Art.32 – EU-DSGVO – Sicherheit der Verarbeitung

> Art.32 - EU-DSGVO - Sicherheit der Verarbeitung

Art.32 - DSGVO - Sicherheit der Verarbeitung

<<ZURÜCK   Übersicht   VOR >>

 Stand: 25.01.2012 Stand: 12.03.2014 Stand: 21.10.2013

Stand: 27.04.2016

(ehem. Art. 30)

Benachrichtigung der betroffenen Person von einer Verletzung des Schutzes ihrer personenbezogenen Daten

Benachrichtigung der betroffenen Person von einer Verletzung des Schutzes ihrer personenbezogenen Daten

Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person

Sicherheit der Verarbeitung

1. Der für die Verarbeitung Verantwortliche benachrichtigt im Anschluss an die Meldung nach Artikel 31 die betroffene Person ohne unangemessene Verzögerung von der Verletzung des Schutzes personenbezogener Daten, wenn die Wahrscheinlichkeit besteht, dass der Schutz der personenbezogenen Daten oder der Privatsphäre der betroffenen Person durch eine festgestellte Verletzung des Schutzes personenbezogener Daten beeinträchtigt wird.

1. Der für die Verarbeitung Verantwortliche benachrichtigt im Anschluss an die Meldung nach Artikel 31 die betroffene Person unverzüglich von der Verletzung des Schutzes personenbezogener Daten, wenn die Wahrscheinlichkeit besteht, dass der Schutz der personenbezogenen Daten, die Privatsphäre, die Rechte oder die berechtigten Interessen der betroffenen Person durch eine festgestellte Verletzung des Schutzes personenbezogener Daten beeinträchtigt wird.

1. Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge, wie etwa Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, Rufschädigung, unbefugte Umkehr der Pseudonymisierung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile, so benachrichtigt der für die Verarbeitung Verantwortliche die betroffene Person ohne ungebührliche Verzögerung von der Verletzung.

1. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:

     

a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;

b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;

c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;

d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung

2. Die in Absatz 1 genannte Benachrichtigung der betroffenen Person umfasst mindestens die in Artikel 31 Absatz 3 Buchstaben b und c genannten Informationen und Empfehlungen.

2. Die in Absatz 1 genannte Benachrichtigung der betroffenen Person ist umfassend, klar und für jedermann verständlich. Sie beschreibt die Art der Verletzung des Schutzes der personenbezogenen Daten und umfasst mindestens die in Artikel 31 Absatz 3 Buchstaben b, c und d genannten Informationen und Empfehlungen sowie Informationen über die Rechte betroffener Personen einschließlich der Rechtsbehelfe.

2. Die in Absatz 1 genannte Benachrichtigung der betroffenen Person beschreibt die Art der Verletzung des Schutzes personenbezogener Daten und enthält mindestens die in Artikel 31 Absatz 3 Buchstaben b, e und f genannten Informationen und Empfehlungen.

2. Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch — ob unbeabsichtigt oder unrechtmäßig — Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.

3. Die Benachrichtigung der betroffenen Person über die Verletzung des Schutzes  personenbezogener Daten ist nichterforderlich, wenn der für die Verarbeitung Verantwortliche zur Zufriedenheit der Aufsichtsbehörde nachweist, dass er geeignete technische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden. Durch diese technischen  Sicherheitsvorkehrungen sind die betreffenden Daten für alle Personen zu verschlüsseln, die nicht zum Zugriff auf die Daten befugt sind.

3. Die Benachrichtigung der betroffenen Person über die Verletzung des Schutzes personenbezogener Daten ist nicht erforderlich, wenn der für die Verarbeitung Verantwortliche zur Zufriedenheit der Aufsichtsbehörde nachweist, dass er geeignete technische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden. Durch diese technischen Sicherheitsvorkehrungen sind die betreffenden Daten für alle Personen zu verschlüsseln, die nicht zum Zugriff auf die Daten befugt sind.

3. Die Benachrichtigung der betroffenen Person gemäß Absatz 1 ist nicht erforderlich, wenn

3. Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.

