6. Weekly Update zur EU-DSGVO: Data Protection by Design & by Default PDF Drucken E-Mail
Fachbereich Recht - Private Law
Zivilrecht
Geschrieben von: Franz J. Heidinger / Nikolaus Henn   
Freitag, 11. Mai 2018

Mit Inkrafttreten der EU-DSGVO am 25. Mai 2018 werden auch die Vorschriften im Bereich Datensicherheit grundlegend verändert. Um die Sicherheit von personenbezogenen Daten zu gewährleisten, sind der Verantwortliche und der Auftragsverarbeiter nunmehr verpflichtet, diese nach den Grundsätzen „Data Protection by Design“ (Datenschutz durch Technik) und „Data Protection by Default“ (datenschutzfreundliche Voreinstellungen) besonders zu schützen.

 

 

Datenschutz durch Technik soll erreicht werden, indem bei der Datenverarbeitung zwingend Maßnahmen zu setzen sind, die einen Schutz gewährleisten, welcher den zu erwartenden Gefahren angemessen ist. Für die objektive Beurteilung der Angemessenheit des Datenschutzniveaus ist auf der einen Seite abzuwägen, wie wahrscheinlich und mit welchen Folgen die Risiken eintreten können. Diese Überlegungen sind dem finanziellen Aufwand, dem Stand der Technik, sowie der Art, dem Umfang und den Zwecken der Datenverarbeitung gegenüberzustellen.

 

Zusätzlich sollen datenschutzfreundliche Voreinstellungen die Sicherheit von Daten garantieren. Dabei wird besonderer Wert darauf gelegt, dass für einen bestimmten Verarbeitungszweck nur jene Daten verwendet werden, die dafür wirklich erforderlich sind. Dies soll insbesondere verhindern, dass Daten Unbefugten zugänglich werden.

 

Zur Umsetzung der beiden genannten Grundsätze wird eine Reihe von Maßnahmen vorgeschrieben. Dazu gehört im Speziellen, dass personenbezogene Daten vom Auftragsverarbeiter nur mit Erlaubnis des Verantwortlichen verwendet werden dürfen. In diesem Sinne ist der Datenzugang zu verschlüsseln, z.B. durch Passwörter. Weiters sollen die Daten pseudonymisiert werden, sodass ohne gesondert zu speichernde Zusatzinformationen keine Rückschlüsse mehr auf die Identität der betroffenen Person gezogen werden können. Durch geeignete und regelmäßige Backups soll außerdem die Gefahr von Datenverlust minimiert werden. Die Eignung und Angemessenheit der Datenschutzmaßnahmen ist zusätzlich in angemessenen Intervallen zu evaluieren.

 

Da die genannten Maßnahmen sehr umfangreich und vielfältig sind, kann angedacht werden, genehmigte Verhaltensregeln oder ein genehmigtes Zertifizierungsverfahren zu befolgen, um sich rechtlich weitestgehend abzusichern.

 

Weiterführende Links: https://eu-dsgvo.at/ // http://www.alix-frank.com