Artikel 23 EU-DSGVO: Beschränkungen
- Durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche oder der Auftragsverarbeiter unterliegt, können die Pflichten und Rechte gemäß den Artikeln 12 bis 22 und Artikel 34 sowie https://www.datenschutzexperte.de/ressourcen/gesetzestexte/eu-dsgvo-artikel-5/ , insofern dessen Bestimmungen den in den Artikeln 12 bis 22 vorgesehenen Rechten und Pflichten entsprechen, im Wege von Gesetzgebungsmaßnahmen beschränkt werden, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt, die Folgendes sicherstellt:
- die nationale Sicherheit;
- die Landesverteidigung;
- die öffentliche Sicherheit;
- die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit;
- den Schutz sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaats, insbesondere eines wichtigen wirtschaftlichen oder finanziellen Interesses der Union oder eines Mitgliedstaats, etwa im Währungs-, Haushalts- und Steuerbereich sowie im Bereich der öffentlichen Gesundheit und der sozialen Sicherheit;
- den Schutz der Unabhängigkeit der Justiz und den Schutz von Gerichtsverfahren;
- die Verhütung, Aufdeckung, Ermittlung und Verfolgung von Verstößen gegen die berufsständischen Regeln reglementierter Berufe;
- Kontroll-, Überwachungs- und Ordnungsfunktionen, die dauernd oder zeitweise mit der Ausübung öffentlicher Gewalt für die unter den Buchstaben a, b, c, d, e und g genannten Zwecke verbunden sind;
- den Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen;
- die Durchsetzung zivilrechtlicher Ansprüche.
- Jede Gesetzgebungsmaßnahme im Sinne des Absatzes 1 muss insbesondere gegebenenfalls spezifische Vorschriften enthalten zumindest in Bezug auf
- die Zwecke der Verarbeitung oder die Verarbeitungskategorien,
- die Kategorien personenbezogener Daten,
- den Umfang der vorgenommenen Beschränkungen,
- die Garantien gegen Missbrauch oder unrechtmäßigen Zugang oder unrechtmäßige Übermittlung;
- die Angaben zu dem Verantwortlichen oder den Kategorien von Verantwortlichen,
- die jeweiligen Speicherfristen sowie die geltenden Garantien unter Berücksichtigung von Art, Umfang und Zwecken der Verarbeitung oder der Verarbeitungskategorien,
- die Risiken für die Rechte und Freiheiten der betroffenen Personen und
- das Recht der betroffenen Personen auf Unterrichtung über die Beschränkung, sofern dies nicht dem Zweck der Beschränkung abträglich ist.
Kommentar zu Art. 32 DSGVO
Art. 32 DSGVO befasst sich mit verschiedenen technischen und organisatorischen Maßnahmen, kurz TOMs, die etwa von einem Unternehmen oder einer Behörde zum Schutz personenbezogener Daten zu treffen sind. Nicht abschließend werden hier verschiedene Methoden des Datenschutzes wie etwa die Pseudonymisierung der Daten einer Person aufgeführt.
Hierbei ist jedoch zu beachten, dass der Gesetzgeber Unternehmen und anderen Institutionen einen gewissen Spielraum zur Umsetzung der jeweiligen Maßnahmen und weiterführender Schutzmechanismen einräumt. So können etwa der Stand der Technik, die Gefahr für einen Missbrauch der jeweiligen Daten, die Schwere der Folgen, der Zweck der Verarbeitung, die Kosten etc. in die Überlegungen einbezogen werden, welche Maßnahmen in welchem Umfang ergriffen werden müssen. In diesem Sinne wird etwa ein Ein-Mann-Unternehmen, welches nur eine begrenzte Zahl an Kundendaten verarbeitet, die zusätzlich auch nicht sehr risikobelastet sind, weniger tiefgreifende Maßnahmen treffen müssen als Großbanken oder Versicherungsträger, die extrem schutzwürdige Daten in großem Ausmaß verarbeiten.
Maßnahmen, die nach Art. 32 DSGVO getroffen werden sollten
Im ersten Absatz des Art. 32 DSGVO werden abstrakte Maßnahmen genannt, die ein ausreichendes Schutzniveau für personenbezogene Daten herstellen. Hinzuzuziehen ist zudem der zweite Absatz, in welchem klargestellt wird, dass zunächst eine Risikoabwägung stattfinden sollte, um die Angemessenheit der Schutzmaßnahmen zu ermitteln: Je höher also die Gefahr ist, dass Daten in Ihrem Unternehmen verlorengehen, missbraucht oder offengelegt werden, desto umfangreichere Maßnahmen sind zu treffen.
Hier kommt es nicht auf den Schaden oder das Risiko für das Unternehmen an, sondern viel mehr auf die Risiken für die Rechte und Freiheiten natürlicher Personen. Diese können aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einem physischen, materiellen oder immateriellen Schaden führen könnten. Dies ist beispielsweise der Fall,
Konkret geht es im Art. 32 DSGVO um folgende Methoden des Datenschutzes:
Art. 32 DSGVO in Ihrem Unternehmen richtig umsetzen
Um Sanktionen gegen Ihr Unternehmen oder Beschwerden bei der Aufsichtsbehörde zu vermeiden, sollten auch Sie Datenschutzmaßnahmen ergreifen. Hierbei ist natürlich die Größe, Art und finanzielle Stemmkraft Ihrer Firma zu beachten. Zumindest einfache, weniger kostenintensive Maßnahmen müssen in kleinen Unternehmen umgesetzt werden. Hierzu zählen etwa die verbesserte Sicherung des Firmengebäudes zum Beispiel durch Umzäunungen oder eine Alarmanlage, die Auslage von Listen zur Besucheranmeldung oder die Passwortvergabe an alle Mitarbeiter. Bedenken Sie, dass Ihre Mitarbeiter ferner auch an das Telekommunikationsgeheimnis gebunden sind und laut des vierten Absatzes des Art. 32 DSGVO Daten im Normalfall nur auf Anweisung verarbeiten dürfen. Da auch hier große Datenschutz-Stolpersteine im Weg liegen, empfiehlt sich zunächst eine Mitarbeiterschulung, so dass die alten und neuen Grundsätze der Datenschutzverordnung jedermann bekannt sind.
Falls Unsicherheiten bestehen oder in Ihrem Unternehmen keine Ressourcen vorhanden sind, um den Datenschutz korrekt einzuhalten und zu überprüfen, kann ein (externer) Datenschutzbeauftragter hier sowohl für kleine, mittelständische als auch für große Unternehmen eine enorme Entlastung bedeuten. Dieser nimmt zum Beispiel eine Bestandsaufnahme vor und erklärt Ihnen detailliert, welche Maßnahmen in Ihrem individuellen Fall ergriffen werden sollten. Auch bürokratische Angelegenheiten, die sehr viel Zeit in Anspruch nehmen wie etwa die Dokumentation und Prüfung der Auftragsverarbeitung oder die Korrespondenz mit Aufsichtsbehörden, übernimmt der Datenschatzbeauftragte für Sie.