Datenschutz

Die neue S√ľderelbebr√ľcke entlastet mit mehrstreifigen Fahrbahnen die A1 bei Hamburg Foto: LAP.de

Hinweise zum Verzeichnis von Verarbeitungstätigkeiten, Art. 30 DS-GVO

Jeder Verantwortliche und jeder Auftragsverarbeiter erstellen und f√ľhren ein Verzeichnis aller Verarbeitungst√§tigkeiten mit personenbezogenen Daten.

Die bisher als Verfahrensverzeichnis, Verfahrensbeschreibung oder Dateibeschreibung bekannten Dokumentationspflichten (§ 4g Abs. 2 Satz 1 Bundesdatenschutzgesetz (BDSG) bzw. jeweiliges Landesdatenschutzgesetz) werden hinfällig.

Das Verzeichnis von Verarbeitungst√§tigkeiten dient als wesentliche Grundlage f√ľr eine strukturierte Datenschutzdokumentation und hilft dem Verantwortlichen dabei, gem√§√ü Art. 5 Abs. 2 Datenschutzgrundverordnung (DS-GVO) nachzuweisen, dass die Vorgaben aus der DS-GVO eingehalten werden (Rechenschaftspflicht). Es stellt somit ein wesentliches Element f√ľr die Etablierung eines umfassenden Datenschutz- und Informationssicherheits- Managementsystems dar.

Den Wortlaut der Art. 30 und 32 der DS-GVO finden Sie zusammen mit einem Abk√ľrzungsverzeichnis am Ende des Dokuments. Die vollst√§ndige Fassung der DS-GVO finden Sie im Internet:
http://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX:32016R0679.

1. Zweck des Verzeichnisses:

Der Zweck ergibt sich aus dem Erwägungsgrund (ErwGr.) 82 zu Art. 30 DS-GVO.

Hiernach sollen der Verantwortliche und der Auftragsverarbeiter ‚Äězum Nachweis der Einhaltung dieser Verordnung‚Äú ein Verzeichnis der Verarbeitungst√§tigkeiten, die seiner Zust√§ndigkeit unterliegen, f√ľhren.

Dieses Verzeichnis betrifft sämtliche ganz oder teilweise automatisierte Verarbeitungen sowie nichtautomatisierte Verarbeitungen personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

F√ľr jede einzelne Verarbeitungst√§tigkeit ist eine Beschreibung nach Ma√ügabe des Art. 30 DS-GVO anzufertigen. Als Verarbeitungst√§tigkeit wird im Allgemeinen ein Gesch√§ftsprozess auf geeignetem Abstraktionsniveau verstanden. Es ist ein strenger Ma√üstab anzulegen, so dass jeder neue Zweck der Verarbeitung eine eigene Verarbeitungst√§tigkeit darstellt. Bei einer nur geringen Zweck√§nderung muss gepr√ľft werden, ob eine bereits bestehende Beschreibung einer Verarbeitungst√§tigkeitangepasst werden muss oder ob eine vollst√§ndig neue Beschreibung anzufertigen ist. Die Summe der Einzelbeitr√§ge ergibt das Verzeichnis von Verarbeitungst√§tigkeiten.

Mit der Erstellung des Verzeichnisses der Verarbeitungst√§tigkeiten sind keinesfalls alle von der DS-GVO geforderten Dokumentationspflichten erf√ľllt. Das Verzeichnis ist nur ein Baustein, um der in Art. 5 Abs. 2 DS-GVO normierten Rechenschaftspflicht zu gen√ľgen. So m√ľssen bspw. auch das Vorhandensein von Einwilligungen (Art. 7 Abs. 1 DS-GVO), die Ordnungsm√§√üigkeit der gesamten Verarbeitung (Art. 24 Abs. 1 DS-GVO) und das Ergebnis von Datenschutz-Folgenabsch√§tzungen (Art. 35 Abs. 7 DS-GVO) durch entsprechende Dokumentationen nachgewiesen werden.

Um Redundanzen zu vermeiden und den Aufwand f√ľr die Erstellung und F√ľhrung des Verzeichnisses zu reduzieren, k√∂nnen in die einzelnen Beschreibungen Verweise auf bestehende Dokumente aufgenommen werden, insbesondere solche, die im Rahmen des Informationssicherheitsmanagements angelegt wurden, ohne dass diese in das Verzeichnis √ľbernommen werden m√ľssen. So wird bspw. ein unternehmens- oder beh√∂rdenweites Informationssicherheitsrahmenkonzept nur einmal erstellt werden. In verfahrensspezifische Konzepte sind dann nur noch zus√§tzliche oder abweichende technische und organisatorische Ma√ünahmen aufzunehmen.

Jeder Verantwortliche und Auftragsverarbeiter ist verpflichtet, mit der Aufsichtsbeh√∂rde zusammenzuarbeiten und dieser auf Anfrage das entsprechende Verzeichnis vorzulegen, damit die einzelnen Verarbeitungsvorg√§nge bzw. ‚Äďverfahren anhand dieser Verzeichnisse kontrolliert werden k√∂nnen. Sofern auf bestehende Konzepte verwiesen wird, sollten diese der Aufsichtsbeh√∂rde ebenfalls auf Anforderung vorgelegt werden.

Die neue Regelung in Art. 30 DS-GVO verpflichtet nicht nur jeden Verantwortlichen im Sinne von Art. 4 Nr. 7 DS-GVO (hierzu z√§hlen sowohl Beh√∂rden als auch z. B. Unternehmen, Freiberufler, Vereine), sondern nun auch die Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DS-GVO, ein Verzeichnis von Verarbeitungst√§tigkeiten, welche sie im Auftrag durchf√ľhren, zu erstellen und zu f√ľhren. Die Regelung des Art. 30 DS-GVO bezieht sich dabei jeweils auch auf den Vertreter im Sinne von Art. 4 Nr. 17 DS-GVO.

Neben der Umsetzung der Verpflichtung nach Art. 30 DS-GVO kann das Verzeichnis als Grundlage zur Erf√ľllung weiterer datenschutzrechtlicher Pflichten verwendet werden. Je nach Art und Gr√∂√üenordnung der Stelle eines Verantwortlichen oder Auftragsverarbeiters wird zu differenzieren sein, in welchem Umfang und in welchem Detaillierungsgrad sich die weiteren Dokumentationspflichten in einem Datenschutz- und Informationssicherheitsmanagementsystem widerspiegeln.