 

 

a) der für die Verarbeitung Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die betreffenden Daten für alle Personen, die nicht zum Zugriff auf die Daten befugt sind, unverständlich gemacht werden, etwa durch Verschlüsselung, oder

a) (entfällt)

 

 

b) der für die Verarbeitung Verantwortliche durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 aller Wahrscheinlichkeit nach nicht mehr besteht, oder

b) (entfällt)

 

 

c) dies insbesondere angesichts der Zahl der betroffenen Fälle mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesen Fällen hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden, oder

c) (entfällt)

 

 

d) sie ein wichtiges öffentliches Interesse beeinträchtigen würde.

d) (entfällt)

4. Unbeschadet der dem für die Verarbeitung Verantwortlichen obliegenden Pflicht, der betroffenen Person die Verletzung des Schutzes personenbezogener Daten mitzuteilen, kann die Aufsichtsbehörde, falls der für die Verarbeitung Verantwortliche die betroffene Person noch nicht in Kenntnis gesetzt hat, nach Prüfung der zu erwartenden negativen Auswirkungen der Verletzung den für die Verarbeitung  Verantwortlichen auffordern, dies zu tun.

4. Unbeschadet der dem für die  Verarbeitung Verantwortlichen obliegenden Pflicht, der betroffenen Person die Verletzung des Schutzes personenbezogener Daten mitzuteilen, kann die Aufsichtsbehörde, falls der für die Verarbeitung Verantwortliche die betroffene Person noch nicht in Kenntnis gesetzt hat, nach Prüfung der zu erwartenden negativen Auswirkungen der Verletzung den für die Verarbeitung Verantwortlichen auffordern, dies zu tun.

4. (entfällt)

4. Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.

5. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um die Kriterien und Anforderungen in Bezug auf die Umstände festzulegen, unter denen sich eine Verletzung des Schutzes personenbezogener Daten negativ auf die in Absatz 1 genannten personenbezogenen Daten auswirken kann.

5. Der Europäische Datenschutzausschuss wird beauftragt, Leitlinien, Empfehlungen und bewährte Praktiken nach Maßgabe von Artikel 66 Absatz 1 Buchstabe b in Bezug auf die Kriterien und Anforderungen in Bezug auf die Umstände zu veröffentlichen, unter denen sich eine Verletzung des Schutzes personenbezogener Daten negativ auf die in Absatz 1 genannten personenbezogenen Daten, die Privatsphäre, die Rechte oder die berechtigten Interessen der betroffenen Person auswirken kann.

5. (entfällt)

5. (entfällt)

6. Die Kommission kann das Format  für die in Absatz 1 genannte Mitteilung an die betroffene Person und die für die Mitteilung geltenden Verfahrensvorschriften festlegen. Diese Durchführungsrechtsakte werden in Übereinstimmung mit dem Prüfverfahren gemäß Artikel 87 Absatz 2 erlassen.

   6. (entfällt) 6. (entfällt)

<<ZURÜCK   Übersicht   VOR >>

Erwägungsgrund: 83

Änderungsanträge: Website des Europäischen Parlaments
Bewertungen der Änderungsanträge: LobbyPlag

Arikel 32 der EU-DSGVO beschreibt vergleichsweise sehr ausführlich die Kriterien der technischen und organisatorischen Maßnahmen, um ein angemessenes Schutzniveau zu erzielen. Die Grundlegenden Begriffe der Vertraulichkeit, Integrität und Verfügbarkeit finden sich auch in der Verordnung wieder. Eine Neuerung wird druch den Begriff der Belastbarkeit eingeführt. Demnach müssen Verantwortliche der Datenverarbeitung die Belastbarkeit ihrer Dienste und Systeme gewährleisten. Um das Schutzniveau genau zu definieren muss zunächst der Schutzbedarf der personenbezogenen Daten festgelegt werden. Dies ist der erste Schritt um geeignete technische und organisatorische Maßnahmen zu treffen. Auch müssen Maßnahmen unter Berücksichtigung des Risikos ausgewählt werden wobei die Risiken sich auf den Datenschutz der betroffenen Personen bezieht und den Fokus der Risikobewertung darstellt.

 

Durch die EU-DSGVO bekommt die IT-Sicherheit eine höhere Gewichtung für Verantwortliche des Datenschutzes. Es bleibt abzuwarten, welche Kriterien festgelegt werden, um geeignete Maßnahmen treffen zu können.

