Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Navigation und Service

Stand der Technik

Ziel der DSGVO ist es, die Rechte des Betroffenen bestmöglich zu schützen. Wichtiger Baustein hierfür ist eine datenschutz- und datensicherheitskonforme Technikgestaltung. Die DSGVO fordert hierfür – neben weiteren Vorgaben – u.a. den „Stand der Technik“ zu berücksichtigen.

durch einen Bügel an einem digitalen Schloss fließt ein digitaler Zahlenstrahl
Quelle: ©LuckyStep - stock.adobe.com

Warum 'Stand der Technik'?

Gleich an mehreren Stellen der DSGVO findet sich der Verweis auf den „Stand der Technik“, so etwa im Zusammenhang mit der zentralen Pflicht zur Gewährleistung von Datensicherheit in Art. 32 DSGVO. Verantwortliche und Auftragsverarbeiter im Sinne der DSGVO müssen geeignete technische und organisatorische Maßnahmen treffen, um einen Schutz etwa vor unbefugter Kenntnisnahme, unrechtmäßiger Verarbeitung oder dem unbeabsichtigten Verlust der Daten zu gewährleisten. Der Stand der Technik ist aber auch nach Art. 25 Abs. 1 DSGVO zu berücksichtigen, der sich dem Datenschutz durch Technikgestaltung widmet. Auch in den Erwägungsgründen 78 zu geeigneten technischen und organisatorischen Maßnahmen und 83 zur Sicherheit der Verarbeitung wird Bezug auf den Stand der Technik genommen: Verantwortliche, Auftragsverarbeiter und Hersteller von Produkten, Diensten und Anwendungen sollen das Recht auf Datenschutz und den Stand der Technik gebührend berücksichtigen. Maßnahmen, wie etwa Verschlüsselungsverfahren, sollen unter Berücksichtigung des Stands der Technik und der Implementierungskosten ein Schutzniveau gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden personenbezogenen Daten angemessen ist.

Wie ist 'Stand der Technik' definiert?

Die Anforderungen beim „Stand der Technik" liegen zwischen dem der „allgemein anerkannte Regeln der Technik" und dem „Stand von Wissenschaft und Technik". Gemäß Handbuch der Rechtsförmlichkeit des Bundesjustizministeriums ist der Stand der Technik der "Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen und Betriebsweisen, der nach herrschender Auffassung führender Fachleute das Erreichen des gesetzlich vorgegebenen Zieles gesichert erscheinen lässt. Verfahren, Einrichtungen und Betriebsweisen oder vergleichbare Verfahren, Einrichtungen und Betriebsweisen müssen sich in der Praxis bewährt haben oder sollten – wenn dies noch nicht der Fall ist – möglichst im Betrieb mit Erfolg erprobt worden sein."

Praktische Umsetzung

Bei der Bestimmung des Standes der Technik sind neben einschlägigen internationalen, europäischen und nationalen Normen und Standards u.a. auch ggf. vorliegende Herstellerempfehlungen und aktuelle Einsatzempfehlungen heranzuziehen. Es sind fortschrittliche Verfahren, Einrichtungen und Betriebsweisen, die sich in der Praxis bewährt haben oder die mit Erfolg im Betrieb erprobt wurden, zu berücksichtigen. In erster Linie sind damit bewährte Techniken und Vorgehensweisen, die auf gesicherten Erkenntnissen beruhen, gemeint. Die Verpflichtung umfasst aber auch den Einsatz neuerer bzw. anderer Verfahren, Einrichtungen und Betriebsweisen, wenn mit deren Hilfe ein ebenso effektiver oder darüberhinausgehender Schutz gewährleistet wird.

Europaweit einheitliche Vorgaben

Die nationalen und europäischen Datenschutzaufsichtsbehörden müssen zusammenarbeiten, um zu klären, welche technisch-organisatorische Maßnahmen dem Stand der Technik entsprechen und um einheitliche Vorgaben für Wirtschaft und öffentliche Verwaltung zu gewährleisten. Nur so kann ein einheitliches europäisches Datenschutzniveau für die in der Regel weltweit verfügbaren Produkte, Dienste und Anwendungen sichergestellt werden.