Читать книгу DS-GVO/BDSG - David Klein - Страница 255

74

Der Grundsatz der Integrität und Vertraulichkeit ist die technisch organisatorische Ausprägung des Datenschutzrechts. Danach müssen personenbezogenen Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet. Bereits Art. 17 Abs. 1 DSRL und § 9 BDSG a.F. verpflichtete Verantwortliche und Auftragsverarbeiter dazu, angemessene technische und organisatorische Maßnahme vorzunehmen, die den Betroffenen vor unrechtmäßigen Verarbeitung seiner Daten schützen. Diese Vorgaben zum Systemdatenschutz übernimmt Art. 5 Abs. 1 lit. f und erklärt sie zu einem allgemeinen Grundsatz jeder Datenverarbeitung, um deren Bedeutung zu stärken.[86]

75

Zum einen sollen Integrität und Vertraulichkeit den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung gewährleisten. Eine unrechtmäßige Verarbeitung liegt vor, wenn hierfür keine Rechtsgrundlage vorliegt. Eine unbefugte Verarbeitung ist gegeben, wenn ein Dritter im Sinne von Art. 4 Nr. 10 ohne Befugnis eine Datenverarbeitung vornimmt. Deshalb ist durch technisch organisatorische Maßnahmen der unbefugte Zugang zu personenbezogenen Daten zu verhindern.[87]

76

Daneben soll ein unbeabsichtigter Verlust, eine unbeabsichtigte Zerstörung oder eine unbeabsichtigte Schädigung verhindert werden. Ein unbeabsichtigter Verlust, eine unbeabsichtigte Zerstörung oder unbeabsichtigte Schädigung von Daten liegt vor, wenn in der Sphäre des Verantwortlichen durch mit der Datenverarbeitung betrauten Personen Daten verlustig gehen, zerstört oder beschädigt werden. Das ist insbesondere dann der Fall, wenn Daten abhanden kommen oder derart geändert werden, dass sie nicht mehr oder nur noch eingeschränkt für den vorgesehenen Zweck verarbeitet werden können.

77

Welche Maßnahmen zum Schutz der Daten ergriffen werden müssen, hängt insbesondere von dem Risiko eines unberechtigten Zugriffs, der Art der Verarbeitung[88] sowie der Bedeutung der Daten für die Rechte und Interessen der betroffenen Personen ab.[89] So werden bspw. persönliche Finanz- oder Gesundheitsdaten eines höheren Schutzes bedürfen, als der Name oder das Alter einer Person. Nach ErwG 39 gehört zu den Schutzmaßnahmen zumindest, dass personenbezogene Daten so verarbeitet werden, dass ihre Sicherheit und Vertraulichkeit hinreichend gewährleistet ist, wozu auch gehört, dass Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können.

78

Vergleichbare Anforderungen wie Art. 5 Abs. 1 lit. f stellte auch § 9 BDSG a.F. auf. Die Anlage zu § 9 BDSG a.F. listet technische und organisatorische Maßnahmen auf, die auch zur Erfüllung der Anforderungen des Art. 5 Abs. 1 lit. f eingesetzt werden können.[90] Zu beachten ist aber, dass diese Auflistung schon in Bezug auf § 9 BDSG a.F. nicht abschließend war. Sie erschöpft somit nicht die nach Art. 5 Abs. 1 lit. f möglichen und erforderlichen Maßnahmen.

79

Der Grundsatz der Vertraulichkeit und Integrität wird durch die in den Art. 25 und 32 geforderten technischen und organisatorischen Maßnahmen konkretisiert. Der Grundsatz der Vertraulichkeit und Integrität korrespondiert zudem mit den in Art. 33 und 34 geregelten Meldepflichten bei der Verletzung des Schutzes personenbezogener Daten.[91] Art. 28 Abs. 3 S. 2 lit. b nimmt auf die organisatorische Verpflichtung Bezug, indem er Auftragsverarbeiter verpflichtet, die mit der Datenverarbeitung betrauten Personen auf die Vertraulichkeit zu verpflichten.