 

 

Informative Handreichung des LDA Bayern zur Sicherheit der Verarbeitung

 

 

(Visited 2.129 times, 10 visits today)

Kommentar

Art.32 - DSGVO - Sicherheit der Verarbeitung

<<ZURÜCK   Übersicht   VOR >>

 Stand: 25.01.2012 Stand: 12.03.2014 Stand: 21.10.2013

Stand: 27.04.2016

(ehem. Art. 30)

Benachrichtigung der betroffenen Person von einer Verletzung des Schutzes ihrer personenbezogenen Daten

Benachrichtigung der betroffenen Person von einer Verletzung des Schutzes ihrer personenbezogenen Daten

Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person

Sicherheit der Verarbeitung

1. Der für die Verarbeitung Verantwortliche benachrichtigt im Anschluss an die Meldung nach Artikel 31 die betroffene Person ohne unangemessene Verzögerung von der Verletzung des Schutzes personenbezogener Daten, wenn die Wahrscheinlichkeit besteht, dass der Schutz der personenbezogenen Daten oder der Privatsphäre der betroffenen Person durch eine festgestellte Verletzung des Schutzes personenbezogener Daten beeinträchtigt wird.

1. Der für die Verarbeitung Verantwortliche benachrichtigt im Anschluss an die Meldung nach Artikel 31 die betroffene Person unverzüglich von der Verletzung des Schutzes personenbezogener Daten, wenn die Wahrscheinlichkeit besteht, dass der Schutz der personenbezogenen Daten, die Privatsphäre, die Rechte oder die berechtigten Interessen der betroffenen Person durch eine festgestellte Verletzung des Schutzes personenbezogener Daten beeinträchtigt wird.

1. Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge, wie etwa Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, Rufschädigung, unbefugte Umkehr der Pseudonymisierung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile, so benachrichtigt der für die Verarbeitung Verantwortliche die betroffene Person ohne ungebührliche Verzögerung von der Verletzung.

1. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:

     

a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;

b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;

c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;

d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung

2. Die in Absatz 1 genannte Benachrichtigung der betroffenen Person umfasst mindestens die in Artikel 31 Absatz 3 Buchstaben b und c genannten Informationen und Empfehlungen.

2. Die in Absatz 1 genannte Benachrichtigung der betroffenen Person ist umfassend, klar und für jedermann verständlich. Sie beschreibt die Art der Verletzung des Schutzes der personenbezogenen Daten und umfasst mindestens die in Artikel 31 Absatz 3 Buchstaben b, c und d genannten Informationen und Empfehlungen sowie Informationen über die Rechte betroffener Personen einschließlich der Rechtsbehelfe.

2. Die in Absatz 1 genannte Benachrichtigung der betroffenen Person beschreibt die Art der Verletzung des Schutzes personenbezogener Daten und enthält mindestens die in Artikel 31 Absatz 3 Buchstaben b, e und f genannten Informationen und Empfehlungen.

2. Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch — ob unbeabsichtigt oder unrechtmäßig — Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.

3. Die Benachrichtigung der betroffenen Person über die Verletzung des Schutzes  personenbezogener Daten ist nichterforderlich, wenn der für die Verarbeitung Verantwortliche zur Zufriedenheit der Aufsichtsbehörde nachweist, dass er geeignete technische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden. Durch diese technischen  Sicherheitsvorkehrungen sind die betreffenden Daten für alle Personen zu verschlüsseln, die nicht zum Zugriff auf die Daten befugt sind.

3. Die Benachrichtigung der betroffenen Person über die Verletzung des Schutzes personenbezogener Daten ist nicht erforderlich, wenn der für die Verarbeitung Verantwortliche zur Zufriedenheit der Aufsichtsbehörde nachweist, dass er geeignete technische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden. Durch diese technischen Sicherheitsvorkehrungen sind die betreffenden Daten für alle Personen zu verschlüsseln, die nicht zum Zugriff auf die Daten befugt sind.

3. Die Benachrichtigung der betroffenen Person gemäß Absatz 1 ist nicht erforderlich, wenn

3. Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.

