Technische und organisatorische Schutzmaßnahmen
Artikel 24 DSGVO besagt, dass der Verantwortliche der bei einer öffentlichen oder nicht öffentlichen Stelle für die Datenverarbeitung zuständig ist und diese beaufsichtigt, geeignete technische und organisatorische Maßnahmen zu treffen hat, damit die Datenverarbeitung die er umsetzt oder beaufsichtigt, den rechtlichen Vorgaben erfolgt.
Artikel 32 DSGVO beschreibt dann näher, welche möglichen Maßnahmen der Verantwortliche treffen kann. Dabei muss dieser den aktuellen Stand der Technik, Kosten, Art und Umfang der Datenverarbeitung sowie die Risiken für die Datenverarbeitung beachten. Ziel ist die Erreichung eines angemessenes Schutzniveaus.
Solche Maßnahmen können folgende sein:
– Pseudonymisierung oder Verschlüsselung
– Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit oder Belastbarkeit des Systems
– Zugang zu Daten nach physischem oder technischem Zwischenfall wiederherstellen
– Verfahren implementieren, dass die Sicherungsmaßnahmen regelmäßig überprüft und bewertet
Das Schutzniveau welches zu erreichen ist, richtet sich nach der Beurteilung von Risiken für Vernichtung, Verlust oder Veränderung der Daten, oder der unbefugte Zugriff darauf.
Neben den Maßnahmen muss der Verantwortliche auch darauf achten, dass die Personen, die Zugang zu den personenbezogenen Daten haben (z.B. Personalabteilung eines Unternehmens) diese auch nur gemäß den Bestimmungen und nur nach Anweisung verarbeiten.