Die Nachweisbarkeit technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO

​veröffentlicht am 31. Juli 2023

Artikel 32 DSGVO verlangt von Verantwortlichen angemessene technische und organisatorische Maßnahmen (kurz: TOM) zu ergreifen, um ein angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten. In der Praxis zeigt sich häufig, dass wichtige technische und organisatorische Maßnahmen zwar durchaus eingerichtet sind, der Verantwortliche jedoch nicht in der Lage ist, diese auch nachweisen zu können, weil die geeignete Dokumentation dazu fehlt, was wiederum empfindliche Bußgelder nach sich ziehen kann. Synergien zu anderen Nachweispflichten, beispielsweise aus den Anforderungen zur Informationssicherheit, sollten identifiziert und genutzt werden.

Artikel 32 der Datenschutzgrundverordnung (DSGVO) verpflichtet den Verantwortlichen dazu, geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein angemessenes Schutzniveau für personenbezogene Daten sicherzustellen. Diese Maßnahmen sind unter Berücksichtigung des aktuellen Standes der Technik, der Implementierungskosten sowie der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung von personenbezogenen Daten einzurichten. Ziel der technischen und organisatorischen Maßnahmen ist es, personenbezogene Daten, die vom Verantwortlichen erhoben und verarbeitet werden, bestmöglich zu schützen.

Wesentlicher Aspekt des Artikel 32 DSGVO ist die Nachweisbarkeit der durch den Verantwortlichen ergriffenen TOMs. Dies bedeutet, dass der Verantwortliche jederzeit in der Lage sein muss, schlüssig und mit geeigneter Dokumentation nachzuweisen, dass er die erforderlichen Schutzmaßnahmen ergriffen hat und diese auch angemessen umgesetzt sind.

Die Nachweisbarkeit dient u.a. zu folgenden Zwecken:

• Transparenz bei Prüfungen der Aufsichtsbehörden: Die jeweils zuständige Aufsichtsbehörde hat das Recht, die Einhaltung der DSGVO zu überprüfen und zu überwachen. Mithilfe der Nachweisbarkeit kann der Verantwortliche der Aufsichtsbehörde nachweisen, dass er die gesetzlichen Anforderungen erfüllt und die notwendigen TOMs umgesetzt hat.
• Rechenschaftspflicht gegenüber betroffenen Personen: Die Nachweisbarkeit ermöglicht es, gegenüber den betroffenen Personen zu belegen, dass ihre Daten angemessen geschützt werden und dass das Unternehmen als Verantwortlicher datenschutzrechtliche Anforderungen wahrnimmt.
• Risikobewertung und Verbesserung: Der Nachweis und die Dokumentation ergriffener TOMs gibt dem Verantwortlichen die Möglichkeit, seine Datenschutzstrategie kontinuierlich zu bewerten und zu verbessern. So können potenzielle Schwachstellen erkannt und entsprechende Maßnahmen ergriffen werden, um diese möglicherweise zu beheben.

In der Praxis zeigt sich häufig, dass technische und organisatorische Maßnahmen meist hinreichend eingerichtet sind, der Verantwortliche jedoch nicht in der Lage ist, diese auch schlüssig zu belegen und damit nachzuweisen, weil die geeignete Dokumentation dazu fehlt. Letztlich bedeutet das Fehlen einer Nachweisbarkeit ein Verstoß gegen Art. 5 Abs. 2 DSGVO, wodurch ein entsprechend empfindliches Bußgeld nicht auszuschließen wäre.

Die Umsetzung und vor allem die schlüssige Dokumentation technischer und organisatorischer Maßnahmen ist demnach für den Verantwortlichen unerlässlich, um den gesetzlichen Anforderungen in diesem Zusammenhang gerecht zu werden und um den Schutz personenbezogener Daten zu gewährleisten.

In der Praxis bestehen häufig Synergien in der Form, dass im Kontext des Informationssicherheitsmanagements Umsetzungsnachweise von Schutzmaßnahmen erstellt und laufend geführt werden (müssen), beispielsweise nach dem BSI-Grundschutz. Darauf kann und sollte unter Effizienzgesichtspunkten, soweit wie möglich, auch für die Nachweisführung nach Art. 32 DSGVO zurückgegriffen werden.

Hier finden Sie mehr Artikel aus der Rubrik „Datenschutzthema des Monats” »