Was versteht die DSGVO unter „Stand der Technik”?
Ein Begriff in der Datenschutz-Grundverordung (DSGVO) sorgt für besondere Unruhe: Stand der Technik
. Die DSGVO lässt offen, was der Gesetzgeber darunter versteht und auch nationale Datenschutzgesetze, wie beispielsweise das Österreichische DBS bieten ebenfalls keine Definition. Damit ist diese Vorgabe ein Herausforderung für alle Beteiligten, Aufsichtsbehörden, Verantwortliche und Auftragsverarbeiter.
Stand der Technik
in der DSGVO
Im Abschnitt 1 (Allgemeine Pflichten
) findet sich die Formulierung in Art. 25 DSGVO zu Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
:
Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen — wie z. B. Pseudonymisierung — trifft, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.(Abs.1)
Im Abschnitt 2 (Sicherheit personenbezogener Daten
) formuliert Art. 32 DSGVO zu Sicherheit der Verarbeitung
:
Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.(Abs. 1)
In ErwG 78 heißt es dazu:
In Bezug auf Entwicklung, Gestaltung, Auswahl und Nutzung von Anwendungen, Diensten und Produkten, die entweder auf der Verarbeitung von personenbezogenen Daten beruhen oder zur Erfüllung ihrer Aufgaben personenbezogene Daten verarbeiten, sollten die Hersteller der Produkte, Dienste und Anwendungen ermutigt werden, das Recht auf Datenschutz bei der Entwicklung und Gestaltung der Produkte, Dienste und Anwendungen zu berücksichtigen und unter gebührender Berücksichtigung des Stands der Technik sicherzustellen, dass die Verantwortlichen und die Verarbeiter in der Lage sind, ihren Datenschutzpflichten nachzukommen.
Was meint Stand der Technik
?
Die DSGVO definiert nirgends, was genau unter Stand der Technik
zu verstehen sei. Angesichts der kurzen Halbwertszeit technologischer Entwicklungen und laufend neu bekannt werdender weiterer Sicherheitserfordernisse ist gut nachvollziehbar, dass der Gesetzgeber in eine eher allgemeine und offene Formulierung flüchtet.
In Österreich könnte bei der Definition womöglich auf §71 a GewO zurückgegriffen werden. Abs. 1 formuliert: Der Stand der Technik (beste verfügbare Techniken – BVT) im Sinne dieses Bundesgesetzes ist der auf den einschlägigen wissenschaftlichen Erkenntnissen beruhende Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen, Bau- oder Betriebsweisen, deren Funktionstüchtigkeit erprobt und erwiesen ist. Bei der Bestimmung des Standes der Technik sind insbesondere jene vergleichbaren Verfahren, Einrichtungen Bau- oder Betriebsweisen heranzuziehen, welche am wirksamsten zur Erreichung eines allgemein hohen Schutzniveaus für die Umwelt insgesamt sind.
Zielführender scheint es, sich in der Diskussion um den Stand der Technik die damit verbunden, klar ausgesprochenen Wirkungsziele zu fokussieren. Danach ist der Stand der Technik
erforderlich, um
-
ein dem Risiko angemessenes Schutzniveau zu gewährleist
- den Anforderungen der DSGVO zu genügen und die
Rechte der betroffenen Personen zu schützen.
- zu gewährleisten, dass
die Verantwortlichen und die Verarbeiter in der Lage sind, ihren Datenschutzpflichten nachzukommen
.
Konsequenzen für Verantwortliche und Auftragsverarbeiter
Wer als Verantwortlicher oder Auftragsverarbeiter der DSGVO in Punkto Stand der Technik
entsprechen will, sollte nicht in erster Linie abstrakt danach fragen, was denn der Stand der Technik
allgemein bezüglich Schutz von Daten sei, sondern sollte ausgehend von einer konkreten Situation danach fragen, wie die oben genannten Wirkungsziele erreicht werden können. D.h. nach DSGVO wird nicht beurteilt, ob man sich in seinen Anwendungen und Prozessen auf einen wie auch immer definierten Stand der Technik befindet, sondern ob diese geeignet sind, in der konkreten Situation die Wirkungsziele zu erreichen.
Dennoch sind Verantwortliche und Auftragsverarbeiter nicht aus der Verantwortung entlassen, laufend zu überprüfen, ob die eingesetzten Mittel ausreichen, um die Wirkungsziele zu erreichen, also am Stand der Technik
sind. Das ist sicherlich für EPU, Microunternehmen oder KMU eine größere Herausforderung als für entsprechend große Unternehmen oder Organisationen mit eigener IT Abteilung oder fixer Betreuung durch externe IT Dienstleister. Ungeachtet dessen ist der Umstand, mangelnder Fachkenntnis und mangelnder Spezialisten kein Entschuldigungsgrund.
Insbesondere kleineren Unternehmen und Organisationen ist daher zu empfehlen,
- sich bei Institutionen, wie bspw. dem Bundesamt für Sicherheit in der Informationstechnik (BSI), bei Branchen- oder Fachverbänden etc. zu informieren. So hat das BSI beispielsweise einen Grundschutzkatalog und technische Richtlinien erarbeitet, die laufen aktualisiert werden. In Österreich liefert die Wirtschaftskammer (WKO) hilfreiche Informationen.
- sich bei Aufsichtsbehörden zu informieren, in Österreich bsw. bei der Datenschutzbehörde, die allerdings nicht sehr auskunftsfreudig ist und selbst (bis dato) über keine IT Spezialisten im Team verfügt. Es sei daher auch österreichischen Unternehmen oder Organisationen der Blick über die Grenze zu deutschen Aufsichtsbehörden empfohlen.
- die Sicherstellung der Wirkungsziele regelmäßig von zertifizierten Dienstleistern prüfen zu lassen. (Wobei es derzeit noch keinen einheitlichen Standard zur Zertifizierung gibt.)
Trotz allem bleibt das Unternehmen, bzw. die Geschäftsführung in der Pflicht und letztlich auch in der Haftung. (Vgl. Die Geschäftsführung haftet bei Verstößen gegen die DSGVO
)
Dr. Conrad Lienhardt
Unternehmensberater
Rechtskonforme Ausgestaltung und Optimierung von Kundenbeziehungen, Datenschutz
Tel: +43 732 90 80 36 | Mobil: 0699 15 31 67 76 | E-Mail
Der Gesetzestext der DSGVO, EU-Lex
DSGVO Assessment
Reduzieren Sie Ihr Risiko. Sorgen Sie vor und nutzen Sie unser Angebot eines
Für weitere Auskünfte und Informationen erreichen Sie uns telefonisch unter
0699/15 31 67 76 oder per E-Mail
Hinweis:
Die Inhalte unserer Internetseiten werden mit größter Sorgfalt recherchiert. Dennoch kann der Anbieter keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der bereit gestellten Informationen übernehmen. Auf dieser Website werden allgemeine Informationen angeboten die keine Rechtsberatung darstellen und auch keine ersetzen können. Wir übernehmen keine Haftung für unmittelbare oder mittelbare Schäden, gleich aus welchem Rechtsgrund, die im Zuge der Nutzung dieser Website entstehen könnten. Zur Lösung von konkreten Rechtsfällen konsultieren Sie bitte einen Rechtsanwalt.
Noch kein Feedback
Formular wird geladen...