Rz. 60
Während Art. 24 und 25 DSGVO allgemein die zu treffenden technischen und organisatorischen Maßnahmen fordern und vor allem die Themen Verantwortung, Technikgestaltung und Voreinstellungen regeln, stellt Art. 32 DSGVO konkrete Forderungen an die Sicherheit während der Verarbeitung.
Diese Forderungen gelten nicht mehr nur für den Verantwortlichen, sondern auch für den Auftragsverarbeiter.
§ 78a SGB X (Technische und organisatorische Maßnahmen) mit seiner Anlage (8-Punkte-Kontrollkatalog) und § 78b SGB X (Datenvermeidung und Datensparsamkeit) wurden zum 25.5.2018 aufgehoben, "weil der Inhalt inzwischen durch Artikel 5 Absatz 1 Buchstabe e sowie Artikel 32, Artikel 5 Absatz 1 Buchstabe c der Verordnung (EU) 2016/679 geregelt wird, § 78c SGB X (Datenschutzaudit) wird aufgehoben, weil die Vorschrift vor dem Hintergrund der Verordnung (EU) 2016/679 keine Relevanz hat" (BT-Drs. 18/12611).
Rz. 61
Laut EG 78 DSGVO könnten solche geeigneten technischen und organisatorischen Maßnahmen unter anderem darin bestehen, "dass die Verarbeitung personenbezogener Daten minimiert wird, personenbezogene Daten so schnell wie möglich pseudonymisiert werden, Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten hergestellt wird, der betroffenen Person ermöglicht wird, die Verarbeitung personenbezogener Daten zu überwachen, und der Verantwortliche in die Lage versetzt wird, Sicherheitsfunktionen zu schaffen und zu verbessern".
2.7.5.1 Geeignete technische und organisatorische Maßnahmen
Rz. 62
Art. 32 Abs. 1 DSGVO enthält eine nicht abschließende Aufzählung geeigneter technischer und organisatorischer Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus; danach sollen diese Maßnahmen unter anderem Folgendes einschließen:
- die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
- die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
- die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
- ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Rz. 63
Nach Art. 32 Abs. 2 DSGVO sind bei der Beurteilung des angemessenen Schutzniveaus insbesondere folgende Risiken zu berücksichtigen, d. h. die Folgen abzuwägen, die bei
- Vernichtung,
- Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder
- unbefugter Offenlegung von beziehungsweise
- unbefugtem Zugang zu personenbezogenen Daten,
entstehen könnten (vgl. auch Rz. 51 ff. Risikobewertung).
2.7.5.2 Zugangsbeschränkung für Beschäftigte
Rz. 64
Der Verantwortliche und der Auftragsverarbeiter haben nach Art. 32 Abs. 4 DSGVO Schritte zu unternehmen um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichte.
2.7.5.3 Gegenüberstellung der geforderten technischen und organisatorischen Maßnahmen nach § 78a SGB X a. F. und Art. 32 DSGVO
Rz. 65
§ 78a SGB X (Technische und organisatorische Maßnahmen) mit seiner Anlage (8-Punkte-Kontrollkatalog) konnte entfallen, weil der Inhalt seit 25.5.2018 durch die DSGVO unmittelbar geregelt wird (vgl. Rz 60).
Im Einzelnen finden sich dessen Forderungen des 8-Punkte-Kontrollkataloges in der DSGVO wie folgt wieder:
Gegenüberstellung der Rechtsgrundlagen vor und seit dem 25.5.2018