Vor diesem Hintergrund bietet es sich an, das Verzeichnis sinnvollerweise auch folgendermaßen einzusetzen bzw. zu verwenden:

  • F√ľr eine Festlegung der Verarbeitungszwecke nach Art. 5 Abs. 1 lit. b DS-GVO
  • F√ľr Zwecke der Rechenschafts- und Dokumentationspflicht, Art. 5 Abs. 2, Art. 24 DS-GVO
  • als Nachweis der Rechtm√§√üigkeit der Verarbeitung nach Art. 5 Abs. 1 lit. a DS-GVO,
  • als Nachweis der Datenminimierung nach Art. 5 Abs. 1 lit. c DS-GVO,
  • als Nachweis der Richtigkeit und Aktualit√§t der Daten nach Art. 5 Abs. 1 lit. d DS-GVO
  • als geeignete Ma√ünahme zur Erf√ľllung der Betroffenenrechte nach Art. 12 Abs. 1 DS-GVO,
  • zur Schaffung und als Nachweis geeigneter technischer und organisatorischer Ma√ünahmen

nach Art. 24 Abs. 1 und Art. 32 DS-GVO,

  • zur Pr√ľfung, ob eine Datenschutzfolgenabsch√§tzung nach Art. 35 DS-GVO erfolgen muss,
  • als Basis f√ľr die Aufgabenerf√ľllung des Datenschutzbeauftragten nach Art. 39 DS-GVO.

Will der Verantwortliche oder Auftragsverarbeiter sein Verzeichnis f√ľr derartige Zwecke verwenden, ist es sinnvoll und zul√§ssig, hierf√ľr zus√§tzliche Informationen in das Verzeichnis aufzunehmen, z. B. einzelne Datenfelder, Herkunft bzw. Quelle der Daten, Rechtsgrundlage f√ľr die Verarbeitung, verantwortliche Mitarbeiter, zugriffsberechtigte Personen/Personengruppen.

2. Vorlage des Verzeichnisses

Der Aufsichtsbeh√∂rde m√ľssen die Verzeichnisse der Verarbeitungst√§tigkeiten auf Anfrage zur Verf√ľgung gestellt werden (Art. 30 Abs. 4 DS-GVO und ErwGr. 82).

Ziel ist es, dass die Aufsichtsbeh√∂rde die Verarbeitungsvorg√§nge anhand dieser Verzeichnisse kontrollieren kann. Sofern die Aufsichtsbeh√∂rde ihre Untersuchungen auf bestimmte Verarbeitungst√§tigkeiten beschr√§nkt, sind nach Ma√ügabe der Erforderlichkeit und nur die daf√ľr relevanten Abschnitte des Verzeichnisses vorzulegen.

Es entfallen die bisher in ¬ß 4d und ¬ß 4e BDSG geregelten Meldepflichten an die Aufsichtsbeh√∂rde (ErwGr. 89). Gleichfalls entf√§llt die bisherige Regelung im BDSG, welche ein allgemeines √∂ffentliches Verfahrensverzeichnis mit einem Einsichtsrecht f√ľr jedermann sowie eine detaillierte interne Verarbeitungs√ľbersicht beim Datenschutzbeauftragten vorsah.

3. Form des Verzeichnisses

3.1. Sprache

Die Verzeichnisse sind regelm√§√üig in deutscher Sprache zu f√ľhren, ¬ß 23 Abs. 1 und 2 Verwaltungsverfahrensgesetz (VwVfG).
Zumindest muss das Unternehmen in der Lage sein, von der Aufsichtsbeh√∂rde angeforderte Verzeichnisse (Art. 30 Abs. 4 DS-GVO und ErwGr. 82) unverz√ľglich in deutscher Sprache vorzulegen vgl. Working Paper (WP) 243 der Art. 29-Gruppe (Leitlinien zum Datenschutzbeauftragten nach der DS-GVO, WP 243, Ziff. 2.3 zur sprachlichen Erreichbarkeit des Datenschutzbeauftragten).

3.2. schriftlich ‚Äď elektronisch

Die Verzeichnisse sind gem√§√ü Art. 30 Abs. 3 DS-GVO schriftlich zu f√ľhren. Dies kann auch in einem elektronischen Format erfolgen.
Die Aufsichtsbeh√∂rde kann das Format der Vorlage (schriftlich in Papierform oder elektronisch in Textform) eigenst√§ndig festlegen und daher auch bei einem im elektronischen Format gef√ľhrten Verzeichnis den Ausdruck verlangen (¬ß 3a VwVfG). Ma√üstab sind die Verh√§ltnism√§√üigkeit und Erforderlichkeit f√ľr die jeweils verfolgten aufsichtlichen Zwecke (z. B. nur der erforderliche Teil wird ausgedruckt).

4. Aktualisierung des Verzeichnisses ‚Äď √Ąnderungshistorie

Um √Ąnderungen der Eintragungen im Verzeichnis nachvollziehen zu k√∂nnen (z. B. wer war wann Verantwortlicher, Datenschutzbeauftragter etc.), sollte eine Dokumentation der √Ąnderungen mit einer Speicherfrist von einem Jahr erfolgen. Dies l√§sst sich auch aus dem Grundsatz der Rechenschaftspflicht aus Art. 5 Abs. 2 DS-GVO herleiten.

5. Ausnahmen: Stellen mit weniger als 250 Beschäftigten

Kein Verzeichnis von Verarbeitungst√§tigkeiten m√ľssen nach Art. 30 Abs. 5 DS-GVO Verantwortliche und Auftragsverarbeiter mit weniger als 250 Mitarbeitern f√ľhren, es sei denn, der Verantwortliche bzw. Auftragsverarbeiter f√ľhrt Verarbeitungen personenbezogener Daten durch, die ein Risiko f√ľr die Rechte und Freiheiten der betroffenen Personen bergen (z. B. Bonit√§tsscoringverfahren, Betrugspr√§ventionsverfahren) oder besondere Datenkategorien gem√§√ü Art. 9 Abs. 1 DS-GVO (Religionsdaten, Gesundheitsdaten, biometrische Daten zur eindeutigen Identifizierung etc.) oder √ľber strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DS-GVO betreffen oder nicht nur gelegentlich erfolgen (alle sonstigen Verarbeitungen, z. B. Lohnabrechnungen, Kundendatenverwaltung, IT- /Internet-/E-Mail-Protokollierung, Schulnoten).

