• Leichte Sprache
Logo des Landesbeauftragten für Datenschutz und Informationsfreiheit
  • ZUR HAUPTNAVIGATION
  • ZUR SUCHE
  • ZUM INHALT
  • Startseite
  • Über uns
    • Über uns
    • Der Landesbeauftragte
    • Aufgaben
    • Organisation
      • Organisation
      • Geschäftsverteilung
      • Kontakt
      • Stellenangebote
    • Datenschutzkommission
    • Datenschutz
      • Datenschutz
      • Datenschutzkontrolle
      • Datenschutzkonferenz
      • Rechtsgrundlagen
      • Gerichtsentscheidungen
      • Tätigkeitsberichte
    • Informationsfreiheit
      • Informationsfreiheit
      • Informationszugang
      • Konferenz der Informationsfreiheitsbeauftragten
      • Rechtsgrundlagen
      • Tätigkeitsberichte
    • Themen A-Z
  • Bürgerinnen / Bürger
    • Bürgerinnen / Bürger
    • Ihre Rechte
    • Beratung
    • Datenschutz
    • Selbstdatenschutz
    • Informationsfreiheit
      • Informationsfreiheit
      • Musterantrag auf Informationszugang gegenüber transparenzpflichtigen Stellen
      • Antrag nach § 11 LTranspG gegenüber dem Landesbeauftragten
    • Beschwerdeformular
    • Themen A-Z
  • Wirtschaft
    • Wirtschaft
    • Beratung
    • Betriebliche Datenschutzbeauftragte
    • Beschäftigtendatenschutz
    • Internationales
    • Datenverarbeitung im Auftrag
    • Meldung einer Datenpanne nach Art. 33 DS-GVO
    • Themen A-Z
  • Verwaltung
    • Verwaltung
    • Datenschutz
    • Informationsfreiheit
    • Beratung
    • Behördliche Datenschutzbeauftragte
    • Meldung einer Datenpanne nach Art. 33 DS-GVO
    • Themen A-Z
  • Service
    • Service
    • Veranstaltungen/Termine
    • Kontakt
    • Online-Services
    • Tätigkeitsberichte
    • Infothek
      • Infothek
      • Pressemitteilungen
      • Statistik & Zahlen
      • Entschließungen der Datenschutzkonferenz
      • Entschließungen der Informationsfreiheitskonferenz
      • Tätigkeitsberichte
      • Rechtsgrundlagen
      • Gerichtsurteile
      • Materialien
      • Publikationen
    • Rechtsgrundlagen
    • Themen A-Z
    • Newsletter
    • Podcast
  • Startseite
  • Sicherheit der Verarbeitung nach DSGVO

Sicherheit der Verarbeitung nach der EU Datenschutz-Grundverordnung

© typographyimages / pixabay

Die Regelungen der Europäischen Datenschutz-Grundverordnung zur Sicherheit der Verarbeitung ersetzen die bisherigen technisch-organisatorischen Vorgaben in § 9 BDSG bzw. § 9 LDSG („10 Gebote“). Die wesentlichen Anforderungen finden sich in den Art. 5, Art. 25 und Art. 32 DS-GVO.

Danach muss durch geeignete technische und organisatorische Maßnahmen eine angemessene Sicherheit gewährleistet werden. In der Terminologie nimmt die DSGVO dabei auf  die die Allgemeinen Kriterien für die Bewertung der Sicherheit von Informationstechnologie (Common Criteria) Bezug. Auf hierfür relevante Systematiken (z.B. BSI-Grundschutzkataloge) kann daher auch künftig zurückgegriffen werden.

Von Bedeutung ist künftig ein risikobasierter Ansatz, d.h. die Ausrichtung der erforderlichen Maßnahmen an der Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken. Dabei sind insbesondere folgende Risiken in den Blick zu nehmen:

  • unbeabsichtigte/unrechtmäßige Vernichtung und Veränderung,
  • unbeabsichtigter/unrechtmäßiger Verlust,
  • unbefugte Offenlegung,
  • unbefugter Zugang zu personenbezogenen Daten.

Dies begründet die Notwendigkeit einer stärker als bislang formalisierten Risikoanalyse. 

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art und Zwecke der Verarbeitung sind geeignete technisch-organisatorische Maßnahmen zu treffen, die Folgendes einschließen:

  • Pseudonymisierung und Verschlüsselung personenbezogener Daten,
  • die Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste sicherzustellen,
  • die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen nach einem Zwischenfall rasch wiederherzustellen.

Neu sind die Anforderung, ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Sicherheitsmaßnahmen zu etablieren (Datenschutzmanagement; Art. 32 Abs. 1 Buchst. d) DSGVO), sowie ein Sicherheitskonzept, das die getroffenen Maßnahmen darstellt (vgl. Art 5 Abs. 2 DSGVO).

Für die Risikoanalyse sowie die Datenschutzfolgeabschätzung sollte auf das von der Konferenz der unabhängigen Datenschutzbehörden entwickelte Standard-Datenschutzmodell zurückgegriffen werden.

Weitere Informationen

Präsentation "Sicherheit der Verarbeitung nach der Datenschutzgrundverordnung"

Kurzpapier des LDA Bayern

Kurzpapier der Datenschutzkonferenz zum Risiko für die Rechte und Freiheiten natürlicher Personen

Nach oben

Über den LfDI

  • Kontakt
  • Impressum
  • Datenschutzerklärung
  • Barrierefreiheit

Nützliche Links

  • Datenschutzbehörden
  • Informationsfreiheitsbehörden
  • Virtuelles Datenschutzbüro

Infothek

  • Pressemeldungen/Aktuelles
  • Wer macht was?
  • Infothek

Newsletter