Art. 32 DSGVO verpflichtet den Verantwortlichen und den Verarbeiter, geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein angemessenes Maß an Datensicherheit zu gewährleisten. Weiterhin sieht Art. 28 DSGVO ausdrücklich vor, dass die Verantwortlichen die Dienste nur von Verarbeitern in Anspruch nehmen dürfen, die “ausreichende Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen” bieten. Art. 32 DSGVO enthält eine nichterschöpfende Liste solcher Maßnahmen:
- die Pseudonymisierung und Verschlüsselung
- die Fähigkeit, die ständige Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit von Verarbeitungssystemen und -diensten zu gewährleisten
- die Fähigkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Vorfalls rechtzeitig wiederherzustellen
- ein Verfahren zur regelmäßigen Prüfung, Bewertung und Abwägung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung
Das angemessene Sicherheitsniveau sollte unter Berücksichtigung der Risiken der Verarbeitung, insbesondere durch versehentliche oder unrechtmäßige Zerstörung, Verlust, Änderung, unbefugte Offenlegung oder Zugriff auf personenbezogene Daten, die übertragen, gespeichert oder anderweitig verarbeitet werden, bewertet werden. Diese Maßnahmen müssen während aller Verarbeitungsvorgänge durchgeführt werden.
Die genehmigten Verhaltenskodizes (Art. 40 DSGVO) oder genehmigten Zertifizierungsmechanismen (Art. 42 DSGVO) können als Elemente verwendet werden, um die Einhaltung der Verpflichtung zur Durchführung geeigneter technischer und organisatorischer Maßnahmen nachzuweisen. Die Implementierung dieser Instrumente ist nicht zwingend erforderlich, stellt aber einen gewissen Nutzen für die Verantwortlichen und Verarbeiter dar (siehe Art. 40 und Art. 42 DSGVO).