolgt in Art. 32 DS-GVO einen relativen Ansatz.1Grages, in: Plath, BDSG/DS-GVO, 2. Aufl. 2016, Art. 32 DS-GVO, Rn. 2. Letzterer garantiert Flexibilität im konkreten Fall.2Grages, in: Plath, BDSG/DS-GVO, 2. Aufl. 2016, Art. 32 DS-GVO, Rn. 2. Für die Verantwortlichen/Auftragsverarbeiter bedeutet das aber umgekehrt, dass sie die Last der eigenverantwortlichen Wertung tragen.3Grages, in: Plath, BDSG/DS-GVO, 2. Aufl. 2016, Art. 32 DS-GVO, Rn. 2. Liegen sie hierbei falsch und unterschreiten sie ein angemessenes Schutzniveau, begehen sie einen bußgeldbewehrten Datenschutzverstoß im Sinne von Art. 83 Abs. 2 lit. d, Abs. 4 lit. a DS-GVO. Die Bemühungen im Hinblick auf die Schaffung eines adäquaten Niveaus werden überdies bei der Festsetzung der Höhe einer Strafzahlung wegen eines sonstigen Datenschutzverstoßen mitberücksichtigt, Art. 83 Abs. 2 lit. d DS-GVO.

Bei der Auswahl der technischen und organisatorischen Maßnahmen spielen zahlreiche Faktoren eine Rolle. Hierzu zählen dem Wortlaut nach, wie oben angegeben, in erster Linie der Stand der Technik und die Schwere des Risikos für die Rechte und Freiheiten des von der Datenverarbeitung Betroffenen. Zu berücksichtigen sind ferner die Umstände und Zwecke der Verarbeitung. Gleiches gilt für die Implementierungskosten. Nichtsdestotrotz steht das gesetzgeberische Ziel der Garantie eines angemessenen Schutzniveaus für die Daten des Betroffenen im Vordergrund.4Grages, in: Plath, BDSG/DS-GVO, 2. Aufl. 2016, Art. 32 DS-GVO, Rn. 3. Folglich dürften allein wirtschaftliche Erwägungen nicht einen unzureichenden Schutz rechtfertigen.5Grages, in: Plath, BDSG/DS-GVO, 2. Aufl. 2016, Art. 32 DS-GVO, Rn. 3.

Art. 32 DS-GVO muss im Kontext mit Art. 25 DS-GVO gelesen werden. Letzterer normiert die Prinzipien von „Privacy by Design“ und „Privacy by Default“.6Hierzu ausführlich: Kipker, DuD 39 (2015), 410; Härting, DS-GVO, 2016, S. 30 ff. Art. 25 DS-GVO setzt bereits im Vorfeld der Datenverarbeitung an, wohingegen Art. 32 DS-GVO im Anschluss daran die Sicherungspflichten für den Zeitraum des Verarbeitungsvorganges regelt.7Grages, in: Plath, BDSG/DS-GVO, 2. Aufl. 2016, Art. 32 DS-GVO, Rn. 5. Die Schutzmaßnahmen, die in Art. 32 Abs. 1 DS-GVO regelbeispielhaft aufgezählt werden, sind keinesfalls abschließend zu verstehen (Wortlaut: „unter anderem“). Vielmehr will der Gesetzgeber dem Verantwortlichen/Auftragsverarbeiter einige Maßnahmen an die Hand geben, denen er besondere Bedeutung beimisst.8Grages, in: Plath, BDSG/DS-GVO, 2. Aufl. 2016, Art. 32 DS-GVO, Rn. 5. Dies ist zunächst neben der technischen Verschlüsselung auch die inhaltliche Pseudonymisierung, Art. 32 Abs. 1 lit. a DS-GVO. Der Verordnungsgeber konkretisiert in Art. 32 Abs. 1 lit. b und c DS-GVO die Anforderungen an die Zuverlässigkeit der verarbeitenden Systeme. Deren Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit soll „auf Dauer“ sichergestellt werden, damit der Zugang zu den Daten nach einem IT-Sicherheitsvorfall „rasch“ wiederhergestellt werden kann. Die Anforderungen an die IT-Performance und die Back-Up-Prozesse sind mithin vergleichsweise hoch.9Grages, in: Plath, BDSG/DS-GVO, 2. Aufl. 2016, Art. 32 DS-GVO, Rn. 6. Zuletzt stellt Art. 32 Abs. 1 lit. d DS-GVO die Verpflichtung auf, regelmäßige Verifizierungen und Evaluierungen zu den ergriffenen Sicherheitsmaßnahmen durchzuführen. Ist hiernach ein Absinken unter die Marke eines angemessenen Sicherheitsniveaus zu befürchten, müssen die Maßnahmen entsprechend aufgestockt werden. Stellt sich umgekehrt heraus, dass die gesetzlichen Vorgaben übererfüllt werden, können die Verantwortlichen/Auftragsverarbeiter die Maßnahmen wiederum zurückschrauben.

