Rz. 39
Personenbezogene Daten sollten so verarbeitet werden, dass ihre Sicherheit und Vertraulichkeit hinreichend gewährleistet ist. Dazu gehört auch, dass Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können. Mit Art. 5 Abs. 1 lit f) DSGVO normiert die Verordnung diese Aspekte im Grundsatz der "Integrität und Vertraulichkeit".
Rz. 40
Die Vertraulichkeit hinsichtlich personenbezogener Daten setzt zwingend ein Zugriffskonzept voraus, das mit Gruppen- und Benutzerrechten arbeitet und den Zugriff auf einzelne Daten im Rahmen der Verarbeitung abhängig von den erforderlichen Prozessen ermöglicht. Insoweit erfordert die Beachtung des Grundsatzes beispielsweise die Einrichtung einer Benutzerverwaltung im Betriebssystem, proprietäre Benutzer- und Rechteverwaltung von Anwendungssystemen und u.U. hybride Formen der Benutzer- und Rechteverwaltung.
Rz. 41
Integrität fordert die technische Wahrung der referentiellen Integrität in Datenbanken (= kann ein eingesetztes Softwaresystem die Integrität der Daten sicherstellen?), ebenso wie die Protokollierung von Änderungen an personenbezogenen Daten, Plausibilitätsprüfungen, die Verhinderung der Eingabe ungültiger Werte (z.B. 25“9,– EUR) und/oder der ungewollten Löschung, Überschreibung oder Änderung von personenbezogenen Daten sowie den effektiven Schutz vor Sabotage.
Rz. 42
Eine nähere Ausgestaltung erfährt der Grundsatz vor allem in den Art. 25 und 32 DSGVO. Hiernach muss der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen treffen, die geeignet sind, die Datenschutzgrundsätze wirksam umzusetzen und den Anforderungen der DSGVO zu genügen. Dies hat unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen zu erfolgen. Insbesondere der Verweis auf den unscharfen Begriff des "Stands der Technik" ist neu. Seine Art und sein Umfang spiegeln sich üblicherweise in aktuellen Normen, wie z.B. ISO, DIN, EN etc., wieder. Dies sind zwar keine Rechtsvorschriften; der explizite Verweis auf den "Stand der Technik" in Art. 25 und 32 unterstreicht jedoch, dass es zukünftig erforderlich sein wird, sich auch im Rahmen des Datenschutzes an den aktuellen Normen zu orientieren und diese im Blick zu halten. Der Grundsatz fordert zudem die Sicherstellung der Verfügbarkeit und Belastbarkeit der Systeme (=Betriebssicherheit). So kann ein plötzlicher Stromausfall Schäden an Datenbanken auslösen oder ein Blitzschlag, Feuer oder Wasser, vollständige Unternehmensnetzwerke zerstören.
Rz. 43
Integrität und Vertraulichkeit erfordern daher mehr als die reine technische Datensicherung und -sicherheit, so dass Verantwortliche z.B.
▪ |
Zugriffskonzepte |
▪ |
Zutrittspläne einschl. Schlüsseldokumentation |
▪ |
Dokumentationen der Zugänge |
▪ |
Notfallhandbücher einschließlich Datensicherungskonzepten |
▪ |
Dokumentation über durchgeführte Rücksicherungstests |
▪ |
Verschlüsselungskonzepte |
▪ |
Antivirenkonzepte |
▪ |
Dokumentationen der Sicherheitskonfiguration (Firewall, Router, Gateway, Proxy-Server, etc.) |
▪ |
Netzwerkpläne und Übersichten über Hard- und Software |
▪ |
Wartungs- und Austauschpläne |
etablieren müssen.
Rz. 44
Die Bewertung von Maßnahmen der Datensicherheit kann zudem im Einzelfall auch die Hinzuziehung von Experten aus anderen Fachbereichen wie z.B. Brandschutz, Elektrotechnik, Klima- und Lüftungstechnik oder Sicherheitstechnik erforderlich machen.