Recht:Artikel 32 DSGVO Sicherheit der Verarbeitung

Aus Datenschutzhandbuch
Wechseln zu: Navigation, Suche
Artikel Nr. 32
Kapitel IV Verantwortlicher und Auftragsverarbeiter
Abschnitt 2 Sicherheit personenbezogener Daten
Erwägungsgründe Recht:Erwägungsgrund 74 DSGVO, Recht:Erwägungsgrund 75 DSGVO, Recht:Erwägungsgrund 76 DSGVO, Recht:Erwägungsgrund 77 DSGVO, Recht:Erwägungsgrund 78 DSGVO, Recht:Erwägungsgrund 79 DSGVO, Recht:Erwägungsgrund 83 DSGVO
Inkrafttretensdatum 2018/05/25
Letzte Änderung 2018/05/23
Historie Stammfassung geändert durch: ABl L 2018/127
Außerkrafttretensdatum
Vorhergehende Seite Artikel 31 DSGVO Zusammenarbeit mit der Aufsichtsbehörde
Folgende Seite Artikel 33 DSGVO Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde
Entscheidungen DatenschutzbehördeBezeichnung
ATDSB 003Erteilung der Genehmigung zur Datenverarbeitung für wissenschaftliche Forschung
ATDSB 008Abgewiesene Beschwerde über die Verletzung im Recht auf Geheimhaltung (Archivdaten)
ATDSB 024Amtswegiges Prüfverfahren wegen Verletzungen von Pflichten nach der DSGVO
ATDSB 071Stattgebene Beschwerde eines Minderjährigen wegen Verletzung im Recht auf Geheimhaltung gegen den Betreiber von Online-Dating-Portalen
ATDSB 126Unter Auflagen zum Schutz der betroffenen Personen genehmigter Antrag einer Forschungseinrichtung auf Genehmigung von Videoaufzeichnung im Zuge von autonomen und semiautonomenTestfahrten im Bereich des öffentlichen Verkehrs
NachrichtenTitel
02.02.2022 1Belgische Datenschutzbehörde erklärt Schaltstelle für personalisierte Werbung für rechtswidrig
03-07-2020 1Neue Bausteine des Standard-Datenschutzmodells präsentiert.
04-02-2020 1BSI stellt aktualisiertes IT-Grundschutz Kompendium vor
05-06-2020 1Tipps zur sicheren Benutzerauthentifizierung
06-02-2019 1Datenleck beim Deutschen Roten Kreuz (DRK) in Brandenburg
06-02-2019 2Neue Entscheidung der Österreichischen Datenschutzbehörde
06-11-2020 1Orientierungshilfe Videokonferenzen
06.04.2022 1Niederländischer Außenminister muss neben Bußgeld auch zweiwöchentliches Zwangsgeld wegen mangelhafter Sicherheit von Visumanträgen zahlen
09-11-2020 1EU Ministerrat plant Verschlüsselungsverbot
09.06.2021 1Hohe Geldstrafe wegen Verletzung der Privatsphäre kranker Mitarbeiter
Weitere Einträge ...

(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:

a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;

b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;

c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;

d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

(2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch — ob unbeabsichtigt oder unrechtmäßig — Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.

(3) Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.

(4) Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.