Lade Inhalt...

EU-DSGVO: Neue Aufgaben für die Verwaltung. Leitfaden für Kapitel 4 Abschnitt 2 und 3

Projektarbeit 2017 22 Seiten

Organisation und Verwaltung - Sonstiges

Leseprobe

Inhaltsverzeichnis

Einleitung

Artikel 32 – Sicherheit der Verarbeitung
I. Erklärung der Rechtsnorm
II. Empfehlungen zur Umsetzung

Artikel 33 – Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde
I. Erklärung der Rechtsnorm
II. Empfehlungen zur Umsetzung

Artikel 34 – Benachrichtigung der von einer Verletzung des Schutzes personen­bezogener Daten betroffenen Person
I. Erklärung der Rechtsnorm
II. Empfehlungen zur Umsetzung

Artikel 35 – Datenschutz-Folgenabschätzung
I. Erklärung der Rechtsnorm
II. Was ist eine Datenschutz-Folgenabschätzung?
III. Empfehlungen zur Umsetzung

Artikel 36 – Vorherige Konsultation
I. Erklärung der Rechtsnorm
II. Empfehlungen zur Umsetzung
III. Übersicht der Pflichten für den Verantwortlichen aus §§ 32-36 EU- DSGVO

Einleitung

Die EU-Datenschutzgrundverordnung, stellt die Verwaltungen der Kommunen vor neue Herausforderungen. Durch die EU-DSGVO, werden die Rechte, der von der Datenverarbeitung Betroffener, deutlich erweitert. So gibt es beispielsweise umfangreichere Auskunftspflichten, welche von der kommunalen Seite aus eingehalten werden müssen.

Auch bei der Aufstellung neuer Schutzmaßnahmen und Analysen zur Prävention, gelten strengere Regeln. Insgesamt werden die Regelungen bezüglich des Datenschutzes und der Datenverarbeitung verschärft, dies wird zudem deutlich, durch die höhere Stellung der Aufsicht.

Abbildung in dieser Leseprobe nicht enthalten

Lizenz: CC0 Public Domain

Statt den Aufsichtsbehörden, sind nun die Datenschutzbeauftragten für die Einhaltung der Regelungen durch die EU-DSGVO verantwortlich. Diese Datenschutzbeauftragte besitzen mehr Befugnisse, was allgemein zum Wesen der EU-DSGVO passt. Die EU-DSGVO soll den Schutz der personenbezogenen Daten besser schützen und um dies zu gewährleisten, wurden neue und strengere Regelungen getroffen, was auch den Bereich der Sanktionierungen betrifft.

Dieses Werk soll einen Überblick zu Kapitel 4 Abschnitt 2 und 3 geben. Der zweite Abschnitt, von Kapitel 4 der EU-DSGVO, regelt die Sicherheit personenbezogener Daten. Durch den dritten Abschnitt, von Kapitel 4 der EU-DSGVO, werden die Vorgaben, zur Datenschutz-Folgenabschätzung und zur vorherigen Konsultation, festgelegt.

Artikel 32 – Sicherheit der Verarbeitung

(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:

a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

(2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch — ob unbeabsichtigt oder unrechtmäßig — Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.

(3) Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.

(4) Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.

I. Erklärung der Rechtsnorm

Aus dem Artikel 32 EU DSGVO folgt, dass die Sicherheit der Verarbeitung von personenbezogenen Daten gewährleistet sein muss. Hier gilt grundsätzlich, dass der aktuelle Stand der Technik beachtet werden muss, da sich die Arten der Datenverarbeitung, aber auch die Kriminalität in diesem Bereich rasanten Veränderungen unterliegt. Neben der Suche nach geeigneten technischen Mitteln, soll auch im finanziellen Aspekt auf die Angemessenheit und Geeignetheit geachtet werden. Hier werden Maßnahmen in einer nicht abschließenden Aufzählung vorgestellt:

a) Die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
b) Die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen[1]
d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Zu berücksichtigen sind auch die Risiken, welche bei der Verarbeitung personenbezogener Daten auftreten können. Hier kann es vorkommen, dass jemand unbeabsichtigt oder unberechtigt Daten löscht, manipuliert oder unbefugt weitergibt.

Als Nachweis, dass die Erfüllung dieser Anforderungen gewährleistet ist, verweist der Artikel 32 (3) EU DSGVO auf die Möglichkeiten, die Artikel 40 und Artikel 42 EU DSGVO heranzuziehen. Der Artikel 40 EU DSGVO behandelt die Einhaltung genehmigter Verhaltensregeln und Artikel 42 das genehmigte Zertifizierungsverfahren.

Der Verantwortliche und der Auftragsverarbeiter der personenbezogenen Daten, müssen sicherstellen, dass nur befugte Personen Zugang zu den jeweiligen Daten haben und diese nur auf Anweisung des Verantwortlichen verarbeitet werden, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.

II. Empfehlungen zur Umsetzung

Maßnahmen zur Sicherung des Schutzes von personenbezogenen Daten könnten in der Praxis beispielsweise so umgesetzt werden:

Abbildung in dieser Leseprobe nicht enthalten

Quelle: Eigene Darstellung, Lizenzen der Bilder allesamt: CC0 Public Domain

Beachtet werden muss hierbei, dass der Auftragsverarbeiter und der für die Verarbeitung Verantwortliche hier Adressaten sind. Somit besteht die Notwendigkeit, ggf. nachzuweisen, dass man sich gemeinsam hierzu abgestimmt hat. Dieser Nachweis kann durch z. B. ein Protokoll über einen alle zwei Jahre stattfindenden Sicherheitsreview geführt werden.

[...]


[1] Der tatsächliche Dimension von „rasch“ richtet sich jeweils nach den technischen Möglichkeiten. Es kann aber so verstanden werden, dass kein schuldhaftes Verzögern vorliegen darf. Es handelt sich hierbei um einen unbestimmten Rechtsbegriff.

Details

Seiten
22
Jahr
2017
ISBN (eBook)
9783668447530
ISBN (Buch)
9783668447547
Dateigröße
1.3 MB
Sprache
Deutsch
Katalognummer
v366448
Institution / Hochschule
Hochschule für öffentliche Verwaltung und Finanzen Ludwigsburg; ehem. Fachhochschule Ludwigsburg
Note
1,3
Schlagworte
eu-dsgvo neue aufgaben verwaltung leitfaden kapitel abschnitt

Autor

Zurück

Titel: EU-DSGVO: Neue Aufgaben für die Verwaltung. Leitfaden für Kapitel 4 Abschnitt 2 und 3