Die Pflicht zur F√ľhrung eines Verzeichnisses von Verarbeitungst√§tigkeiten besteht also bereits dann, wenn mindestens eine der genannten drei Fallgruppen erf√ľllt ist. Wegen der regelm√§√üig erfolgenden Lohnabrechnungen werden damit kaum Unternehmen von der Pflicht eines solchen Verzeichnisses generell befreit sein; allenfalls Unternehmen, die diese T√§tigkeiten komplett durch einen Steuerberater erledigen lassen, sowie eventuell kleinere Vereine. Zudem liegen bei Lohnabrechnungen oder in der Sch√ľlerverwaltung mit der Angabe der Konfessionszugeh√∂rigkeit zumeist auch gleich besondere Datenkategorien i. S. d. Art. 9 Abs. 1 DS-GVO vor.

Der Begriff ‚Äěnicht nur gelegentlich‚Äú ersetzt das ‚Äěregelm√§√üig‚Äú des BDSG und kann √ľber die Leitlinien zum Datenschutzbeauftragten nach der DS-GVO der Artikel-29-Gruppe (WP 243) interpretiert werden. Nach Ziff. 2.1.4 liegt der Begriff „regelm√§√üig“ vor, wenn mindestens eine der folgenden Eigenschaften erf√ľllt ist: fortlaufend oder in bestimmten Abst√§nden w√§hrend eines bestimmten Zeitraums vorkommend, immer wieder oder wiederholt zu bestimmten Zeitpunkten auftretend, st√§ndig oder regelm√§√üig stattfindend. Verarbeitungen, die ein Risiko f√ľr die Rechte und Freiheiten der Betroffenen bergen.

6. Inhalt des Verzeichnisses ‚Äď Verantwortliche, Art. 30 Abs. 1 DSGVO

Das Verzeichnis muss s√§mtliche der in Art. 30 Abs. 1, S. 2 lit. a bis g DS-GVO abschlie√üend genannten Angaben enthalten. Diese Angaben m√ľssen die Verarbeitungst√§tigkeiten des Verantwortlichen aussagekr√§ftig beschreiben. Es ist zu empfehlen, den Namen der jeweiligen Verarbeitungst√§tigkeit von dem Verarbeitungszweck ausgehend festzulegen (z. B. ‚ÄěPersonalaktenf√ľhrung‚Äú/‚ÄúStammdaten‚Äú, ‚ÄěLohn-, Gehalts- und Bez√ľgeabrechnung‚Äú usw.).

Nutzt der Verantwortliche das Verzeichnis seiner Verarbeitungst√§tigkeiten auch dazu, andere Dokumentationspflichten aus der DS-GVO zu erf√ľllen und seiner Rechenschaftspflicht umfassend zu nachzukommen, sind die bereits im Abschnitt 1 aufgez√§hlten zus√§tzlichen Angaben sinnvoll und empfehlenswert.

6.1. Namen und Kontaktdaten, Art. 30 Abs. 1, S. 2 lit. a DS-GVO

Anzugeben sind Namen und Kontaktdaten o des Verantwortlichen i. S. d. Art. 4 Nr. 7 DS-GVO, o eines ggf. gemeinsam mit ihm Verantwortlichen (Art. 26 DS-GVO), o eines evtl. Vertreters f√ľr in Drittstaaten ans√§ssige Verantwortliche (Art. 4 Nr. 17, Art. 27 DS-GVO) und o eines etwaigen Datenschutzbeauftragten.
Anzugeben sind die postalische, elektronische und telefonische Erreichbarkeit, um zu gew√§hrleisten, dass die Aufsichtsbeh√∂rde den Verantwortlichen auf einfachem Wege (und in Eilf√§llen auch √ľber verschiedene Kan√§le) erreichen kann (s.a. WP 243, Ziff. 2.6). Bei Beh√∂rden und juristischen Personen sind nicht zwingend Daten zu Leitungspersonen gefordert, aus aufsichtsbeh√∂rdlicher Sicht ist die Angabe des operativ verantwortlichen Ansprechpartners w√ľnschenswert. Dementsprechend sollte ein Eintrag unter ‚ÄěAnsprechpartner‚Äú erfolgen.

Hinsichtlich des Begriffs ‚ÄěVertreters‚Äú ist die Begriffsbestimmung des Art. 4 Nr. 17 DS-GVO zu beachten, wonach ‚ÄěVertreter‚Äú nicht nur der inl√§ndische Vertreter ist, sondern dar√ľber hinaus eine in der EU niedergelassene nat√ľrliche oder juristische Person.

Zwecke der Verarbeitung, Art. 30 Abs. 1, S. 2 lit. b DS-GVO Kategorien betroffener Personen und personenbezogener Daten, Art. 30 Abs. 1, S. 2 lit. c DS-GVO

Zu beschreiben sind die Kategorien betroffener Personen und die Kategorien personenbezogener Daten.

Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DS-GVO sollte gesondert beschrieben werden (Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religi√∂se oder weltanschauliche √úberzeugungen oder die Gewerkschaftszugeh√∂rigkeit hervorgehen sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer nat√ľrlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer nat√ľrlichen Person).

Dabei empfiehlt es sich hinsichtlich der einzelnen Kategorien personenbezogener Daten laufende Nummern zu vergeben, die so eine Zuordnung zu den weiteren konkreten Angaben gem. Art. 30 Abs. 1, S. 2 lit. d bis g DS-GVO ermöglichen, z. B. zu konkreten Löschregeln.

Aufgegliedert z. B. in der Darstellung der ‚ÄěKategorie Besch√§ftigte‚Äú in die Daten-Kategorien:

Zu ‚ÄěDrittl√§ndern‚Äú sollte in jedem Fall eine Aussage getroffen werden, also auch angegeben werden, wenn eine √úbermittlung in Drittl√§nder nicht stattfindet und auch nicht geplant ist.

Eine √úbermittlung in Drittl√§nder erfolgt auch, wenn sich dort der Server befindet oder der Mailversand hier√ľber abgewickelt wird. Ebenso kann eine √úbermittlung in Drittl√§nder vorliegen, wenn Supportdienstleistungen aus diesem erbracht werden.

