Artikel 32 EU-DSGVO: Sicherheit der Verarbeitung
- Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:
- die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
- die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
- die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
- ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
- Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden – verbunden sind.
- Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.
- Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.
Kommentar zu Art. 41 DSGVO
Art. 41 DSGVO bezieht sich unmittelbar auf Art. 40 DSGVO. In diesem Artikel geht es um die sogenannten Verhaltensregeln, die von Verbänden und Vereinigungen zusätzlich zu den Regelungen im Gesetz aufgestellt werden können. So dürfen beispielsweise Anwaltskammern Datenschutzregeln speziell für Juristen aufstellen oder Versicherungsverbände genau auf die Versicherungsbranche zugeschnittene Normen.
Andererseits ergibt das Aufstellen solcher Verhaltensregeln natürlich wenig Sinn, wenn die Einhaltung dieser nicht überwacht wird. Aus diesem Grund erlaubt Art. 41 DSGVO, dass neben den Aufsichtsbehörden weitere Stellen zur Überwachung der Verhaltensregeln eingerichtet werden können.
Da jedoch bis heute sehr wenige zusätzliche Verhaltensregeln existieren, hat sich bisher entsprechend auch der Zuwachs an Überwachungsstellen in Grenzen gehalten. Zuständig bleiben in jedem Fall die jeweiligen Aufsichtsbehörden des Bundes bzw. der Länder.
Art. 41 DSGVO – Welche Stelle darf die Verhaltensregeln überwachen?
Die Überwachung der Verhaltensregeln kann nicht durch jedwede Stelle erfolgen. Vielmehr muss diese von der zuständigen Aufsichtsbehörde akkreditiert werden. Dies bedeutet, es wird zunächst überprüft, ob die jeweilige Stelle wirklich über die nötigen Kompetenzen verfügt, um Verhaltensregeln zu überprüfen. Wann dies der Fall ist, bestimmt Art. 41 DSGVO im zweiten Absatz:
Hiernach darf eine Akkreditierung beispielsweise dann erfolgen, wenn die Stelle nachgewiesen hat, dass sie unabhängig arbeitet, über das nötige Fachwissen im Bereich Datenschutz verfügt und kein Interessenskonflikt besteht.
Darüber hinaus muss die Stelle geeignete Verfahren entwickeln, um eine präzise Überwachung und Überprüfung der Einhaltung der Verhaltensregeln zu gewährleisten. Ferner muss sie Strukturen entwickeln, um es Betroffenen zu ermöglichen, sich über Datenschutzverletzungen zu beschweren, und diesen Beschwerden dann auch nachgehen.
Die Akkreditierung kann widerrufen werden, wenn oben genannte Voraussetzungen nicht mehr vorliegen. Zudem ist es nicht möglich, Überprüfungsstellen für öffentliche Stellen oder Behörden zu schaffen.
Was bedeutet Art. 41 DSGVO für Ihr Unternehmen?
Durch neu geschaffene, unabhängige Stellen, die die Einhaltung der Verhaltensregeln überwachen, wird keinesfalls die Zuständigkeit der Aufsichtsbehörden eingeschränkt. Sollte also eine weitere Stelle eingerichtet worden sein, die auch Ihre Firma überprüft, so müssen Sie sich im Falle eines nicht nur unerheblichen Datenschutzverstoßes unter Umständen gleich mit zwei Institutionen auseinandersetzen.
Aus diesem Grund sollten Sie stets ausführlich über Ihre Verarbeitungstätigkeiten und Datenschutzmaßnahmen Buch führen. Hierbei sind wir Ihnen gerne behilflich. Für weitere Informationen besuchen Sie https://www.datenschutzexperte.de/unsere-leistungen/verarbeitungsverzeichnis/.