 

 

a) der für die Verarbeitung Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die betreffenden Daten für alle Personen, die nicht zum Zugriff auf die Daten befugt sind, unverständlich gemacht werden, etwa durch Verschlüsselung, oder

a) (entfällt)

 

 

b) der für die Verarbeitung Verantwortliche durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 aller Wahrscheinlichkeit nach nicht mehr besteht, oder

b) (entfällt)

 

 

c) dies insbesondere angesichts der Zahl der betroffenen Fälle mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesen Fällen hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden, oder

c) (entfällt)

 

 

d) sie ein wichtiges öffentliches Interesse beeinträchtigen würde.

d) (entfällt)

4. Unbeschadet der dem für die Verarbeitung Verantwortlichen obliegenden Pflicht, der betroffenen Person die Verletzung des Schutzes personenbezogener Daten mitzuteilen, kann die Aufsichtsbehörde, falls der für die Verarbeitung Verantwortliche die betroffene Person noch nicht in Kenntnis gesetzt hat, nach Prüfung der zu erwartenden negativen Auswirkungen der Verletzung den für die Verarbeitung  Verantwortlichen auffordern, dies zu tun.

4. Unbeschadet der dem für die  Verarbeitung Verantwortlichen obliegenden Pflicht, der betroffenen Person die Verletzung des Schutzes personenbezogener Daten mitzuteilen, kann die Aufsichtsbehörde, falls der für die Verarbeitung Verantwortliche die betroffene Person noch nicht in Kenntnis gesetzt hat, nach Prüfung der zu erwartenden negativen Auswirkungen der Verletzung den für die Verarbeitung Verantwortlichen auffordern, dies zu tun.

4. (entfällt)

4. Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.

5. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um die Kriterien und Anforderungen in Bezug auf die Umstände festzulegen, unter denen sich eine Verletzung des Schutzes personenbezogener Daten negativ auf die in Absatz 1 genannten personenbezogenen Daten auswirken kann.

5. Der Europäische Datenschutzausschuss wird beauftragt, Leitlinien, Empfehlungen und bewährte Praktiken nach Maßgabe von Artikel 66 Absatz 1 Buchstabe b in Bezug auf die Kriterien und Anforderungen in Bezug auf die Umstände zu veröffentlichen, unter denen sich eine Verletzung des Schutzes personenbezogener Daten negativ auf die in Absatz 1 genannten personenbezogenen Daten, die Privatsphäre, die Rechte oder die berechtigten Interessen der betroffenen Person auswirken kann.

5. (entfällt)

5. (entfällt)

6. Die Kommission kann das Format  für die in Absatz 1 genannte Mitteilung an die betroffene Person und die für die Mitteilung geltenden Verfahrensvorschriften festlegen. Diese Durchführungsrechtsakte werden in Übereinstimmung mit dem Prüfverfahren gemäß Artikel 87 Absatz 2 erlassen.

   6. (entfällt) 6. (entfällt)

<<ZURÜCK   Übersicht   VOR >>

Erwägungsgrund: 83

Änderungsanträge: Website des Europäischen Parlaments
Bewertungen der Änderungsanträge: LobbyPlag

Arikel 32 der EU-DSGVO beschreibt vergleichsweise sehr ausführlich die Kriterien der technischen und organisatorischen Maßnahmen, um ein angemessenes Schutzniveau zu erzielen. Die Grundlegenden Begriffe der Vertraulichkeit, Integrität und Verfügbarkeit finden sich auch in der Verordnung wieder. Eine Neuerung wird druch den Begriff der Belastbarkeit eingeführt. Demnach müssen Verantwortliche der Datenverarbeitung die Belastbarkeit ihrer Dienste und Systeme gewährleisten. Um das Schutzniveau genau zu definieren muss zunächst der Schutzbedarf der personenbezogenen Daten festgelegt werden. Dies ist der erste Schritt um geeignete technische und organisatorische Maßnahmen zu treffen. Auch müssen Maßnahmen unter Berücksichtigung des Risikos ausgewählt werden wobei die Risiken sich auf den Datenschutz der betroffenen Personen bezieht und den Fokus der Risikobewertung darstellt.

 

Durch die EU-DSGVO bekommt die IT-Sicherheit eine höhere Gewichtung für Verantwortliche des Datenschutzes. Es bleibt abzuwarten, welche Kriterien festgelegt werden, um geeignete Maßnahmen treffen zu können.

 

 

Informative Handreichung des LDA Bayern zur Sicherheit der Verarbeitung

 

 

(Visited 2.129 times, 10 visits today)

Anmerkungen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.