‚ÄěOffenlegung‚Äú bedeutet, dass sowohl die Empf√§nger in der Vergangenheit als auch jene in der Zukunft zu benennen sind.

6.5. √úbermittlungen in Drittl√§nder ‚Äď Art. 30 Abs. 1, S. 2 lit. e DS-GVO

Angaben zu √úbermittlungen von personenbezogenen Daten in ein Drittland oder an eine internationale Organisation, einschlie√ülich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 DS-GVO genannten Daten√ľbermittlungen die Dokumentierung geeigneter Garantien Empf√§nger in Drittl√§ndern und internationale Organisationen sind keine Kategorien und daher konkret zu benennen.

Art. 49 Abs. 6 DS-GVO ist zu beachten, wonach der Verantwortliche die von ihm vorgenommene Beurteilung sowie die angemessenen Garantien im Sinne des Art. 49 Abs. 1 Unterabsatz 2 DSGVO im Verzeichnis der Verarbeitungstätigkeiten aufnimmt.

6.6. Speicherdauer ‚Äď Art. 30 Abs. 1, S. 2 lit. f DS-GVO

Angabe der vorgesehenen Fristen f√ľr die L√∂schung der verschiedenen Datenkategorien, z. B.

  • die geltenden handels- und steuerrechtlichen Aufbewahrungspflichten f√ľr Personaldaten, Kundendaten etc.
  • geltende Aufbewahrungs- und L√∂schfristen f√ľr Sch√ľlerdaten, Pr√ľfungsunterlagen etc.
  • gesetzlich vorgesehene L√∂schungsfristen (z. B. ¬ß 14 Bundesmeldegesetz)
  • vom Verantwortlichen festgelegte √úberpr√ľfungs-/L√∂schungsfristen

Ein allgemeiner Verweis auf Aufbewahrungspflichten gen√ľgt nicht, vielmehr sind pr√§zise Angaben erforderlich. Es wird empfohlen, weitere Bausteine einer umfassenden Dokumentation der Datenschutzstrategie, wie z. B.

  • die Dokumentation interner Verhaltensregeln,
  • die Dokumentation einer Risikoanalyse oder allgemeinen Datensicherheitsbeschreibung,
  • ein umfassendes Datensicherheits- oder Wiederanlaufkonzept,
  • ein Zertifikat oder
  • Ergebnisse einer Datenschutz-Folgenabsch√§tzung am Ende der Dokumentation der Verarbeitungst√§tigkeit unter ‚ÄěSonstiges‚Äú als Referenz anzugeben.

Auf Nachfrage k√∂nnen diese Referenzdokumente zus√§tzlich zum Verzeichnis der Aufsichtsbeh√∂rde vorgelegt werden; es ist sinnvoll, zumindest die f√ľr das Verst√§ndnis und die Bewertung des Verarbeitungsverzeichnisses essenziellen zus√§tzlichen Dokumente bereits im ersten Schritt freiwillig mitzuliefern. Insofern stellen die zus√§tzlich aufgef√ľhrten Dokumentationen keine Anlagen zum Verzeichnis dar, sondern weitere, dar√ľber hinausgehende Bausteine einer umfassenden Dokumentation der organisationsinternen Datenschutzstrategie, auf welche verwiesen werden und die neben dem Verzeichnis vorgehalten werden k√∂nnen.

Sie dienen zusammen mit dem Verzeichnis der Umsetzung der aus Art. 5 Abs. 2 DS-GVO resultierenden Rechenschaftspflicht. Wird innerhalb des Verzeichnisses auf andere Dokumente, wie z. B. ein anderes Verarbeitungsverzeichnis Bezug genommen, so ist dies an dieser Stelle als Referenzdokument aufzuf√ľhren.

Es wird empfohlen, eine solche Dokumentation an zentraler Stelle zu pflegen.

6.7. Technische und organisatorische Maßnahmen

Art. 30 Abs. 1, S. 2 lit. g DS-GVO

Trotz der Formulierung ‚Äěwenn m√∂glich‚Äú stellt die allgemeine Beschreibung der technischen und organisatorischen Ma√ünahmen gem√§√ü Art. 32 Abs. 1 DS-GVO hier den Regelfall dar.

Art. 5 Abs. 2 DS-GVO verpflichtet den Verantwortlichen insbesondere auch zur Dokumentation der technischen und organisatorischen Ma√ünahmen (Art. 5 Abs. 1 lit. f DS-GVO). Zudem muss der Verantwortliche die Wirksamkeit dieser Ma√ünahmen regelm√§√üig √ľberpr√ľfen (Art. 32 Abs. 1 lit. D DS-GVO). Beide Forderungen kann der Verantwortliche nur erf√ľllen, wenn die technischen und organisatorischen Ma√ünahmen vollst√§ndig beschrieben sind (etwa in einem Sicherheitskonzept).

Eine Verarbeitung darf erst erfolgen, wenn der Verantwortliche seiner Pflicht nach Art. 24 DS-GVO nachgekommen ist. Darunter fallen neben den Verpflichtungen nach Art. 12 und 25 DS-GVO auch diejenigen nach Art. 32 DSGVO zur Bestimmung und Umsetzung geeigneter technischer und organisatorischer Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Das betrifft prim√§r Fragen der Sicherheit der Verarbeitung, schlie√üt somit aber auch Ma√ünahmen zur Gew√§hrleistung von Betroffenenrechten ein. In das Verzeichnis ist eine allgemeine, einfach nachvollziehbare Beschreibung der f√ľr diesen Zweck getroffenen Ma√ünahmen aufzunehmen.

Die Beschreibung der jeweiligen Maßnahme ist konkret auf die Kategorie betroffener Personen bzw. personenbezogener Daten im Sinne des Art. 30 Abs. 1, S. 2 lit. c DS-GVO zu beziehen, soweit eine entsprechende Differenzierung in ihrer Anwendung erfolgt.