Im Übrigen beinhaltet das Gebot der Gewährleistung eines angemessenen Schutzniveaus die nicht in Art. 32 DS-GVO ausdrücklich normierte Pflicht, Sicherheitsverletzungen (zum Beispiel eine Systemstörung) frühzeitig zu erkennen.10Grages, in: Plath, BDSG/DS-GVO, 2. Aufl. 2016, Art. 32 DS-GVO, Rn. 8. Denn erst auf Grundlage dieser Erkenntnis können geeignete Gegenmaßnahmen eingeleitet werden.11Grages, in: Plath, BDSG/DS-GVO, 2. Aufl. 2016, Art. 32 DS-GVO, Rn. 8. Aus Erwägungsgrund 87 der DS-GVO ergibt sich, dass grundsätzlich diejenigen technischen und organisatorischen Maßnahmen angebracht sind, die eine sofortige Feststellung des Verletzungsereignisses erlauben. Bei risikogeneigten Verarbeitungen dürfte im Sinne eines angemessenen Schutzniveaus eine proaktive Benachrichtigung des Verantwortlichen/Auftragsverarbeiter von dem Verletzungsereignis angebracht sein12Grages, in: Plath, BDSG/DS-GVO, 2. Aufl. 2016, Art. 32 DS-GVO, Rn. 8.. Die technischen und organisatorischen Maßnahmen sind entsprechend anzupassen.13Grages, in: Plath, BDSG/DS-GVO, 2. Aufl. 2016, Art. 32 DS-GVO, Rn. 8.

Es bleibt noch auf die Verantwortung des Verantwortlichen/Auftragsverarbeiters für die ihm unterstellten natürlichen Personen hinzuweisen. Zur Sicherheit der Verarbeitung gehört nach Art. 32 Abs. 4 DS-GVO, dass grundsätzlich nur auf Anweisung Daten verarbeitet werden dürfen.

 

C. Stand der Technik

Lesen Sie auch den Artikel zu „Stand der Technik“

Die DS-GVO enthält keine Legaldefinition zu dem für die Angemessenheit maßgeblichen Begriff „Stand der Technik“. Da die Datenschutz-Grundverordnung erst ab Mai 2018 Geltung beansprucht, gibt es hierzu auch noch keine EuGH-Entscheidungen.

Vor einer unreflektierten Übernahme der vom BVerfG im „Kalkar I“-Beschluss geprägten Definition14BVerfG, Beschl. v. 08.08.1978 – 2 BvL 8/77 = BeckRS 9998, 104991. ist jedoch zu warnen. Das Unionsrecht genießt Anwendungsvorrang und kann nicht durch mitgliedstaatliches (Richter-)Recht definiert werden.15Ausführlich: Ruffert, in: Callies/Ruffert, EUV/AEUV, 5. Aufl. 2016, Art. 1 AEUV, Rn. 16 ff. Allerdings kann der Kalkar I-Beschluss als erste Orientierungshilfe dienen. Im Übrigen geht die DS-GVO allgemein von einem hohen Datenschutzniveau aus, was auch bei der Interpretation dieses unbestimmten Rechtsbegriffs in der DS-GVO zu berücksichtigen ist. Für eine strenge Interpretation im Sinne des Betroffenen dürfte auch nochmal der in Art. 32 Abs. 2 DS-GVO enthaltene risikobasierte Ansatz sprechen.

