GSB 7.1 Standardlösung

Navigation und Service

Stand der Technik

Ziel der DSGVO ist es, die Rechte des Betroffenen bestmöglich zu schützen. Wichtiger Baustein hierfür ist eine datenschutz- und datensicherheitskonforme Technikgestaltung. Die DSGVO fordert hierfür – neben weiteren Vorgaben – u.a. den „Stand der Technik“ zu berücksichtigen.

digitaler Schlossbügel hält digitalen Zahlenstrahl zusammen auf grauem Hintergrund
Quelle: Adobe Stock

Wie ist 'Stand der Technik' definiert?

Gleich an mehreren Stellen der DSGVO findet sich der Verweis auf den „Stand der Technik“, so etwa im Zusammenhang mit der zentralen Pflicht zur Gewährleistung von Datensicherheit in Artikel 32 DSGVO. Verantwortliche und Auftragsverarbeiter im Sinne der DSGVO müssen geeignete technische und organisatorische Maßnahmen treffen, um einen Schutz etwa vor unbefugter Kenntnisnahme, unrechtmäßiger Verarbeitung oder dem unbeabsichtigten Verlust der Daten zu gewährleisten. Der Stand der Technik ist aber auch nach Art. 25 Absatz 1 DSGVO zu berücksichtigen, der sich dem Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen widmet. Auch in den Erwägungsgründen 78 und 83 wird Bezug auf den Stand der Technik genommen: Die Hersteller von Produkten, Diensten und Anwendungen sollen ermutigt werden, das Recht auf Datenschutz und den Stand der Technik gebührend zu berücksichtigen. Maßnahmen, wie etwa Verschlüsselungsverfahren, sollen unter Berücksichtigung des Stands der Technik und der Implementierungskosten ein Schutzniveau gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden personenbezogenen Daten angemessen ist.

Praktische Umsetzung

Bei der Bestimmung des Standes der Technik sind insbesondere einschlägige internationale, europäische und nationale Normen und Standards heranzuziehen, aber auch vergleichbare Verfahren, Einrichtungen und Betriebsweisen, die mit Erfolg in der Praxis erprobt wurden. Gemeint sind bewährte Techniken und Vorgehensweisen, die auf gesicherten Erkenntnissen beruhen und ausreichend zur Verfügung stehen, um angemessen umgesetzt zu werden. Die Verpflichtung schließt also die Möglichkeit eines neuen bzw. anderen Vorgehens nicht aus, wenn hierbei ein ebenso effektiver Schutz gewährleistet wird.

Europaweit einheitliche Vorgaben

Die nationalen und europäischen Datenschutzaufsichtsbehörden müssen zusammenarbeiten, um zu klären, welche technisch-organisatorische Maßnahmen dem Stand der Technik entsprechen und um einheitliche Vorgaben für Wirtschaft und öffentliche Verwaltung zu gewährleisten. Nur so kann ein einheitliches europäisches Datenschutzniveau für die in der Regel weltweit verfügbaren Produkte, Dienste und Anwendungen sichergestellt werden.