F√ľr die Bestimmung der zu treffenden Ma√ünahmen wird auf das Standard-Datenschutzmodell, die Leitlinien und Orientierungshilfen der Konferenz der unabh√§ngigen Datenschutzbeh√∂rden des Bundes und der L√§nder und der Artikel-29-Arbeitsgruppe sowie auf die bestehenden nationalen und internationalen Standards (z. B. BSI-Grundschutz, ISO-Standards) verwiesen. Ist bei der Verarbeitung ein hohes Risiko f√ľr die Rechte und Freiheiten der Betroffenen zu erwarten, hat die Bestimmung der Ma√ünahmen bereits im Rahmen einer Datenschutz-Folgenabsch√§tzung gem√§√ü Art.

35 DS-GVO zu erfolgen.

Eine Verletzung der Sicherheit der Datenverarbeitung ist immer eine Verletzung des Schutzes personenbezogener Daten i. S. v. Art. 4 Nr. 12 DS-GVO.

Nach Art. 32 Abs. 1 DS-GVO sind unter Ber√ľcksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umst√§nde und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und Schwere der mit ihr verbundenen Risiken geeignete technische und organisatorische Ma√ünahmen zu treffen, um insbesondere Folgendes sicherzustellen:

6.8. Maßnahmenbereiche, die sich aus Art. 32 Abs. 1 DS-GVO ergeben:

  • Pseudonymisierung personenbezogener Daten
  • Verschl√ľsselung personenbezogener Daten
  • Gew√§hrleistung der Integrit√§t und Vertraulichkeit der Systeme und Dienste
  • Gew√§hrleistung der Verf√ľgbarkeit und Belastbarkeit der Systeme und Dienste
  • Wiederherstellung der Verf√ľgbarkeit personenbezogener Daten und des Zugangs zu ihnen nach einem physischen oder technischen Zwischenfall
  • Verfahren zur regelm√§√üigen √úberpr√ľfung, Bewertung und Evaluierung der Wirksamkeit der vorgenannten Ma√ünahmen

Nachfolgend werden den einzelnen Bereichen typische, bewährte technische und organisatorische Maßnahmen zugeordnet. Die Auflistung ist nicht vollständig oder abschließend. In Abhängigkeit von den konkreten Verarbeitungstätigkeiten können weitere oder andere Maßnahmen geeignet und angemessen sein. Auch ist die Zuordnung einzelner Maßnahmen zu einem bestimmten Maßnahmenbereich nicht in jedem Fall eindeutig.

