Art. 32 DSGVO

Stellen, die personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Anforderungen der DSGVO, insbesondere aber des Art. 32 DSGVO, zugewährleisten. Die TOM und deren Umsetzung dienen auch der Erreichung der Grundanforderungen des Art. 5 DSGVO und damit mittelbar der Umsetzung des Grundrechts auf Datenschutz. Da hierdurch sämtliche, seien es auch noch so aufwendige und kostenintensive, Maßnahmen erfasst wären, trifft Art. 32 Abs. 1 DSGVO eine Einschränkung. Demnach müssen Verantwortlicher und ggf. auch Auftragsverarbeiter geeignete TOM treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (Verhältnismäßigkeit). Je größer der Kreis der Betroffenen ist oder sein wird und je schwerwiegender die zu erwartenden Eingriffe in deren Persönlichkeitsrechte zu bewerten sind, desto größer wird auch der zum Schutz der Betroffenen erforderliche Aufwand sein. Kein Maßstab für eine derartige Abwägung kann jedoch eine rein betriebswirtschaftliche Kosten-Nutzen-Rechnung sein, da ihr ausschließlich die Interessen des Unternehmens zugrunde liegen. Allerdings darf sie als ein Kriterium von mehreren in die Gesamtabwägung einfließen.

Da, wie oben dargestellt, das anzustrebende und umzusetzende Datenschutzniveau unternehmens- bzw. vorgangsindividuell ermittelt werden muss, konnte der Gesetzgeber es nicht definieren. Als Kriterien zur Ermittlung des erforderlichen Schutzniveaus haben sich drei Parameter bewährt:

• Sensitivität der personenbezogenen Daten – insbesondere das Vorliegen von besonderen Kategorien personenbezogener Daten indiziert eine gesteigerte Sensitivität.
• Schadenspotential – welche materiellen wie immateriellen Schäden drohen dem Betroffenen?
• Schadenseintrittswahrscheinlichkeit – als wie hoch kann das Risiko des Schadenseintritts nach dem gegenwärtigen Stand des Verfahrens bewertet werden?

Ferner legt der Gesetzgeber nicht konkret fest, in welchen Fällen technische und wann organisatorische Maßnahmen zu treffen sind. Vielmehr werden diese als gleichwertig angesehen und nebeneinander gestellt. Lässt sich eine datenschutzrechtliche Problemstellung also sowohl technisch als auch organisatorisch lösen, hat die verantwortliche Stelle im Rahmen des ihr eingeräumten Ermessens die Wahl, ob der Lösungsansatz technischer oder organisatorischer Struktur sein soll oder ob durch eine Kombination aus beidem das beste Ergebnis erzielt werden kann, was in der Praxis häufig der Fall ist.

Regelungen zu TOM sind im Datenschutzrecht nicht neu. Auch das frühere BDSG verfügte in seinem § 9 über eine sehr ähnliche Regelung. Ferner bestand eine Anlage zu § 9, die konkrete Bereiche nannte, für welche TOM zu schaffen waren. Auch das aktuelle Datenschutzrecht nennt einige Beispiele, die teilweise mit der alten Anlage zu § 9 BDSG identisch oder zumindest ihr sehr ähnlich sind.

Art. 32 DSGVO nennt folgende Maßnahmen, die dokumentiert werden sollten:

1. Pseudonymisierung und Verschlüsselung;
2. die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste sicherzustellen (diese Maßnahmen entsprechen bis auf den Punkt „Belastbarkeit“ den früheren Anforderungen aus der Anlage zu § 9 BDSG a. F. und können somit ggf. aus alten Dokumentationen übernommen werden);
3. die Fähigkeit, die Verfügbarkeit personenbezogener Daten und den Zugang zu ihnen nach einem physischen oder technischen Zwischenfall rasch wiederherzustellen (hiermit sind insbesondere redundante Datenspeicherungen und deren Rückspiegelung gemeint);
4. ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der TOM.

Die genannten Maßnahmen sind aber nicht abschließend und, insbesondere bezüglich lit. a), auch nicht zwingend, d.h., sie können oder müssen ggf. durch weitere Maßnahmen substituiert oder ergänzt werden, bis das erforderliche Schutzniveau vollständig und flächendeckend gewährleistet werden kann.

Da, wie oben erwähnt, diese Maßnahmen auch durch Auftragsverarbeiter für deren Tätigkeitsbereich zu treffen sind, werden die obigen Formulierungen regelmäßig auch in die Verträge zur Verarbeitung personenbezogener Daten im Auftrag (AVV) übernommen.