Zunächst lassen sich die von der DSGVO verlangten technischen und organisatorische Massnahmen zur Sicherheit der Verarbeitung personenbezogener Daten (TOMs) wie folgt beschreiben: 

• Technische Massnahmen: Technische Massnahmen beziehen sich einerseits auf Massnahmen, die direkt mit der Sicherheit von Hardware- oder Softwarekomponenten zu tun haben, mit welchen personenbezogene Daten verarbeitet werden. Es geht dabei insbesondere um die Gewährleistung eines stabilen Betriebs sowie die Absicherung eines IT-Systems gegen Angriffe von aussen oder auch innen. Beispiele dafür sind etwa die Pseudonymisierung oder Verschlüsselung der verarbeiteten personenbezogenen Daten, Firewalls und Virenschutzprogramme, die Protokollierung von Ereignissen (Logging) etc. Andererseits zählen auch Massnahmen betreffend die äussere Sicherheit der Datenverarbeitungsanlagen dazu, also etwa ein Alarmsystem zur Absicherung des Gebäudes oder Schlösser an Fenstern und Türen etc.
   
• Organisatorische Massnahmen: Organisatorische Massnahmen umfassen alle nicht-technischen Massnahmen zur Datensicherheit. Sie betreffen insbesondere die Prozesse und Personen, welche die Datenverarbeitungen durchführen. Als Beispiele können etwa der Einsatz von Berechtigungskonzepten, Vier-Augen-Prinzip, Vertraulichkeitsverpflichtungen oder speziellen Schulungen der datenverarbeitenden Mitarbeitenden genannt werden. Darüber hinaus zählen aber auch spezielle vertragliche Regelungen oder organisatorische Massnahmen im weiteren Sinn dazu, wie etwa die Wahl des Serverstandorts.

Eine klare Abgrenzung zwischen technischen und organisatorischen Massnahmen ist jedoch nicht immer möglich, da eine gewählte Massnahme, wie zum Beispiel ein Berechtigungskonzept, sowohl technische als auch organisatorische Aspekte umfassen kann.

Hinweis: Eine sehr gute Beschreibung von verschiedenen TOMs mit vielen Beispielen in Bezug auf die Umsetzung der Grundprinzipien der DSGVO findet sich in den Guidelines 4/2019 des Europäischen Datenschutzausschuss zu Data Protection by Design and by Default.

Der Einsatz von TOMs soll gemäss Art. 32 Abs. 1 DSGVO insbesondere folgende Gewährleistungsziele in Bezug auf die Sicherheit einer Datenverarbeitung erreichen:

• Vertraulichkeit der Daten: Nur dazu Befugte können die personenbezogenen Daten verarbeiten. Dies wird z.B. mit einem Berechtigungskonzept oder einem Zutrittssystem gewährleistet.
• Integrität der Daten und Anwendungen: Die Daten und Anwendungen werden vor unbefugter, unrechtmässiger oder unbeabsichtigter Veränderung geschützt. Dies geschieht z.B. über eine Eingabekontrolle oder durch andere Massnahmen, die eine Veränderung erkennen lassen.
• Verfügbarkeit der Systeme und Anwendungen: Die datenverarbeitenden Systeme und Anwendungen sollen jederzeit betriebsbereit und ihrem Zweck gemäss funktionsfähig sein. Dies kann z.B. mittels Backup-Systemen, Virenschutzprogrammen oder auch Brandschutzmassnahmen erreicht werden.
• Belastbarkeit der Systeme und Anwendungen: Die datenverarbeitenden Systeme und Anwendungen werden gegen massive interne und externe Störungen geschützt und widerstandsfähig gemacht. Von zentraler Bedeutung ist dafür z.B. ein professionelles Betriebskontinuitätsmanagement einschliesslich einer IT-Notfallplanung.

Der Verantwortliche oder Auftragsverarbeiter muss gemäss Art. 32 Abs. 1 DSGVO mit TOMs sicherstellen, dass er die Fähigkeit besitzt, die genannten Gewährleistungsziele in Bezug auf die eingesetzten IT-Systeme und Anwendungen auf Dauer sicherzustellen. Ausserdem muss er die Verfügbarkeit der Daten und Systeme bei einem Zwischenfall wie zum Beispiel einem Hackerangriff rasch wiederherstellen können. Und schliesslich hat er ein Verfahren zur regelmässigen Überprüfung, Bewertung und Evaluierung der TOMs auf ihre Wirksamkeit einzusetzen.¹

1Als Nachweis für den Einsatz geeigneter TOMs kann gemäss Art. 32 Abs. 3 DSGVO auch die Einhaltung genehmigter Verhaltensregeln oder eines genehmigten Zertifizierungsverfahrens dienen.

