A. Vorbemerkungen
Rz. 1
Datenschutz ist ohne Datensicherheit nicht vorstellbar. Letztere ist nicht primär ein juristischer Themenkomplex, sondern vornehmlich technischer Natur. Dies auch deshalb, weil die Datenverarbeitungen immer komplexer werden und die Komplexität der Datenverarbeitung durch ebenso immer komplexer werdende technische (Soft- und Hardware-)Systeme Unterstützung finden bzw. in vielen Fällen auch überhaupt erst umsetzbar wird. Selbst die juristische Tätigkeit ist auf dem Weg sich maßgeblich zu verändern. LegalTech ist kein Randthema mehr, sondern war aktuell der bestimmende Gegenstand des 68. Deutschen Anwaltstags in Essen. Auch in der Finanzbranche, beispielsweise im Bereich der Inkassodienstleistungen, mehrt sich der Einsatz von Technologien und FinTech-Unternehmen drängen zuhauf auf den deutschen und europäischen Markt.
Rz. 2
Die DSGVO trägt der zunehmenden Technisierung an verschiedenen Stellen Rechnung. So wird der "Stand der Technik" zu einem maßgeblichen Faktor in der Umsetzung von Schutzmaßnahmen, die Themenbereiche "data privacy by design" und "data privacy by default" sind ebenso maßgeblich auf (technische) Sicherungsmechanismen und -Maßnahmen zur Absicherung der datenschutzrechtlichen Vorgaben gerichtet. Zukünftig wird die datenschutzrechtliche Beratung zunehmend nicht mehr allein von Juristen vollzogen werden können, sondern die Einbindung technischen Sachverstandes wird erforderlich. Dies beschränkt sich, blickt man bspw. auf Art. 32 Abs. 1 lit. c) DSGVO, der zur Sicherheit der Verarbeitung neben der Vertraulichkeit, auch die Integrität, Verfügbarkeit und Belastbarkeit der Systeme adressiert, nicht allein auf den IT-technischen Sachverstand. So kann ein plötzlicher Stromausfall Schäden an Datenbanken auslösen, ein Blitzschlag kann vollständige Unternehmensnetzwerke zerstören, aber auch Feuer oder Wasser können unmittelbaren Einfluss auf die Verfügbarkeit und die Integrität eingesetzter Systeme haben. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Rahmen der Datenverarbeitung kann auch die Hinzuziehung von Brandschutzexperten, Elektrikern, die für eine elektrische Absicherung der Systeme Sorge tragen oder auch Klimatechnikern, erforderlich werden. Datenschutz(recht) ist damit zukünftig weit mehr als IT-Technische Datensicherheit.
Rz. 3
Der Darstellung des umfangreichen Systems der innerhalb der DSGVO normierten Schutzmechanismen und -maßnahmen dient dieser Abschnitt.
B. Grundsätzliches
Rz. 4
Nach Art. 24 Abs. 1 DSGVO ist der Verantwortliche verpflichtet, sicherzustellen und nachzuweisen, dass die von ihm vollzogenen Verarbeitungen unter Einhaltung der DSGVO erfolgen. Hierzu hat er unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen und – dort wo dies in einem angemessenen Verhältnis zu den Verarbeitungstätigkeiten steht – "geeignete Datenschutzvorkehrungen" (Art. 24 Abs. 2 DSGVO) zu etablieren.
Rz. 5
Art. 24 DSGVO konkretisiert zum einen die in Art. 5 Abs. 2 DSGVO normierte Rechenschaftspflicht des Verantwortlichen und beschreibt zugleich die an ihn gerichteten Anforderungen. Die DSGVO setzt dabei auf einen risikoorientierten Ansatz und nimmt den Verantwortlichen in die Pflicht, über "geeignete technische und organisatorische Maßnahmen" die rechtmäßige Verarbeitung personenbezogener Daten sicherzustellen. Dies ist grundsätzlich nicht neu: Schon die Datenschutzrichtlinie forderte derartige Maßnahmen und
Zitat
"zwar sowohl zum Zeitpunkt der Planung des Verarbeitungssystems als auch zum Zeitpunkt der eigentlichen Verarbeitung, um insbesondere deren Sicherheit zu gewährleisten und somit jede unrechtmäßige Verarbeitung zu verhindern".
Nach Art. 17 Abs. 1 Datenschutzrichtlinie waren hierfür Maßnahmen zu etablieren, die unter Berücksichtigung des Standes der Technik und der bei ihrer Durchführung entstehenden Kosten ein Schutzniveau gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist. Art. 24 DSGVO normiert leicht modifi...