Technische und organisatorische Maßnahmen
Unternehmen, die selbst oder im Auftrag anderer personenbezogene Daten erheben, verarbeiten oder nutzen, müssen technische und organisatorische Maßnahmen treffen, um die Daten wirksam zu schützen. Grundsätzlich gilt es dem Datenschutz durch Technikgestaltung (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) nachzukommen. Das fordert die Datenschutzgrundverordnung (DS-GVO) im Artikel 25 und im Erwägungsgrund 78.
Folgende Anforderungen sind immer zu betrachten und geeignete technisch-organisatorische Maßnahmen anzuwenden, um ein dem Risiko bei der Verarbeitung personenbezogener Daten angemessenes Schutzniveau zu gewährleisten:
- Zutrittskontrolle
Nur befugte Personen dürfen Zutritt zu den Datenverarbeitungsanlagen haben. - Zugangskontrolle
Unbefugte dürfen keine Möglichkeit haben, die Datenverarbeitungsanlagen zu nutzen.
Bei einem Wechsel der Zuständigkeit oder einem Ausscheiden von Mitarbeitern sind die Zugangsberechtigungen zu prüfen. - Zugriffskontrolle
Personen, die zur Benutzung der Datenverarbeitungsanlagen berechtigt sind, dürfen nur auf solche Daten zugreifen können, die ihrer jeweiligen Zugriffsberechtigung unterliegen. Zusätzlich darf es nicht möglich sein, dass personenbezogene Daten nach dem Speichern unbefugt gelesen, kopiert, verändert oder entfernt werden können. - Weitergabekontrolle
Personenbezogene Daten dürfen während der elektronischen Übertragung oder während eines Transports nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Es muss nachvollziehbar und überprüfbar sein, an welche Stellen Daten übermittelt werden. - Bei der Verarbeitung besonderer Kategorien personenbezogener Daten nach Artikel 9 DS-GVO ist bei einer Übermittlung oder Weitergabe für andere Zwecke durch spezifische Verfahrensregelungen die Einhaltung der Datenschutzgesetze sicherzustellen.
- Eingabekontrolle
Es muss nachträglich überprüft werden, von wem personenbezogene Daten eingegeben, verändert oder entfernt wurden. - Auftragskontrolle
Werden personenbezogene Daten im Auftrag von Dritten verarbeitet, darf dies nur den Anweisungen des Auftraggebers folgend geschehen. - Verfügbarkeitskontrolle
Die Daten müssen gegen zufällige Zerstörung oder Verlust geschützt sein. Die Daten müssen nach einem physischen oder technischen Zwischenfall rasch wiederhergestellt werden können. - getrennte Verarbeitung
Zu unterschiedlichen Zwecken erhobene Daten müssen grundsätzlich auch getrennt verarbeitet werden können. - Pseudonymisierung
Personenbezogene Daten sollten so schnell wie möglich pseudonymisiert werden. Die zur Rückführung der Pseudonyme, in die ursprünglichen personenbezogenen Daten, notwendigen Daten sollten getrennt gespeichert werden. - Datenminimierung
Dazu gehören die Menge der erhobenen personenbezogenen Daten, der Umfang der Verarbeitung, die Speicherfrist und die Zugänglichkeit für natürliche Personen. - Transparenz
Die Funktionen und die Verarbeitung personenbezogener Daten sollte möglichst Transparent für die betroffenen Personen erfolgen. - Überwachung
Den betroffenen Personen sollte die Möglichkeit gegeben werden, die Verarbeitung der personenbezogenen Daten überwachen zu können. - Vertraulichkeit
Personenbezogene Daten sollten immer verschlüsselt gespeichert und übertragen werden. Auch ein unbefugtes Mitlesen bspw. auf Reisen sollte verhindert werden. Auch an der Verarbeitung beteiligte Personen können ggf. auf Vertraulichkeit verpflichtet werden. - Aktualisierung und Patch-Management
Insbesondere Sicherheitsupdates sollten möglichst rasch installiert werden. Aber auch Herstellerhinweise und Hinweise aus sonstigen Quellen sollten verfolgt und zeitnah umgesetzt werden. - Sensibilisierung und Schulung
Die an den Verarbeitungsvorgängen Beteiligten müssen geschult und sensibilisiert werden. - Verfahrensregelungen bei einer Verarbeitung für andere Zwecke
Bei einer Übermittlung oder Verarbeitung für andere Zwecke sollte die Einhaltung der DS-GVO durch Verfahrensregelungen sichergestellt werden. - Die technischen und organisatorischen Maßnahmen sollten regelmäßig überprüft, bewertet und evaluiert werden.