Art. 32 Abs. 1 DSGVO beschreibt die Pflicht von Verantwortlichem und Auftragsverarbeiter wie folgt: «Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Massnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.» Es werden darin mehrere Kriterien genannt, anhand denen die Auswahl und Beurteilung geeigneter TOMs zu erfolgen hat.
 

 1. Angemessenes Schutzniveau

Art. 32 DSGVO verlangt keine absolute Sicherheit, sondern die Sicherstellung eines dem Risiko angemessenen Schutzniveaus für die Datenverarbeitungen durch Verantwortliche und Auftragsverarbeiter. Er fordert damit einen risikobasierten Einsatz von TOMs zur Vermeidung oder Eindämmung möglicher negativer Konsequenzen für die Betroffenen. Konkret bedeutet dies, dass für jede Verarbeitung eine Risikoanalyse vorzunehmen ist und, je nach Schwere und Eintrittswahrscheinlichkeit des Schadens für die Betroffenen, geeignete TOMs zur Vermeidung oder Eindämmung dieses Risikos zu wählen sind.
 

2. Datenverarbeitung und Risiko

Das Risiko für die Rechte und Freiheiten natürlicher Personen bemisst sich zunächst nach der Art der verarbeiteten Daten. Insbesondere die Verarbeitung von gemäss DSGVO besonders schutzwürdigen Daten, wie zum Beispiel von Gesundheitsdaten oder von Daten über strafrechtliche Verurteilungen (Art. 9 und 10 DSGVO), oder auch die Verarbeitung von Daten von Kindern kann mit einem besonders hohen Risiko behaftet sein. Darüber hinaus wird das Risiko von den Eigenschaften der konkreten Verarbeitung bestimmt, wie etwa der Menge der verarbeiteten Daten, dem möglichen Verlust oder der potentiellen Vernichtung, Veränderung oder unbefugten Offenlegung der Daten, der Speicherdauer der Daten, des Zwecks der Verarbeitung etc. Und schliesslich haben auch die Schwere eines möglichen Schadens für die Betroffenen sowie die Eintrittswahrscheinlichkeit desselben einen entscheidenden Einfluss auf die Beurteilung des Risikos. So kann dieser Schaden von einem blossen persönlichen Ärgernis bis hin zu finanziellen Nachteilen, Diskriminierung, Rufschädigung, Identitätsdiebstahl etc. reichen. Und dieser Schaden kann mit einer hohen Wahrscheinlichkeit eintreten oder eben nur mit einer sehr geringen.
 

3. Stand der Technik

Die Auswahl geeigneter TOMs zur Gewährleistung der Sicherheit einer Verarbeitung muss aber nicht nur dem Risiko angemessen sein und die Art, den Umfang, die Umstände und die Zwecke der Datenverarbeitung berücksichtigen, sondern muss auch dem Stand der Technik / Entwicklung (State-of-the-art) entsprechen. So geht es nicht zwingend darum, die allerneusten technologischen Entwicklungen einzusetzen, sondern es sollen verfügbare, branchenübliche, bewährte, dem Stand der Technik entsprechende Instrumente eingesetzt werden. Dies bedingt aber natürlich auch, dass solche Massnahmen nach einer gewissen Zeit wieder überprüft werden müssen, ob sie noch dem Stand der Technik entsprechen. Hilfestellung bei der Beurteilung desselben bieten Standards und Normen wie ISO/IEC, DIN oder die IT-Grundschutz-Bausteine des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI) etc. Ebenso gilt es auch bei den organisatorischen Massnahmen solche einzusetzen, die jeweils dem Stand der Entwicklung entsprechen und branchenübliche, bewährte, wirksame Lösungen darstellen.

Weitere Informationen zum Stand der Technik finden Sie hier.
 

4. Wirtschaftliche Erwägungen

Weiter dürfen in die Auswahl, Beschaffung und Einsetzung von TOMs auch wirtschaftliche Überlegungen miteinfliessen. Die in der DSGVO explizit genannten Implementierungskosten umfassen etwa die Kosten für die Umsetzung, aber auch für die Anschaffung, Installation, Betrieb oder Wartung einer Massnahme oder für das dazu erforderliche Personal. Verantwortliche und Auftragsverarbeiter dürfen daher auch eine Wirtschaftlichkeitsanalyse der zu implementierenden TOMs vornehmen. Es müssen nicht zwingend die teuersten TOMs umgesetzt oder installiert werden, sondern diejenigen, die im Verhältnis zum Risiko in einem angemessenen Verhältnis stehen. Dabei gilt: je grösser das Risiko, welches mit der Datenverarbeitung verursacht wird, desto höhere Implementierungskosten müssen in Kauf genommen werden.