1. Art 32 DSGVO
Noch mal zum Art. 32 Abs. 1 DSGVO.
Im Art. 32 Abs. 1 DSGVO heißt es:
„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen, treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten;…“
Abs. 2 sagt dann:
„Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.“
Die Techniker würden jetzt vermutlich etwas gelangweilt sagen, dass ein ISMS zu etablieren ist. Die Norm ist richtig schön, um zu zeigen, dass auch ein ISMS (Information Security Management System), nach den Regelungen für die IT- Sicherheit installiert und gepflegt werden muss. Das ISMS soll dazu dienen, die Informationssicherheit zu steuern, zu kontrollieren und ggf. zu verbessern. Die konkrete Ausprägung des ISMS hängt von den Schutzzielen ab.
Im Art. 35 Abs. 7 DSGVO heißt es zum Thema Datenfolgeabschätzung:
„Die Folgenabschätzung enthält zumindest Folgendes:
- eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
- eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
- eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und
- die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.“
2. Gesetz
Die DSGVO lässt offen, wie dieser Vorgang vorzunehmen ist. Der Weg ist kostspielig und bindet Ressourcen, was auch dem Gesetzgeber klar ist.
3. Grundsatz
Wichtig ist nach dem Gesetz:
- Es muss einen Prozess geben. Dieser Prozess besagt im Wesentlichen:
- Welche Prozesse gibt es und welche Daten werden verarbeitet?
- Welche Risiken ergeben sich aus der Verarbeitung der Daten?
- Mit welchen Mitteln lassen sich die Risiken aus der Verarbeitung auf ein vertretbares Maß reduzieren oder ausschließen?
- Dieser Prozess ist zu dokumentieren.
- Dieser Prozess ist regelmäßig;
- und sonst (falls es zu einem Anlass kommt, der eine andere Risikobewertung als angemessen erscheinen lässt), wie insbesondere bei
- einem Technischen Change;
- der Verarbeitung einer höheren Anzahl von Daten;
- der Verarbeitung anderer Datenkategorien;
- einem Vorfall (Datenschutzvorfall, etc.)
anlassbezogen zu wiederholen.