Hinweis: Diese Maßnahmen werden üblicherweise von der oder dem Datenschutzbeauftragten des Unternehmens sichergestellt und überwacht. Bei Unternehmen, die nicht verpflichtet sind, Datenschutzbeauftragte zu bestellen, muss die Unternehmensleitung sicherstellen, dass diese Anforderungen erfüllt werden. Falls Sie automatisierte Verarbeitungen anwenden, die eine Vorabkontrolle nötig machen, ist die Bestellung von Datenschutzbeauftragten immer Pflicht.
Vorabkontrolle durch den Datenschutzbeauftragten
Wenn durch Verarbeitungen die Rechte und Freiheiten der Betroffenen voraussichtlich einem hohen Risiko ausgesetzt sind, muss vor Beginn der Verarbeitung eine Datenschutz-Folgenabschätzung stattfinden. Dies gilt vor allem für umfangreiche Verarbeitungen und wenn
- neue Technologien oder neuartige Verarbeitungen zum Einsatz kommen.
- besondere Arten personenbezogener Daten (Angaben über rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische/weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische bzw. biometrische Daten, Gesundheit oder Sexualleben, strafrechtliche Verurteilungen oder Straftaten) umfangreich verarbeitet werden.
- die Datenverarbeitung das Ziel hat, die Persönlichkeit, Leistungen, Fähigkeiten oder das Verhalten der Betroffenen zu bewerten. Insbesondere wenn diese als Grundlage für weitere Entscheidungen dient, die Rechtswirkung entfalten oder in ähnlicher Weise beeinträchtigend sind.
- eine systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche stattfindet.
Eine Liste mit Verarbeitungsvorgängen, für die eine Datenschutz-Folgenabschätzung durchzuführen ist, findet sich online auf den Seiten des LfDI („Liste von Verarbeitungsvorgängen nach Artikel 35 Absatz 4 DS-GVO“).
Die Datenschutz-Folgenabschätzung hat zumindest folgendes zu enthalten:
- eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung,
- eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf deren Zweck,
- eine Bewertung der Gefahren für die Rechtsgüter der betroffenen Personen und
- die Maßnahmen, mit denen bestehenden Gefahren abgeholfen werden soll, einschließlich der Garantien, der Sicherheitsvorkehrungen und der Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und die Einhaltung der gesetzlichen Vorgaben nachgewiesen werden sollen.
Der Verantwortliche hat ggf. eine (regelmäßige) Überprüfung durchzuführen, ob die Verarbeitung den Maßgaben aus der Datenschutz-Folgenabschätzung folgt.
Wenn sich aus der Folgenabschätzung ein hohes Risiko für die Rechte und Freiheiten der Betroffenen ergibt und keine Maßnahmen zur Eindämmung des Risikos getroffen werden (können), muss vor der Verarbeitung die Aufsichtsbehörde konsultiert werden.
Von der Datenschutz-Folgenabschätzung darf nur abgesehen werden, wenn eine gesetzliche Verpflichtung vorliegt, die Verarbeitung im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt. Dies gilt nur, wenn der oder die konkreten Verarbeitungsvorgänge durch Rechtsvorschriften geregelt sind und bereits eine Datenschutz-Folgenabschätzung erfolgte.
Freigabevermerk
Dieser Text entstand in enger Zusammenarbeit mit den fachlich zuständigen Stellen. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit hat ihn am 18.03.2019 freigegeben.