  • Ma√ünahmen zur Pseudonymisierung personenbezogener Daten
    Hierzu zählen u. a.:
    – Festlegung der durch Pseudonymisierung zu ersetzenden identifizierenden Daten
    – Definition der Pseudonymisierungsregel, ggf. ankn√ľpfend an Personal-, Kunden- oder Patienten-Kennziffern
    – Autorisierung: Festlegung der Personen, die zur Verwaltung der Pseudonymisierungsverfahren, zur Durchf√ľhrung der Pseudonymisierung und ggf. der Depseudonymisierung berechtigt sind
    – Festlegung der zul√§ssigen Anl√§sse f√ľr Pseudonymisierungs- und Depseudonymisierungsvorg√§nge
    Рzufällige Erzeugung der Zuordnungstabellen oder der in eine algorithmische Pseudonymisierung eingehenden geheimen Parameter
    – Schutz der Zuordnungstabellen bzw. geheimen Parameter sowohl gegen unautorisierten Zugriff als auch gegen unautorisierte Nutzung
    – Trennung der zu pseudonymisierenden Daten in die zu ersetzenden identifizierenden und die weiteren Angaben
  • Ma√ünahmen zur Verschl√ľsselung personenbezogener Daten (z. B. in station√§ren und mobilen Speicher-/Verarbeitungsmedien, beim elektronischen Transport) Schl√ľssel k√∂nnen fl√ľchtig (z. B. f√ľr die Dauer eines Kommunikationsvorgangs) oder statisch (mittel- oder langfristig) f√ľr den Schutz personenbezogener Daten eingesetzt werden.
    Es sind Festlegungen zu treffen (z. B. im Rahmen eines Krypto Konzepts) u. a. zur Auswahl geeigneter kryptografischer Verfahren und Produkte, zur Organisation ihres Einsatzes, zu Ma√ünahmen bei der Entdeckung von Schw√§chen in Verschl√ľsselungsverfahren oder -Produkten (Um- oder √úberverschl√ľsselung) sowie zu Schl√ľssell√§ngen. Voraussetzung f√ľr effektive Verschl√ľsselung ist ein ad√§quates Schl√ľsselmanagement, das u. a. folgende Aspekte betrifft:
    – zuf√§llige Erzeugung der Schl√ľssel
    – Autorisierung von Personen zur Verwaltung und zur Nutzung von Schl√ľsseln bzw. ihre
    Zuweisung zu Geräten, in denen sie eingesetzt werden
    – zuverl√§ssige Schl√ľsselverteilung, Verkn√ľpfung von Schl√ľsseln mit Identit√§ten von nat√ľrlichen Personen oder informationstechnischen Ger√§ten, ggf. Einbringen in speziell gesicherte Speichermedien (z. B. Chipkarten)
    – Schutz der Schl√ľssel vor nicht autorisiertem Zugriff oder Nutzung
    – regelm√§√üiger oder situationsbezogener Schl√ľsselwechsel, ggf. eine Schl√ľsselarchivierung, stets sorgf√§ltige Schl√ľssell√∂schung nach Ablauf des Lebenszyklusses
    – Verwaltung des Lebenszyklus der Schl√ľssel von Erzeugung und Verteilung √ľber Nutzung bis zu ihrer Archivierung und L√∂schung
  • Ma√ünahmen zur Gew√§hrleistung der Integrit√§t und Vertraulichkeit der Systeme und Dienste
    Die folgenden Ma√ünahmen sollen eine spezifikationsgerechte Verarbeitung sichern und nicht autorisierte bzw. unberechtigte Verarbeitung sowie unbeabsichtigte √Ąnderung, Verlust oder
    Schädigung personenbezogener Daten ausschließen; beim Verantwortlichen selbst oder auf dem Transportweg zu Auftragsverarbeitern oder Dritten.
    Hierzu zählen u. a.:
    – Formulierung von verbindlichen Sicherheitsleitlinien
    – Definition der Verantwortlichkeiten f√ľr das Informationssicherheitsmanagement
    – Inventarisierung der zu verarbeitenden personenbezogenen Daten
    – Inventarisierung der Informationstechnik
    – Erarbeitung eines Sicherheitskonzepts, ggf. unter Durchf√ľhrung einer Risikoanalyse
    – Personalsicherheit: √úberpr√ľfung und Verpflichtung des Personals, Sensibilisierung und Training, Aufgabentrennung
    – Spezifikation der Sicherheitsanforderungen an Informationssysteme und deren Konfiguration, Pr√ľfung ihrer Einhaltung
    РSchutz vor unberechtigtem physischem Zugang, einschließlich Schutz von Mobilgeräten
    – Erarbeitung eines Rollen- und Rechtekonzepts
    – Ma√ünahmen zur Autorisierung von Personen f√ľr den Zugriff auf personenbezogene Daten und die Steuerung der Verarbeitung
    – Zugriffskontrolle und sicherer Umgang mit Speichermedien, einschlie√ülich der Ma√ünahmen zur zuverl√§ssigen Authentisierung von Personen gegen√ľber der Informationstechnik, zur Sicherung der Revisionsf√§higkeit der Eingabe und der √Ąnderung von personenbezogenen Daten sowie ggf. der Nutzung und des Zugriffs auf diese und zur Revision
    dieser Prozesse
    РMaßnahmen der Betriebssicherheit, insbesondere zur Spezifikation der Bedienabläufe,
    zur √Ąnderungssteuerung, zum Schutz vor Malware, zum Umgang mit technischen Schwachstellen, zur kontrollierten Installation und Konfiguration neuer Software, sowie zur Ereignis√ľberwachung und -protokollierung, einschlie√ülich der regelm√§√üigen und anlassbezogenen Auswertung dieser Protokolle
    – Ma√ünahmen, die (berechtigte oder unberechtigte) Ver√§nderung gespeicherter oder √ľbertragener Daten nachtr√§glich feststellbar machen (z. B. Signaturverfahren, Hashverfahren)
    РMaßnahmen zur Kommunikationssicherheit: Netzwerksicherheitsmanagement, insbesondere zur Kontrolle und Einschränkung des Datenverkehrs (Firewalls, Application Layer Gateways), Einrichtung von Sicherheitszonen, Authentisierung von Geräten gegeneinander
    – sichere Gestaltung von Informations√ľbertragungen, einschlie√ülich des Abschlusses von Vereinbarungen mit regelm√§√üigen √úbermittlern und Empf√§ngern personenbezogener Daten und der Authentisierung der Kommunikationspartner
    – Sicherung und √úberpr√ľfung der Authentizit√§t der √ľbermittelten Daten
    – sichere Einbeziehung von externen Diensten
    РManagement von Informationssicherheitsvorfällen
    РAufrechterhaltung der Informationssicherheit bei ungeplanten Systemzuständen
    – Durchf√ľhrung von internen oder externen Sicherheitsaudits
    – logische oder physikalische Trennung der Datenverarbeitung z. B. nach verantwortlichen Stellen, den verfolgten Verarbeitungszwecken und nach Gruppen betroffener Personen
    – sicheres, r√ľckstandsfreies L√∂schen von Daten bzw. Vernichten von Datentr√§gern nach
  • Ablauf der Aufbewahrungsfristen, Festlegungen zu L√∂schverfahren und zur Beauftragung von Dienstleistern Ma√ünahmen zur Gew√§hrleistung der Verf√ľgbarkeit und Belastbarkeit der Systeme und Dienste Die folgenden Ma√ünahmen sollen sicherstellen, dass personenbezogene Daten dauernd und uneingeschr√§nkt verf√ľgbar und insbesondere vorhanden sind, wenn sie gebraucht werden.
    Hierzu zählen u. a.:
    РAnfertigung von Sicherheitskopien von Daten, Prozesszuständen, Konfigurationen, Datenstrukturen, Transaktionshistorien u. ä. gemäß eines getesteten Konzepts
    – Schutz vor √§u√üeren Einfl√ľssen (Schadsoftware, Sabotage z. B. DDOS, h√∂here Gewalt)
    – Dokumentation von Syntax und Semantik der gespeicherten Daten
    – Redundanz von Hard- und Software sowie Infrastruktur
    – Umsetzung von Reparaturstrategien und Ausweichprozessen
    – Vertretungsregelungen f√ľr abwesende Mitarbeiter
  • Ma√ünahmen, um nach einem physischen oder technischen Zwischenfall (Notfall) die Verf√ľgbarkeit personenbezogener Daten und den Zugang zu ihnen rasch wiederherzustellen
    Eine besondere Auspr√§gung der Gew√§hrleistung von Verf√ľgbarkeit ist hinsichtlich m√∂glicher Notf√§lle (siehe dazu auch BSI Standard 100-4) erforderlich. Hierzu sind u. a. folgende Ma√ünahmen erforderlich:
    – Erstellung und Umsetzung eines Notfallkonzepts
    – Erarbeitung eines Notfallhandbuches
    РIntegration des Notfallmanagements in Geschäftsprozesse
    – Durchf√ľhrung von Notfall√ľbungen
    – Erprobung von Wiederanlaufszenarien
  • Verfahren zur regelm√§√üigen √úberpr√ľfung, Bewertung und Evaluierung der Wirksamkeit der vorgenannten Ma√ünahmen
    Hierzu zählen u. a.:
    Рregelmäßige Revision des Sicherheitskonzepts
    – Information √ľber neu auftretende Schwachstellen und andere Risikofaktoren, ggf. √úberarbeitung der Risikoanalyse und -bewertung
    – Pr√ľfungen des Datenschutzbeauftragten und der IT-Revision auf Einhaltung der festgelegten Prozesse und Vorgaben zur Konfiguration und Bedienung der IT-Systeme
    – externe Pr√ľfungen, Audits, Zertifizierungen

6.9. Weitere Maßnahmenbereiche, die sich aus der DS-GVO ergeben und deren Darstellung im Verzeichnis empfohlen wird:

Die Formulierung in Art. 32 Abs. 1 DS-GVO ‚Äědiese Ma√ünahmen schlie√üen unter anderem Folgendes ein‚Äú verdeutlicht, dass die dort vorgenommene Aufz√§hlung nicht abschlie√üend ist. Die Sicherheit der Verarbeitung ist u. a. auch Voraussetzung daf√ľr, dass Daten nur f√ľr den Zweck verarbeitet und ausgewertet werden k√∂nnen, f√ľr den sie erhoben werden (Zweckbindung), dass Betroffene, Verantwortliche und Kontrollinstanzen u. a. erkennen k√∂nnen, welche Daten f√ľr welchen Zweck in einem Verfahren erhoben und verarbeitet werden, welche Systeme und Prozesse daf√ľr genutzt werden (Transparenz) und dass den Betroffenen die ihnen zustehenden Rechte auf Benachrichtigung, Auskunft, Berichtigung, Sperrung und L√∂schung jederzeit wirksam gew√§hrt werden (Intervenierbarkeit). Entsprechend sind auch die Ma√ünahmenbereiche zu ber√ľcksichtigen, die vorrangig der Minimierung der Eingriffsintensit√§t in die Grundrechte Betroffener dienen.

