"Stand der Technik"

Datenschutz durch Technikgestaltung - Art 25, 32 DSGVO

 

Jeder für eine Datenverarbeitung Verantwortliche gem. DSGVO hat dafür Sorge zu tragen, dass seine IT Sicherheit am Stand der Technik ausgerichtet ist - dies unter Berücksichtigung von ua der wirtschaftlichen Möglichkeiten. Ein Unterschreiten des Stands der Technik nur aus finanziellen Gründen ist allerdings problematisch. Zur Sicherung der Datenverarbeitung sind daneben auch organisatorische Maßnahmen vorzusehen (geeignete Prozesse, Kontrollmaßnahmen etc.)

 

Der Stand der Technik ist in Österreich in Bezug auf Datenschutz nicht speziell gesetzlich definiert. Im österr. Datenschutzgesetz a.F. finden sich allerdings schon Sicherheitsmaßnahmen (z.B. § 14 DSG). Es ist daher aus Vorsichtsgründen von jenem Stand auszugehen, der zwischen den allgemein anerkannten Regeln der Technik und dem Stand von Wissenschaft und Forschung liegt (vgl. Bartels in iX 7,2017). Die Ermittlung im Einzelfall kann mithilfe von Sachverständigen erfolgen, zu denen wir eine Kontaktbasis bereitstellen.

 

Beispielsweise definiert die Gewerbeordnung den Stand der Technik wie folgt:

 

§ 71a. (1) Der Stand der Technik (beste verfügbare Techniken – BVT) im Sinne dieses Bundesgesetzes ist der auf den einschlägigen wissenschaftlichen Erkenntnissen beruhende Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen, Bau- oder Betriebsweisen, deren Funktionstüchtigkeit erprobt und erwiesen ist. Bei der Bestimmung des Standes der Technik sind insbesondere jene vergleichbaren Verfahren, Einrichtungen Bau- oder Betriebsweisen heranzuziehen, welche am wirksamsten zur Erreichung eines allgemein hohen Schutzniveaus für die Umwelt insgesamt sind; weiters sind unter Beachtung der sich aus einer bestimmten Maßnahme ergebenden Kosten und ihres Nutzens und des Grundsatzes der Vorsorge und der Vorbeugung im Allgemeinen wie auch im Einzelfall die Kriterien der Anlage 6 zu diesem Bundesgesetz zu berücksichtigen.[..]

 

Tipp: Ihre Art 32 DSGVO Dokumentation sollte mehrere Punkte umfassen, wie

  • welche technisch-organisatorischen Maßnahmen wurden getroffen, um das geforderte Schutzniveau herzustellen
  • wie werden Datenvertraulichkeit, Integrität, Wiederherstelblarkeit, Verfügbarkeit, Zugriffssschutz etc. umgesetzt
  • welche Evaluierungspläne bestehen

 

Diese Information ist eine grundsätzliche Information und ersetzt keine Beratung im Einzelfall.

Kontakt