Art. 23 EU-DSGVO: Beschränkungen

Artikel 23 EU-DSGVO: Beschränkungen

Durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche oder der Auftragsverarbeiter unterliegt, können die Pflichten und Rechte gemäß den Artikeln 12 bis 22 und Artikel 34 sowie https://www.datenschutzexperte.de/ressourcen/gesetzestexte/eu-dsgvo-artikel-5/ , insofern dessen Bestimmungen den in den Artikeln 12 bis 22 vorgesehenen Rechten und Pflichten entsprechen, im Wege von Gesetzgebungsmaßnahmen beschränkt werden, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt, die Folgendes sicherstellt:
1. die nationale Sicherheit;
2. die Landesverteidigung;
3. die öffentliche Sicherheit;
4. die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit;
5. den Schutz sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaats, insbesondere eines wichtigen wirtschaftlichen oder finanziellen Interesses der Union oder eines Mitgliedstaats, etwa im Währungs-, Haushalts- und Steuerbereich sowie im Bereich der öffentlichen Gesundheit und der sozialen Sicherheit;
6. den Schutz der Unabhängigkeit der Justiz und den Schutz von Gerichtsverfahren;
7. die Verhütung, Aufdeckung, Ermittlung und Verfolgung von Verstößen gegen die berufsständischen Regeln reglementierter Berufe;
8. Kontroll-, Überwachungs- und Ordnungsfunktionen, die dauernd oder zeitweise mit der Ausübung öffentlicher Gewalt für die unter den Buchstaben a, b, c, d, e und g genannten Zwecke verbunden sind;
9. den Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen;
10. die Durchsetzung zivilrechtlicher Ansprüche.
Jede Gesetzgebungsmaßnahme im Sinne des Absatzes 1 muss insbesondere gegebenenfalls spezifische Vorschriften enthalten zumindest in Bezug auf
1. die Zwecke der Verarbeitung oder die Verarbeitungskategorien,
2. die Kategorien personenbezogener Daten,
3. den Umfang der vorgenommenen Beschränkungen,
4. die Garantien gegen Missbrauch oder unrechtmäßigen Zugang oder unrechtmäßige Übermittlung;
5. die Angaben zu dem Verantwortlichen oder den Kategorien von Verantwortlichen,
6. die jeweiligen Speicherfristen sowie die geltenden Garantien unter Berücksichtigung von Art, Umfang und Zwecken der Verarbeitung oder der Verarbeitungskategorien,
7. die Risiken für die Rechte und Freiheiten der betroffenen Personen und
8. das Recht der betroffenen Personen auf Unterrichtung über die Beschränkung, sofern dies nicht dem Zweck der Beschränkung abträglich ist.

Zum Inhaltsverzeichnis

Sie haben noch Fragen? Wir sind gerne für Sie da.

Kommentar zu
Artikel 23 EU-DSGVO: Beschränkungen

Kommentar zu Art. 32 DSGVO

Art. 32 DSGVO befasst sich mit verschiedenen technischen und organisatorischen Maßnahmen, kurz TOMs, die etwa von einem Unternehmen oder einer Behörde zum Schutz personenbezogener Daten zu treffen sind. Nicht abschließend werden hier verschiedene Methoden des Datenschutzes wie etwa die Pseudonymisierung der Daten einer Person aufgeführt.

Hierbei ist jedoch zu beachten, dass der Gesetzgeber Unternehmen und anderen Institutionen einen gewissen Spielraum zur Umsetzung der jeweiligen Maßnahmen und weiterführender Schutzmechanismen einräumt. So können etwa der Stand der Technik, die Gefahr für einen Missbrauch der jeweiligen Daten, die Schwere der Folgen, der Zweck der Verarbeitung, die Kosten etc. in die Überlegungen einbezogen werden, welche Maßnahmen in welchem Umfang ergriffen werden müssen. In diesem Sinne wird etwa ein Ein-Mann-Unternehmen, welches nur eine begrenzte Zahl an Kundendaten verarbeitet, die zusätzlich auch nicht sehr risikobelastet sind, weniger tiefgreifende Maßnahmen treffen müssen als Großbanken oder Versicherungsträger, die extrem schutzwürdige Daten in großem Ausmaß verarbeiten.