  • Ma√ünahmen zur Gew√§hrleistung der Zweckbindung personenbezogener Daten (Nichtverkettung) ‚Äď Art. 5 Abs. 1 lit. b) DS-GVO:
    РEinschränkung von Verarbeitungs-, Nutzungs- und Übermittlungsrechten
    Рprogrammtechnische Unterlassung bzw. Schließung von Schnittstellen in Verfahren und Verfahrenskomponenten
    Рregelnde Maßgaben zum Verbot von Backdoors sowie qualitätssichernde Revisionen zur Compliance bei der Softwareentwicklung
    – Trennung nach Organisations-/Abteilungsgrenzen
    РTrennung mittels Rollenkonzepten mit abgestuften Zugriffsrechten auf der Basis eines Identitätsmanagements durch die verantwortliche Stelle und eines sicheren Authentisierungsverfahrens
    РZulassung von nutzerkontrolliertem Identitätsmanagement durch die verarbeitende Stelle
    – Einsatz von zweckspezifischen Pseudonymen, Anonymisierungsdiensten, anonymen Credentials, Verarbeitung pseudonymer bzw. anonymisierter Daten
    Рgeregelte Zweckänderungsverfahren
  • Ma√ünahmen zur Gew√§hrleistung der Transparenz f√ľr Betroffene, Verantwortliche und Kontrollinstanzen ‚Äď Art. 5 Abs. 1 lit. a) DS-GVO:
    – Dokumentation von Verfahren insbesondere mit den Bestandteilen Gesch√§ftsprozesse, Datenbest√§nde, Datenfl√ľsse, daf√ľr genutzte IT-Systeme, Betriebsabl√§ufe, Verfahrensbeschreibungen, Zusammenspiel mit anderen Verfahren
    РDokumentation von Tests, der Freigabe und ggf. der Vorabkontrolle von neuen oder geänderten Verfahren
    – Dokumentation der Vertr√§ge mit den internen Mitarbeitern, Vertr√§ge mit externen Dienstleistern und Dritten, von denen Daten erhoben bzw. an die Daten √ľbermittelt werden, Gesch√§ftsverteilungspl√§ne, Zust√§ndigkeitsregelungen
    – Dokumentation von Einwilligungen und Widerspr√ľchen
    – Protokollierung von Zugriffen und √Ąnderungen
    РNachweis der Quellen von Daten (Authentizität)
    – Versionierung
    – Dokumentation der Verarbeitungsprozesse mittels Protokollen auf der Basis eines Protokollierungs- und Auswertungskonzepts
    – Ber√ľcksichtigung der Auskunftsrechte von Betroffenen im Protokollierungs- und Auswertungskonzept
  • Ma√ünahmen zur Gew√§hrleistung der Betroffenenrechte ‚Äď Art. 13 ff. DS-GVO (Intervenierbarkeit):
    – differenzierte Einwilligungs-, R√ľcknahme- sowie Widerspruchsm√∂glichkeiten
    – Schaffung notwendiger Datenfelder z. B. f√ľr Sperrkennzeichen, Benachrichtigungen, Einwilligungen, Widerspr√ľche, Gegendarstellungen
    – dokumentierte Bearbeitung von St√∂rungen, Problembearbeitungen und √Ąnderungen am Verfahren sowie an den Schutzma√ünahmen der IT-Sicherheit und des Datenschutzes
    – Deaktivierungsm√∂glichkeit einzelner Funktionalit√§ten ohne Mitleidenschaft f√ľr das Gesamtsystem
    – Implementierung standardisierter Abfrage- und Dialogschnittstellen f√ľr Betroffene zur Geltendmachung und/oder Durchsetzung von Anspr√ľchen
    РNachverfolgbarkeit der Aktivitäten der verantwortlichen Stelle zur Gewährung der Betroffenenrechte
    – Einrichtung eines Single Point of Contact (SPoC) f√ľr Betroffene
    Рoperative Möglichkeit zur Zusammenstellung, konsistenten Berichtigung, Sperrung und Löschung aller zu einer Person gespeicherten Daten

7. Inhalt des Verzeichnisses ‚Äď Auftragsverarbeiter, Art. 30 Abs. 2

DS-GVO

Jeder Auftragsverarbeiter und ggf. sein Vertreter im Sinne von Art. 4 Nr. 17 DS-GVO f√ľhren ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgef√ľhrten T√§tigkeiten der Verarbeitungen. Das Verzeichnis enth√§lt s√§mtliche der in Art. 30 Abs. 2 lit a bis d DS-GVO enumerativ genannten Angaben und bildet so ein Auftragskataster mit Angabe der Auftraggeber und der Subunternehmer.

Dabei muss ein Subunternehmer nur seine direkten Auftraggeber nennen und nicht die dahinter stehende weitere Kette bis zu den Verantwortlichen zur√ľck.

Hinsichtlich der Erl√§uterungen und Begriffsbestimmungen wird auf die Ausf√ľhrungen zu Kapitel 1 bis 6 verwiesen.

7.1. Namen und Kontaktdaten ‚Äď Art. 30 Abs. 2 lit. a DS-GVO

Namen und Kontaktdaten

– des Auftragsverarbeiters, ggf. mehrerer im Sinne von Art. 4 Nr. 8 DS-GVO
– ggf. Namen und Kontaktdaten eines Vertreters des Auftragsverarbeiters im Sinne von

Art. 4 Nr. 17 DS-GVO i.V.m. Art. 27 DS-GVO

o jedes Verantwortlichen i.S.v. Art. 4 Nr. 7 DS-GVO, in dessen Auftrag der Auftragsverarbeiter tätig ist oder ggf. Namen und Kontaktdaten eines Vertreters des Verantwortlichen im Sinne von Art.

