Technische und organisatorische Maßnahmen - Grundsätze der Umsetzung

von Nadja-Maria

In der Datenschutzgrundverordnung nehmen die Vorgaben zur Sicherheit der Datenverarbeitung einen breiten Raum ein. Insbesondere wird der Verantwortliche verpflichtet, durch technische und organisatorische Maßnahmen ein angemessenes Sicherheitsniveau zu erreichen. Die DSGVO listet nun aber keine konkreten Maßnahmen auf, die in jedem Fall zu ergreifen sind, sondern nennt Rahmenbedingungen, die bei der Auswahl der Maßnahmen zu berücksichtigen sind.

Für viele Unternehmen stellt sich daher inzwischen die Frage, wie bei der Definition der konkret zu ergreifenden Maßnahmen vorzugehen ist.

Kein absoluter Schutz gefordert

Vorab sei gesagt, dass auch die Datenschutzgrundverordnung von Verantwortlichen nicht verlangt, die Datenverarbeitung absolut zu schützen. Dies stellte der EuGH auch vor kurzem in seiner richtungsweisenden Entscheidung (EuGH, Urteil vom 14.12.2023 – C-340/21) zum Schadenersatz nach Datenpannen klar. Über die Einzelheiten des Urteils berichteten wir hier.

Geeignete Sicherheitsmaßnahmen

Ansatzpunkt der Datenschutzgrundverordnung für die Sicherheit der Datenverarbeitung sind zur Risikovermeidung geeignete Sicherheitsmaßnahmen, die ein angemessenes Schutzniveau gewährleisten. Welche Sicherheitsmaßnahmen diese Anforderungen erfüllen, kann nicht pauschal beantwortet werden. Vielmehr ist nach der Datenschutzgrundverordnung eine umfassende, an den konkreten Gegebenheiten orientierte Angemessenheitsprüfung durchzuführen. Hierzu ist in einem ersten Schritt eine Risikoanalyse in Hinblick auf die konkrete Datenverarbeitung zu absolvieren. Dabei ist nicht auf die Risiken für die Unternehmen selbst abzustellen, sondern es ist die Perspektive der betroffenen Personen einzunehmen und es sind die Risiken für deren Rechte und Freiheiten in den Blick zu nehmen.

Für diese Risikoanalyse gibt Art. 32 Abs. 2 DSGVO Anhaltspunkte vor. So sind die Vernichtung, der Verlust und die Veränderung personenbezogener Daten sowie deren unbefugte Offenlegung und der unbefugte Zugang zu diesen Daten als Risikopunkte im Rahmen der Analyse zu berücksichtigen. Sodann ist zu prüfen, mit welcher Wahrscheinlichkeit sich diese Risiken verwirklichen und in welcher Höhe ein Schaden zu befürchten ist. Anhand dieser Parameter ist dann der Schutzbedarf der Datenverarbeitung zu definieren. Technische und organisatorische Maßnahmen müssen nun geeignet sein, diesen Schutzbedarf zu gewährleisten.

Auswahl der konkreten Maßnahmen

In der Praxis ist es häufig so, dass eine Vielzahl von Maßnahmen, sei es als Einzelmaßnahme oder in Kombination mehrerer Maßnahmen, geeignet sind, den Schutzbedarf zu gewährleisten.  Bei der Auswahl der konkret umzusetzenden Maßnahmen kommt den Verantwortlichen ein Ermessensspielraum zu, der durch Behörden und Gerichte zu berücksichtigen ist. Nichtsdestotrotz gibt der Art. 32 Abs. 1 DSGVO Kriterien vor, die bei der Auswahl der Maßnahmen im Rahmen der Verhältnismäßigkeitsprüfung zu berücksichtigen sind, beziehungsweise berücksichtigt werden dürfen, um ein angemessenes Schutzniveau zu gewährleisten.

Aus diesem Katalog ist das Kriterium der Implementierungskosten besonders hervorzuheben. Die Aufführung der Implementierungskosten in Art. 32 Abs. 1 DSGVO gibt dem Verantwortlichen die Möglichkeit, auch die Kosten der Einführung einer Maßnahme und deren Betrieb in den Blick zu nehmen. Dies darf aber nicht dahingehend verstanden werden, dass aufgrund hoher Kosten ohne weiteres unzureichende Schutzmaßnahmen ergriffen werden dürfen. Vielmehr wird dem Verantwortlichen ermöglicht, eine Verhältnismäßigkeitsprüfung durchzuführen und er wird nicht zu wirtschaftlich unzumutbaren Maßnahmen verpflichtet, um ein möglichst hohes Schutzniveau zu erreichen. Stattdessen ist er berechtigt, bei der Auswahl aus mehreren an sich geeigneten Maßnahmen diejenigen auszuwählen, die sowohl angemessen im Verhältnis zum Schutzbedarf als auch angemessen im Verhältnis zu den Implementierungskosten und den weiteren aufgeführten Kriterien sind.

Beweislast

Auch die Frage nach der Umsetzung geeigneter technischer und organisatorischer Maßnahmen fällt unter die umfassende Rechenschaftspflicht des Verantwortlichen aus Art. 5 DSGVO und bringt insbesondere in Fragen des Schadenersatzes eine Beweislastumkehr mit sich. So führte der EuGH in seiner oben genannten Entscheidung aus, dass der Verantwortliche den Beweis darüber erbringen muss, dass seine technischen und organisatorischen Maßnahmen im Sinne des Art. 32 DSGVO geeignet seien.

Fazit für die Praxis

Die genannten Rahmenbedingungen sind für jede Form der Datenverarbeitung einzuhalten und sind sowohl bei der Planung der Sicherheitsinfrastruktur eines ganzen Unternehmens als auch bei der Definition spezifischer technisch organisatorischer Maßnahmen (TOMs) für einzelne Datenverarbeitungsvorgänge zu beachten. In der Praxis kann dabei auf eine ganze Reihe von Maßnahmenkatalogen und Empfehlungen zurückgegriffen werden. Nichtsdestotrotz ist darauf zu achten, dass Art. 32 eine konkrete und einzelfallbezogene Risikoanalyse und Verhältnismäßigkeitsprüfung vorgibt. Diese sollte auch unbedingt umfassend dokumentiert werden, um im Schadensfall der Beweislastverteilung der Gerichte nachkommen zu können.

Falls Sie Fragen zum geschilderten Thema und/oder zu anderen datenschutzrelevanten Themen haben, kontaktieren Sie uns einfach!

Zentrale Hutthurm: +49 (0) 8505 91927 – 0

Niederlassung München: +49 (0) 89 413 2943 – 0

Oder nutzen Sie unser Kontaktformular.

assets/images/e/Nadja-Maria-Becke-1-e4dcbac5.jpg
Nadja-Maria

Nadja-Maria leitet unser Inhouse-Juristen-Team. Sie studierte an der Universität Passau Rechtswissenschaften mit anschließendem Referendariat sowie erstem und zweitem Staatsexamen. Ihr Spezialgebiet ist Datenschutzrecht. Ihr fundiertes Wissen hält sie jederzeit aktuell. Für unsere Kunden und unser Team hat sie so immer einen Rat für eine passgenaue Lösung parat.

Schlagworte: Datenschutz, Datenübermittlung, Datenverarbeitung, DSGVO, Personenbezogene Daten, aigner-business-solutions