Maßnahmen, die nach Art. 32 DSGVO getroffen werden sollten

Im ersten Absatz des Art. 32 DSGVO werden abstrakte Maßnahmen genannt, die ein ausreichendes Schutzniveau für personenbezogene Daten herstellen. Hinzuzuziehen ist zudem der zweite Absatz, in welchem klargestellt wird, dass zunächst eine Risikoabwägung stattfinden sollte, um die Angemessenheit der Schutzmaßnahmen zu ermitteln: Je höher also die Gefahr ist, dass Daten in Ihrem Unternehmen verlorengehen, missbraucht oder offengelegt werden, desto umfangreichere Maßnahmen sind zu treffen.

Hier kommt es nicht auf den Schaden oder das Risiko für das Unternehmen an, sondern viel mehr auf die Risiken für die Rechte und Freiheiten natürlicher Personen. Diese können aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einem physischen, materiellen oder immateriellen Schaden führen könnten. Dies ist beispielsweise der Fall,

wenn die Verarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung führen kann,
wenn personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Zugehörigkeit zu einer Gewerkschaft hervorgehen, verarbeitet werden oder
wenn die Verarbeitung eine große Menge personenbezogener Daten und eine große Anzahl von betroffenen Personen betrifft.

Konkret geht es im Art. 32 DSGVO um folgende Methoden des Datenschutzes:

Pseudonymisierung und Verschlüsselung personenbezogener Daten Beispiele: Passwortvergabe, SSL-Zertifikate, VPN
Dauerhafte Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung Beispiele: Regelmäßige IT-Checks, Nutzung der neusten Technologien, Zugriff nur durch autorisiertes Personal, Berechtigungskonzept
Schnelle Wiederherstellungsmöglichkeit der personenbezogenen Daten bei einem physischen oder technischen Zwischenfall Beispiele: regelmäßige Backups, Nutzung einer Cloud, Zugriff auf die Daten von verschiedenen Geräten aus
Regelmäßige Überprüfung, Bewertung und Evaluierung der technischen und organisatorischen Maßnahmen Beispiel: Erstellung von jährlichen Tätigkeitsberichten, Dokumentation der Auftragsverarbeitungsverhältnissen, Prüfung des IT-Sicherheitskonzepts, regelmäßige Passwortänderungen

Art. 32 DSGVO in Ihrem Unternehmen richtig umsetzen

Um Sanktionen gegen Ihr Unternehmen oder Beschwerden bei der Aufsichtsbehörde zu vermeiden, sollten auch Sie Datenschutzmaßnahmen ergreifen. Hierbei ist natürlich die Größe, Art und finanzielle Stemmkraft Ihrer Firma zu beachten. Zumindest einfache, weniger kostenintensive Maßnahmen müssen in kleinen Unternehmen umgesetzt werden. Hierzu zählen etwa die verbesserte Sicherung des Firmengebäudes zum Beispiel durch Umzäunungen oder eine Alarmanlage, die Auslage von Listen zur Besucheranmeldung oder die Passwortvergabe an alle Mitarbeiter. Bedenken Sie, dass Ihre Mitarbeiter ferner auch an das Telekommunikationsgeheimnis gebunden sind und laut des vierten Absatzes des Art. 32 DSGVO Daten im Normalfall nur auf Anweisung verarbeiten dürfen. Da auch hier große Datenschutz-Stolpersteine im Weg liegen, empfiehlt sich zunächst eine Mitarbeiterschulung, so dass die alten und neuen Grundsätze der Datenschutzverordnung jedermann bekannt sind.

Falls Unsicherheiten bestehen oder in Ihrem Unternehmen keine Ressourcen vorhanden sind, um den Datenschutz korrekt einzuhalten und zu überprüfen, kann ein (externer) Datenschutzbeauftragter hier sowohl für kleine, mittelständische als auch für große Unternehmen eine enorme Entlastung bedeuten. Dieser nimmt zum Beispiel eine Bestandsaufnahme vor und erklärt Ihnen detailliert, welche Maßnahmen in Ihrem individuellen Fall ergriffen werden sollten. Auch bürokratische Angelegenheiten, die sehr viel Zeit in Anspruch nehmen wie etwa die Dokumentation und Prüfung der Auftragsverarbeitung oder die Korrespondenz mit Aufsichtsbehörden, übernimmt der Datenschatzbeauftragte für Sie.