4 Nr. 17 i.V.m. Art. 27 DS-GVO

Beschreibung der Verarbeitungen ‚Äď Art. 30 Abs. 2 lit. b DS-GVO

Beschreibung der Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgef√ľhrt werden.

√úbermittlungen in Drittl√§nder ‚Äď Art. 30 Abs. 2 lit. c DS-GVO

Angaben zu √úbermittlungen von personenbezogenen Daten in ein Drittland oder an eine internationale Organisation, einschlie√ülich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Abs. 1 Unterabsatz 2 DS-GVO genannten Daten√ľbermittlungen die Dokumentierung geeigneter Garantien

Darstellung wie bei Art. 30 Abs. 1 lit. e DS-GVO mit Angabe der konkreten Datenempfänger im Drittland

7.4. Technisch-organisatorische Ma√ünahmen ‚Äď

Art. 30 Abs. 2 lit. d) DS-GVO

Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32

Abs. 1 DS-GVO

Hinsichtlich der Erl√§uterungen und Begriffsbestimmungen wird auf die Ausf√ľhrungen zu Art. 30

Abs. 1, S. 2 lit. g DS-GVO verwiesen, s. Ziff.6.7 bis 6.9.

8. Rechtsfolgen bei Versto√ü ‚Äď Art. 83 Abs. 4 lit. a DS-GVO

Verstöße durch
– fehlende oder nicht vollst√§ndige F√ľhrung eines Verzeichnisses aller Verarbeitungst√§tigkeiten
oder
– Nichtvorlegen des Verzeichnisses nach Aufforderung durch die Aufsichtsbeh√∂rde werden mit Geldbu√üen von bis zu 10.000.000 ‚ā¨ oder im Fall eines Unternehmens von bis zu 2% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Gesch√§ftsjahrs verh√§ngt, je nachdem, welcher der Betr√§ge h√∂her ist.

9. Rechtsgrundlagen

Artikel 30 ‚Äď Verzeichnis von Verarbeitungst√§tigkeiten

(1) Jeder Verantwortliche und gegebenenfalls sein Vertreter f√ľhren ein Verzeichnis aller Verarbeitungst√§tigkeiten, die ihrer Zust√§ndigkeit unterliegen.
Dieses Verzeichnis enthält sämtliche folgenden Angaben:

a) den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;

b) die Zwecke der Verarbeitung;

c) eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;

d) die Kategorien von Empf√§ngern, gegen√ľber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschlie√ülich Empf√§nger in Drittl√§ndern oder internationalen Organisationen;

e) gegebenenfalls √úbermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschlie√ülich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Daten√ľbermittlungen die Dokumentierung geeigneter Garantien:

f) wenn m√∂glich, die vorgesehenen Fristen f√ľr die L√∂schung der verschiedenen Datenkategorien;

g) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

(2) Jeder Auftragsverarbeiter und gegebenenfalls sein Vertreter f√ľhren ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgef√ľhrten T√§tigkeiten der Verarbeitung, die Folgendes enth√§lt:

a) den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten;

b) die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgef√ľhrt werden;

c) gegebenenfalls √úbermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschlie√ülich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Daten√ľbermittlungen die Dokumentierung geeigneter Garantien;

d) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

(3) Das in den Abs√§tzen 1 und 2 genannte Verzeichnis ist schriftlich zu f√ľhren, was auch in einem elektronischen Format erfolgen kann.

(4) Der Verantwortliche oder der Auftragsverarbeiter sowie gegebenenfalls der Vertreter des Verantwortlichen oder des Auftragsverarbeiters stellen der Aufsichtsbeh√∂rde das Verzeichnis auf Anfrage zur Verf√ľgung.

(5) Die in den Abs√§tzen 1 und 2 genannten Pflichten gelten nicht f√ľr Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter besch√§ftigen, sofern die von ihnen vorgenommene Verarbeitung nicht ein Risiko f√ľr die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt oder nicht die Verarbeitung besonderer Datenkategorien gem√§√ü Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten √ľber strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 einschlie√üt.

Artikel 32 ‚Äď Sicherheit der Verarbeitung

(1) Unter Ber√ľcksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umst√§nde und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos f√ľr die Rechte und Freiheiten nat√ľrlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Ma√ünahmen, um ein dem Risiko angemessenes Schutzniveau zu gew√§hrleisten; diese Ma√ünahmen schlie√üen unter anderem Folgendes ein:

a) die Pseudonymisierung und Verschl√ľsselung personenbezogener Daten;

b) die F√§higkeit, die Vertraulichkeit, Integrit√§t, Verf√ľgbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer
sicherzustellen;

c) die F√§higkeit, die Verf√ľgbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;

d) ein Verfahren zur regelm√§√üigen √úberpr√ľfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Ma√ünahmen zur Gew√§hrleistung der Sicherheit der Verarbeitung.

(2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu ber√ľcksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch ‚ÄĒ ob unbeabsichtigt oder unrechtm√§√üig ‚ÄĒ Vernichtung, Verlust, Ver√§nderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die √ľbermittelt, gespeichert oder auf andere Weise verarbeitet wurden.

(3) Die Einhaltung genehmigter Verhaltensregeln gem√§√ü Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gem√§√ü Artikel 42 kann als Faktor herangezogen werden, um die Erf√ľllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.

(4) Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte nat√ľrliche Personen, die Zugang zu
personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.

10. Abk√ľrzungsverzeichnis:

DS-GVO Datenschutz-Grundverordnung und VwVfG Verwaltungsverfahrensgesetz ErwGr. Erw√§gungsgrund (Erl√§uterungen f√ľr die Auslegung der DS-GVO) WP Working Paper (Arbeitsunterlagen, Leitlinien zur Klarstellung der einschl√§gigen Bestimmungen der DS-GVO sowie Orientierungshilfe bei deren Auslegung) Auftragsverarbeiter ersetzt den bisherigen Begriff des Auftragnehmers Definition in Art. 4 Nr. 8 DS-GVO