Das BayLDA möchte Interessierten einen Einblick gewähren, welche Thematiken der EU-Datenschutzgrundverordnung derzeit in den deutschen Aufsichtsbehörden und somit natürlich auch im Bayerischen Landesamt für Datenschutzaufsicht intensiv diskutiert werden. Es handelt sich bei den Analysen zwar um keine verbindlichen Auffassungen, sondern um gegenwärtige Interpretationen und Meinungen, sollte aber dennoch von hoher Relevanz sein.
SICHERHEIT DER VERARBEITUNG
Die technischen und organisatorischen Maßnahmen (TOM) wie sie in § 9 BDSG zu finden sind, halten sich – trotz Anlage – eher bedeckt, wenn es darum geht, geeignete Maßnahmen nach festen Kriterien zu bestimmen. Durch den Wegfall des § 9 BDSG in der
jetzigen Form muss man sich ansehen, welche Regelungen die EU-DSGVO hier nun stattdessen trifft und wie man diese verstehen soll. Dazu muss man sich insbesondere Art. 32 in der EU-DSGVO, mit dem Titel „Sicherheit der Verarbeitung“ zu Gemüte führen. Aber auch an verschiedenen anderen Stellen gibt es Verweise auf Begriffe aus Art. 32.
SCHUTZZIELE
Hier finden sich auch die klassischen Schutzziele der IT-Sicherheit wieder. Neu ist hier aber die „Belastbarkeit“. Es wird also zukünftig auch eine Belastbarkeit der Dienste und Systeme zu gewährleisten sein. Maßnahmen dafür finden sich hier leider nicht.
RISIKOBEWERTUNG
„Die Maßnahmen, die zum Schutz von personenbezogenen Daten getroffen werden sollen, müssen künftig unter Berücksichtigung des Risikos ausgewählt werden.“ Hierbei ist künftig zu beachten, dass nicht mehr nur die Unternehmenswerte, sondern im
Sinne des Datenschutzes die Betroffenen bei der Risikobewertung in den Mittelpunkt zu stellen.
NICHT VIEL NEUES ZU DEN TOM
Hier ändert sich nicht viel. In Art. 32 spricht man von geeigneten technischen und organisatorischen Maßnahmen,
die die verantwortliche Stelle unter Berücksichtigung des aktuelle Stands der Technik und der Kosten für deren Implementierung zu treffen hat. Also wie schon jetzt, muss geprüft werden was Stand der Technik jeweils bedeutet und ob eine Verhältnismäßigkeit vorliegt.
NACHWEISPFLICHT
Nach Art. 5 Abs. 2 der EU-Datenschutzgrundverordnung besteht eine Rechenschaftspflicht. die verantwortliche Stelle wird also Nachweise erbringen müssen, dass die Sicherheit der Verarbeitung gewährleistet wird. Damit werden Firmenrichtlinien und Zertifizierungen noch weiter an Bedeutung gewinnen.
Das Infoblatt des BayLDA zum Thema „Sicherheit der Verarbeitung – Art. 32 DS-GVO“ steht auf Seiten des BayLDA gratis zum Download bereit.