+49 (55 03) 9 15 96 48 sorge@DatCon.de

Technische und organisatorische Maßnahmen oder die Sache mit dem Art. 32 DSG

Eine verantwortliche Stelle muss gemäß DSGVO für die Verarbeitung geeignete technische und organisatorische
Maßnahmen zum Schutz der Daten treffen. Aber was heißt ausreichend? Grundsätzlich sieht der Art. 32 DSGVO kein
vorgeschriebenes Niveau vor. Die Festlegung des ausreichenden Schutzes liegt im Ermessen des Unternehmens.
Faktoren wie Stand bzw. Art der Technik, individuelle Umstände oder auch Kosten spielen bei der Wahl eine große Rolle.
Aber auch das Risiko der Eintrittswahrscheinlichkeit einer Datenpanne ist nicht unwichtig und sollte nicht unterschätzt
werden.
Wichtig ist, dass die technischen und organisatorischen Maßnahmen für die gesamten Datenverarbeitungen innerhalb
eines Unternehmens ausreichend sind und dem Stand der Technik entsprechen. Dieser Schutz muss regelmäßig geprüft
und dokumentiert werden. Insbesondere Auftragsverarbeiter haben dies gegenüber ihren Auftraggebern nachzuweisen.
Andersherum haben die Auftraggeber gemäß Art. 28 DSGVO die Pflicht ihre Auftragsverarbeiter regelmäßig zu prüfen, hier
eben insbesondere der Bereich der technischen und organisatorischen Maßnahmen.
In einzelnen Fällen kann es vorkommen, dass diese unternehmensweiten Maßnahmen für einzelne Verarbeitungen nicht
ausreichen. Dann muss hier der Schutz bereichsweise erhöht werden. Auch zeigt die Praxis, dass es immer wieder
Auftraggeber gibt, die einen höheren Schutzbedarf haben müssen bzw. wollen.
Darf das Schutzniveau geändert werden? Ja, aber nur zum Besseren. Auf keinen Fall sollte es reduziert werden. Sofern
man als Auftragsverarbeiter unterstützt, dann darf es auch schlichtweg nicht reduziert werden.
Kann eine betroffene Person das Schutzniveau reduzieren lassen? Das kommt darauf an. Berufsgeheimnisträger
beispielsweise sollten genau überlegen, ob sie dies gegenüber ihrer berufsrechtlichen Verschwiegenheitsverpflichtung
verantworten können. In der Regel eher nein. Auch spielt es eine Rolle, ob man die verantwortliche Stelle ist oder ein
Auftragsverarbeiter. Im Rahmen der Auftragsverarbeitung bestimmt in der Regel die verantwortliche Stelle, der
Auftraggeber, den Schutz, da sie ihn auch verantworten muss.
Wenn man nun aber doch eine Einwilligung zur Reduktion des Schutzes von der betroffenen Person einholen möchte,
dann sollte man diese umfangreich über mögliche Risiken informieren.
Softwareupdates – Fluch oder Segen?
Viele kennen das Thema der regelmäßigen Updates. Sie sind lästig, kosten Zeit und/oder auch Geld, wenn es externe
Dienstleister machen. Dennoch sind Softwareupdates enorm wichtig und spielen eine wichtige Rolle im Bereich des
Datenschutzes.
Die Praxis zeigt, dass jede Software mehr oder weniger ausgeprägte Sicherheitslücken hat. Diese Sicherheitslücken
müssen schnellstmöglich behoben werden, sodass potenzielle Angreifer diese nicht ausnutzen können. Sicherheitslücken
treten aber nicht nur im Bereich der Anwendungssoftware auf, sondern auch bei Software zur Gerätesteuerung.
Auf keinen Fall ist zu empfehlen hier zu sparen. Käme es durch diese Einsparung zu einer Datenpanne, würde der Faktor
zur Berechnung eines möglichen Bußgeldes definitiv höher sein. Das bedeutet, dass die Investitionen in eine gut betreute
Hard- und Software gut angelegtes Kapital sind, welche zudem für einen besseren Schutze Ihres „Unternehmensgoldes“
ist. Die kürzlich bekannt gewordenen Sicherheitslücken bei dem Microsoft Exchange-Server haben gezeigt, dass schnelles
Handeln enorm wichtig ist.
Corona-Test – Geht das Chaos weiter?
Eine kleine Anekdote zum Schluss. Ein Corona-Test ist nicht gleich ein Corona-Test. Je nachdem in welchem
Zusammenhang und in welcher Konstellation dieser stattfindet müssen bestimmte Punkte, wie beispielsweise Einwilligung,
unterschiedlich betrachtet werden. Es ist etwas anderes, ob ein Arbeitgeber auf freiwilliger Basis Selbsttests zur Verfügung
stellt oder ein Testzentrum betrieben wird. Auch ist ein wichtiger Faktor, ob beispielsweise ein Unternehmen einen externen
Dienstleister zum Testen beauftragt.
Auf jeden Fall müssen die Themen „Informationspflicht“ und „Einwilligung“ beachtet werden. Da es sich hierbei um
Gesundheitsdaten gemäß Art. 9 DSGVO handelt, sollte hier dringlichst auf eine datenschutzkonforme Verarbeitung
weggelegt werden. Die Praxis zeigt, dass es empfehlenswert ist, dass regelmäßig die datenschutzrechtlichen Hinweise
geprüft werden.
Fazit?
Auch hier zeigt es sich wieder, dass Datenschutz ein Prozess ist. Es ist kein Projekt mit einem Enddatum!
Wichtig ist, dass die Unternehmen über Änderungen bzw. geplante Maßnahmen möglichst frühzeitig ihren
Datenschutzbeauftragten informieren. Insbesondere für den Bereich IT-Sicherheit sind auch die IT-Dienstleister bzw. die
eigenen Administratoren ein guter Ansprechpartner.
Sie haben Fragen? Melden Sie sich bitte bei uns! Es bleibt spannend!