Datensicherheit: die technischen und organisatorischen Maßnahmen
Art. 30 DS-GVO behandelt das Thema der „Sicherheit der Verarbeitung“. Vergleichbar ist diese Vorschrift in etwa mit dem derzeit geltenden § 9 BDSG. Etwas spezifischer als derzeit vorgegeben, umfasst die Verpflichtung, technische und organisatorische Maßnahmen zu treffen, das Erfordernis der Geeignetheit dieser Maßnahmen, welche von den jeweils gegebenen Risiken der Datenverarbeitung und auch der Art der zu schützenden personenbezogenen Daten abhängt (so die Entwürfe der Kommission und des Parlaments).
Der Rat möchte in seinem Entwurf das Prinzip des risikobasierten Ansatzes (welcher im Entwurf des Rates für die DS-GVO ohnehin verstärkt Bedeutung erlangt) festschreiben und verlangt daher, dass technische und organisatorische Maßnahmen zudem unter Berücksichtigung der Zwecke der Datenverarbeitung sowie der Wahrscheinlichkeit und der Höhe des Risikos für die persönlichen Rechte und Freiheiten der Betroffenen umgesetzt werden. Ausdrücklich verweist der Entwurf des Rates zudem beispielhaft auf eine Pseudonymisierung personenbezogener Daten.
Im Entwurf des Parlaments wird zudem ein Maßnahmenkatalog etabliert, der an die Vorgaben der derzeitigen Anlage zu § 9 S. 1 BDSG erinnert (Art. 30 Abs. 1a DS-GVO). Interessant hierbei ist, dass die in Bezug genommene „Sicherheitspolitik“ im Parlamentsentwurf die durch technische und obligatorische Maßnahmen zu etablierenden „Fähigkeiten“ verpflichtend vorzuschreiben scheint. Denn dem Wortlaut nach umfasst die Sicherheitspolitik „folgendes“ und nicht etwa „unter anderem“ oder „beispielsweise“ folgendes. In Art. 30 Abs. 2 DS-GVO stellt das Parlament zudem das durch die Implementierung technischer und organisatorischer Maßnahmen „zumindest“ zu bewirkende Ergebnis dar. So muss mit den Maßnahmen sichergestellt werden, dass nur ermächtigte Personen für rechtlich zulässige Zwecke Zugang zu Person bezogenen Daten erhalten. Zudem muss die Umsetzung eines Sicherheitskonzepts für die Verarbeitung personenbezogene Daten gewährleistet sein.
Der Rat möchte dem für die Verarbeitung Verantwortlichen als auch dem Auftragsverarbeiter zu dem aufgeben, „Schritte zu unternehmen“, um sicherzustellen, dass ihnen unterstellte Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des für die Datenverarbeitung Verantwortlichen verarbeiten (Art. 30 Abs. 2b DS-GVO).
Von der Kommission im Originalentwurf vorgesehene Möglichkeiten zum Erlass delegierter Rechtsakte oder von Durchführungsbestimmungen wurden von Rat und Parlament gestrichen.