Technischer und organisatorischer Datenschutz
© SMI
Die Datenschutz-Grundverordnung enthält vor allem in Artikel 5 und Artikel 32 die neuen Vorgaben zur „Sicherheit der Verarbeitung“. Außerdem sind weitere Vorgaben hierzu in Artikel 24, 25 sowie 36 Datenschutz-Grundverordnung normiert.
- Vor Festlegung der technischen und organisatorischen Maßnahmen hat eine risikobasierte Abwägung zu erfolgen. Diese beinhaltet, dass alle möglichen Bedrohungen und Schwachstellen mit ihrer jeweiligen Eintrittswahrscheinlichkeit und der potentiellen Schwere des Schadens für die Rechte und Freiheiten betroffener Personen identifiziert werden.
- Die bisher bekannten Prinzipien der Datenvermeidung und -sparsamkeit werden durch Artikel 25 Absatz 1 und 2 Datenschutz-Grundverordnung nun noch konkretisiert und fordern Datenschutz durch Technikgestaltung und durch datenschutzrechtliche Voreinstellungen (Privacy by design und Privacy by default).
- Der Verantwortliche muss die technischen und organisatorischen Maßnahmen, die er getroffen hat, nachweisen und aktuell halten. Gemäß Artikel 32 Absatz 1 Buchstabe d Datenschutz-Grundverordnung muss nun auch die Wirksamkeit der umgesetzten technischen und organisatorischen Maßnahmen getestet und ggf. nachgesteuert werden.
- Das aus § 10 Sächsisches Datenschutzgesetz bekannte Verfahrensverzeichnis wird mit der Datenschutz-Grundverordnung abgelöst durch ein Verzeichnis aller Verarbeitungstätigkeiten mit personenbezogenen Daten. Dieses Verzeichnis betrifft nun sämtliche, insbesondere auch nichtautomatisierte Verarbeitungen personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Grundsätzlich ist nun auch jeder Auftragsverarbeiter zur Erstellung und Führung eines solchen Verzeichnisses verpflichtet.
- Der Verantwortliche hat die technischen und organisatorischen Maßnahmen zu dokumentieren. Dies sollte im Rahmen eines Datenschutz- und Informationssicherheitskonzeptes erfolgen.
- Die öffentliche Stelle hat ein Verfahren zu etablieren, das regelmäßig die Wirksamkeit der technischen und organisatorischen Maßnahmen bewertet und evaluiert. Hierfür empfiehlt sich die Einführung eines Datenschutz-Managementsystems.
- Es wird empfohlen, das Prinzip Privacy by default künftig bereits im Zuge der vergaberechtskonformen Ausschreibung von IT-Produkten zu beachten.
- Die bestehenden Verfahrensverzeichnisse nach § 10 Sächsisches Datenschutzgesetz sind an die Anforderungen des Verarbeitungsverzeichnisses nach Artikel 30 Absatz 1 Datenschutz-Grundverordnung anzupassen.
