Datenschutz

Der Schutz personenbezogener Daten soll durch entsprechende technische und organisatorische Maßnahmen (TOM) sichergestellt werden. Dazu sind sowohl der Verantwortliche als auch der Auftragsverarbeiter gemäß Art. 32 DSGVO verpflichtet. Ein Verstoß gegen diese Pflicht ist bußgeldbewährt und kann nach Art. 83 Abs. 4 DSGVO mit 10 Millionen € oder im Falle eines Unternehmens bis zu 2% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres betragen, je nachdem, welcher Betrag höher ist.

Beide, Verantwortlicher und Auftragsverarbeiter, haben gem. Art. 32 Abs. 4 DSGVO die Pflicht die mit der Verarbeitung der personenbezogenen Daten beauftragten Mitarbeiter dahingehend zu unterweisen, Verarbeitungen nur auf Anweisung des Verantwortlichen vorzunehmen. Diese Anweisungen sind im Auftragsverarbeitungsvertrag (AVV) verbindlich festzulegen. Die zu treffenden TOM müssen dazu geeignet sein die Verarbeitung personenbezogener Daten sicher zu gestalten. Dabei sind verschiedenste Maßnahmen denkbar die ein angemessenes Datenschutzniveau schaffen und halten. In der DSGVO findet man keine Beschränkungen in Punkto der Anzahl möglicher Maßnahmen. 

Beispiele für solche Maßnahmen können sein:

  • Datenminimierung (soviel wie nötig, so wenig wie möglich)
  • Anonymisierung oder Pseudonymisierung (besonders bei Verarbeitungsvorgängen in Drittländern)
  • Transparenz der Verarbeitungsvorgänge
  • vorbeugende Schutzmaßnahmen (Privacy by Design and Privacy by Default)
  • Verschlüsselung (bei jeder Art der Datenübertragung)
  • Passwortregeln (siehe IT-Sicherheitskonzept)
  • Gewährleistung der klassischen Schutzziele:
    • Vertraulichkeit,
    • Integrität,
    • Verfügbarkeit und
    • Belastbarkeit der Systeme,
  • rasche Wiederherstellung nach einem Systemausfall
  • Datenschutzschulungen der Mitarbeiter
  • Regelmäßige Überprüfungen der Maßnahmen und deren Wirksamkeit
  • usw.

Die vorliegende Liste erhebt keinen Anspruch auf Vollständigkeit und ist nicht abschließend. 

Ergänzend dazu schreibt die DSGVO in Art. 32 Abs. 3:
Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.