Compliance hinsichtlich des Standes der Technik bietet gemäß Art. 32 Abs. 3 DS-GVO einzig die Einhaltung genehmigter Verhaltensregeln oder eines genehmigten Zertifizierungsverfahrens.

 

D. Unterschied zu § 9 BDSG (alte Fassung)

Die Idee, dass die Verantwortlichen angemessene Sicherheitsstandards implementieren müssen, ist dem nationalen Recht nicht fremd. Bisher wurden in der Anlage zu § 9 S. 1 BDSG (alte Fassung) die sogenannten „acht Gebote der Datensicherheit“ geregelt, namentlich die Zutritts- (Nr. 1), Zugangs- (Nr. 2), Zugriffs- (Nr. 3), Weitergabe- (Nr. 4), Eingabe- (Nr. 4), Auftrags- und Verfügbarkeitskontrolle (Nr. 5) sowie das Trennungsgebot (Nr. 6). Dieses alte Bundesdatenschutzgesetz wurde allerdings durch das neue Bundesdatenschutzgesetz zum 25.05.2018 abgelöst. Eine vergleichbare Regelung wie § 9 BDSG (alte Fassung) ist hier zumindest im allgemeinen Teil nicht mehr enthalten. Lediglich für Polizei und Justiz sind weiterhin spezielle Anforderungen an die Sicherheit der Datenverarbeitung geregelt, § 64 Abs. 1, Abs. 2 BDSG.

Referenzen   [ + ]

1. Grages, in: Plath, BDSG/DS-GVO, 2. Aufl. 2016, Art. 32 DS-GVO, Rn. 2.
2. Grages, in: Plath, BDSG/DS-GVO, 2. Aufl. 2016, Art. 32 DS-GVO, Rn. 2.
3. Grages, in: Plath, BDSG/DS-GVO, 2. Aufl. 2016, Art. 32 DS-GVO, Rn. 2.
4. Grages, in: Plath, BDSG/DS-GVO, 2. Aufl. 2016, Art. 32 DS-GVO, Rn. 3.
5. Grages, in: Plath, BDSG/DS-GVO, 2. Aufl. 2016, Art. 32 DS-GVO, Rn. 3.
6. Hierzu ausführlich: Kipker, DuD 39 (2015), 410; Härting, DS-GVO, 2016, S. 30 ff.
7. Grages, in: Plath, BDSG/DS-GVO, 2. Aufl. 2016, Art. 32 DS-GVO, Rn. 5.
8. Grages, in: Plath, BDSG/DS-GVO, 2. Aufl. 2016, Art. 32 DS-GVO, Rn. 5.
9. Grages, in: Plath, BDSG/DS-GVO, 2. Aufl. 2016, Art. 32 DS-GVO, Rn. 6.
10. Grages, in: Plath, BDSG/DS-GVO, 2. Aufl. 2016, Art. 32 DS-GVO, Rn. 8.
11. Grages, in: Plath, BDSG/DS-GVO, 2. Aufl. 2016, Art. 32 DS-GVO, Rn. 8.
12. Grages, in: Plath, BDSG/DS-GVO, 2. Aufl. 2016, Art. 32 DS-GVO, Rn. 8.
13. Grages, in: Plath, BDSG/DS-GVO, 2. Aufl. 2016, Art. 32 DS-GVO, Rn. 8.
14. BVerfG, Beschl. v. 08.08.1978 – 2 BvL 8/77 = BeckRS 9998, 104991.
15. Ausführlich: Ruffert, in: Callies/Ruffert, EUV/AEUV, 5. Aufl. 2016, Art. 1 AEUV, Rn. 16 ff.