Auskunftersuchen: Datenschutzfehler kosten Unternehmen 40.000 EUR

Der Stand der Technik im Datenschutz: Ein Überblick

Die Datenschutz-Grundverordnung (DSGVO) ist das zentrale Regelwerk im europäischen Datenschutzrecht. Eine der dort verankerten Anforderungen ist die Implementierung von Maßnahmen zum Schutz personenbezogener Daten, die dem „Stand der Technik“ entsprechen. Doch was genau bedeutet dieser Begriff, und warum ist er so wichtig für Unternehmen? In diesem Blogbeitrag werfen wir einen genaueren Blick auf den „Stand der Technik“ im Kontext der DSGVO und zeigen auf, welche Implikationen dies für die Praxis hat.

Was ist der „Stand der Technik“?

Der Begriff „Stand der Technik“ wird in der DSGVO in den Artikeln 25 und 32 verwendet, insbesondere in Bezug auf die Sicherheit personenbezogener Daten. Obwohl der Begriff selbst nicht explizit in der DSGVO definiert wird, wird er als zentrales Kriterium für die Geeignetheit von Technischen und Organisatorischen Maßnahmen (TOM) herangezogen. Der Stand der Technik bezieht sich auf den aktuellen Entwicklungsstand von Verfahren, Einrichtungen und Maßnahmen, die in der Praxis bewährt und anerkannt sind.
Es handelt sich dabei um einen etablierten Standard, der über das hinausgeht, was als „allgemein anerkannte Regeln der Technik“ verstanden wird, aber nicht den höchsten Standard, den „Stand von Wissenschaft und Technik“, erreicht.

  • Allgemein anerkannte Regeln der Technik (AART):
    Niedrigster Standard, basierend auf bewährten Praktiken.
    Beispiele:

    • E-Mail: Unverschlüsselte E-Mail-Versand, wie eine Postkarte – weit verbreitet, aber unsicher.
    • Zugangskontrolle: Einfaches Passwort für den Zugang, das jedoch leicht erraten oder geknackt werden kann.
  • Stand der Technik (SDT):
    Mittlerer Standard, der in der DSGVO gefordert wird.
    Beispiele:

    • E-Mail: Transportverschlüsselung (TLS), die den Übertragungsweg sichert, jedoch den Inhalt der E-Mail nicht vollständig verschlüsselt.
    • Zugangskontrolle: Verwendung von Zwei-Faktor-Authentifizierung (2FA), bei der neben einem Passwort ein zusätzlicher Sicherheitsfaktor wie ein Einmalcode erforderlich ist.
  • Stand von Wissenschaft und Technik (SWT):
    Höchster Standard, der die neuesten wissenschaftlichen Erkenntnisse einbezieht.
    Beispiele:

    • E-Mail: Ende-zu-Ende-Verschlüsselung (z.B. PGP), bei der nur Absender und Empfänger den E-Mail-Inhalt lesen können.
    • Zugangskontrolle: Biometrische Zugangskontrolle (z.B. Fingerabdruck- oder Iris-Scanner) kombiniert mit Mehrfaktor-Authentifizierung, die neueste Technologien für höchste Sicherheit einsetzt.

Bedeutung des Begriffs im Kontext der DSGVO

Die DSGVO fordert, dass Unternehmen ihre Technischen und Organisatorischen Maßnahmen (TOM) stets an den Stand der Technik anpassen. Dies bedeutet, dass sich Unternehmen kontinuierlich mit der Weiterentwicklung technischer Möglichkeiten auseinandersetzen müssen, um den Schutz der personenbezogenen Daten zu gewährleisten.
Der Begriff „Stand der Technik“ bietet eine gewisse Flexibilität, die es ermöglicht, dass das Gesetz nicht ständig an neue technische Entwicklungen angepasst werden muss. Gleichzeitig wird jedoch auch sichergestellt, dass Unternehmen ihre Sicherheitsmaßnahmen regelmäßig überprüfen und aktualisieren, um neuen Bedrohungen und technologischen Fortschritten gerecht zu werden.

Praktische Implikationen für Unternehmen

Für Unternehmen bedeutet dies, dass sie nicht nur darauf achten müssen, dass ihre aktuellen technischen Maßnahmen den geltenden Standards entsprechen, sondern auch, dass sie zukünftige Entwicklungen im Auge behalten. Dies kann z. B. bedeuten, dass Verschlüsselungstechnologien, die heute als optional gelten, in naher Zukunft als unverzichtbar angesehen werden könnten, um dem Stand der Technik zu entsprechen.
Darüber hinaus sollten Unternehmen eine umfassende Risikobewertung vornehmen, um die Angemessenheit ihrer Maßnahmen zu bestimmen. Eine sorgfältige Analyse der Risiken, die mit der Verarbeitung personenbezogener Daten verbunden sind, ist entscheidend, um geeignete technische und organisatorische Maßnahmen zu entwickeln und umzusetzen.

Fazit

Der Stand der Technik ist ein dynamischer und zentraler Begriff im Datenschutzrecht, Sie als Unternehmen dazu verpflichtet, Ihre Technischen und Organisatorischen Maßnahmen kontinuierlich zu überprüfen und anzupassen. Obwohl die DSGVO keine konkrete Definition des Begriffs liefert, bietet sie doch klare Anhaltspunkte dafür, wie dieser zu verstehen ist und welche Anforderungen an Unternehmen gestellt werden.
Es ist daher unerlässlich, Sie für und in Ihrem Unternehmen den Stand der Technik stets im Auge behalten und bereit sind, Ihre Maßnahmen an neue Entwicklungen anzupassen. Nur so können Sie sicherstellen, dass diese den Anforderungen der DSGVO gerecht werden und die Sicherheit der personenbezogenen Daten Ihrer Kunden und Mitarbeiter gewährleisten.
Durch die kontinuierliche Überprüfung und Anpassung ihrer Sicherheitsmaßnahmen können Unternehmen nicht nur den gesetzlichen Anforderungen entsprechen, sondern auch das Vertrauen Ihrer Kunden stärken und Ihre eigenen Unternehmenswerte schützen.

Nehmen Sie gern Kontakt zu uns auf, wenn Sie Fragen haben und weitere Informationen wünschen! Wir bieten Datenschutz-Audits zur Überprüfung des Umsetzungsstand Ihrer Maßnahmen an.

Hat Ihnen dieser Beitrag gefallen? Dann teilen Sie ihn!

Tags: