In einem vorangegangenen Beitrag haben wir uns mit einem Auszug aus dem aktuellen Tätigkeitsbericht des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) und der dort aufgeworfenen Frage befasst, ob Art. 32 DS-GVO als taugliche Rechtsgrundlage im Sinne des Art. 6 Abs. 1 UAbs. 1 lit. c), Abs. 3 DS-GVO in Betracht kommt. Befasst haben wir uns insbesondere mit der Frage der Anforderungen an die Rechtsgrundlagen im Sinne des Art. 6 Abs. 1 UAbs. 1 lit. c), Abs. 3 DS-GVO. Kurzzusammenfassung: Es bedarf keiner unmittelbaren Datenverarbeitungsverpflichtung wie Sie beispielsweise der LfDI fordert, sondern es genügt in diesem Sinne eine Festlegung des Verarbeitungszwecks, nicht jedoch eine unmittelbare und ausdrückliche Spezifizierung der jeweiligen Datenverarbeitung.
Offen gelassen haben wir bis dato die (Folge-)Überlegung, ob Art. 32 DS-GVO die gestellten Anforderungen an eine belastbare Rechtsgrundlage zur Datenverarbeitung erfüllt. Dieser Thematik wollen wir uns im heutigen Beitrag einmal näher widmen.
Welche Anforderungen an die Rechtsgrundlagen gelten überhaupt?
Wie bereits dargestellt, ergeben sich die näheren Anforderungen an die potenzielle Rechtsgrundlage aus Art. 6 Abs. 2 und Abs. 3 DS-GVO. Es muss sich gemäß Art. 6 Abs. 3 UAbs. 1 DS-GVO um eine rechtliche Verpflichtung aus dem Unionsrecht oder aus dem Recht eines Mitgliedstaates, dem der Verantwortliche unterworfen ist, handeln. Zwingend erforderlich ist jedenfalls dass die Rechtsgrundlagen gemäß Art. 6 Abs. 3 UAbs. 2 Satz 1 DS-GVO einen Zweck der Verarbeitung festlegen.
Bei den jeweiligen mitgliedstaatlichen und nationalen Rechtsgrundlagen ist sodann zu prüfen, welche inhaltlichen Anforderungen an diese zu stellen sind. Dies umfasst im Sinne des Art. 6 Abs.3 UAbs. 2 Satz 2 DS-GVO, insbesondere welche spezifischeren Vorgaben durch die jeweilige Rechtsgrundlage gegebenenfalls gemacht werden. Schließlich muss die jeweilige Norm gemäß Art. 6 Abs. 3 UAbs. 2 Satz 3 DS-GVO ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen.
Erfüllt nun Art. 32 DS-gVO diese Anforderungen?
Nach Art. 32 DS-GVO treffen der Verantwortliche und der Auftragsverarbeiter unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. An dieser Stelle entbrennt nunmehr ein Streit darüber, ob Art. 32 DS-GVO eine solche Rechtsgrundlage im Sinne des Art. 6 Abs. 1 UAbs. 1 lit. c), Abs. 3 DS-GVO ist.
Dies wird von Teilen der Literatur insbesondere unter Verweis und Vergleich auf Art. 17 RL 95/46/EG abgelehnt, da Art. 32 Abs. 1 DS-GVO lediglich die Sicherheit der Verarbeitung betreffen würde, und primär dazu dienen soll, den Schutz vor äußeren Einwirkungen und hier insbesondere vor rechtswidrigen Zugriffen Dritter zu verhindern. Die Datensicherheit sei unabhängig von Frage der Zulässigkeit der Verarbeitung personenbezogener Daten zu beurteilen, weshalb die Rechtmäßigkeit einer Datenverarbeitung nicht mit Art. 32 DS-GVO geregelt wird. Auf diesen Zug wollte auch der LfDI aufspringen: „Es ist zweifelhaft, ob Art. 32 DS-GVO eine rechtliche Pflicht nach Art. 6 Abs. 1 Satz 1 Buchst.c) DS-GVO begründet. Er verpflichtet die verantwortlichen Stellen nicht unmittelbar dazu, personenbezogene Daten zu verarbeiten.“ I
n der Literatur wird zudem regelmäßig ausgeführt, dass Maßnahmen der Datensicherheit regelmäßig sowieso unter Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO zu subsumieren seien. Diese Argumentation vom Ergebnis her mag jedoch nicht überzeugen. Ein Anschlussproblem entsteht zudem für Behörden (Anm.: der Wortlaut spricht nicht von öffentlichen Stellen per se), die sich aufgrund von Art. 6 Abs. 1 UAbs. 2 DS-GVO in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung nicht auf den Tatbestand des berechtigten Interesses nach Abwägung berufen dürfen.
Gegen die aufgezeigte Annahme spricht zudem, dass auch Art. 17 RL 95/46/EG nicht explizit geregelt hat, welche Datenverarbeitungen im Zusammenhang mit der Datensicherheit vorzunehmen sind, dies wie soeben dargestellt im Rahmen des Art. 6 Abs. 3 UAbs. 2 Satz 1 DS-GVO jedoch auch nicht gefordert wird.
Darüber hinaus kann man eine mögliche Intention des Gesetzgebers aus Art. 32 DS-GVO selbst entnehmen. Aufgrund der ausdrücklichen Normierung der Pseudonymisierung in den Regelbeispielen des Art. 32 Abs. 1 DS-GVO kann die Überlegung angestellt werden, dass der Gesetzgeber selbst davon ausging, dass Art. 32 Abs. 1 DS-GVO eine taugliche Rechtsgrundlage im Sinne des Art. 6 Abs. 1 UAbs. 1 lit. c), Abs. 3 DS-GVO darstellt.
Dies folgt aus der Tatsache, dass in Art. 4 Nr. 5 DS-GVO die Pseudonymisierung als Verarbeitung personenbezogener Daten in einer Weise beschrieben wird, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden. Mithin wird in Art. 32 Abs. 1 lit. a) DS-GVO bereits selbst beispielhaft auf eine Maßnahme verweisen, die ihrerseits die Verarbeitung personenbezogener Daten bedingt.
Die überzeugenderen Argumente sprechen nach hier vertretener Ansicht dafür, dass Art. 32 Abs. 1 DS-GVO eine taugliche Rechtsgrundlage im Sinne des Art. 6 Abs. 1 UAbs. 1 lit. c), Abs. 3 DS-GVO darstellen kann.
Inhaltliche Anforderungen Art. 32 DS-GVO
Nun sind Verantwortliche (und Auftragsverarbeiter) durch Art. 32 DS-GVO zur Umsetzung (unter Berücksichtigung der Abwägungsfaktoren) geeigneter technischer und organisatorischer Maßnahmen verpflichtet. Das Feld der potenziellen Sicherheitsmaßnahmen ist breit. In aller erster Linie ist an die Kontrolle von Zugriffen auf Systeme oder Daten durch eine möglichst umfassende Protokollierung zu denken. Hinzutreten „klassische“ Maßnahmen wie der Betrieb einer Firewall oder Einsatz von Antiviren-Software. In Betracht kommen ferner teils komplexe Sicherheitslösungen wie Intrusion Detection Systeme (IDS), Security Information and Event Management Systeme (SIEM-Systeme) und sogenannte Deep Packet Inspection. Daneben verdienen auch regelmäßige Schwachstellen Scans und Penetrationstests Beachtung. Weiterhin sind sogenannte Honeypots denkbar. Ebenfalls können Data Loss Prevention Systeme genutzt werden.
Die Palette der möglichen Maßnahmen ist also sehr breit. Von den jeweils zu treffenden Maßnahmen wird letztendlich auch die Prüfung der Erforderlichkeit abhängen. Generell können hier aber wohl Überlegungen zur Pseudonymisierung und zur Verschlüsselung greifen. Weitere Steuerungen sind über die Festlegung von Löschfristen und Zugriffsberechtigungen möglich.
Fazit
Abschließen, soweit man dies sagen möchte, lässt sich der Streit um die Funktion von Art. 32 DS-GVO als Rechtsgrundlage nicht. Möglicherweise bedarf es auch keiner abschließenden Klärung. Verantwortlichen ist es nach hier Vertretern Ansicht jedenfalls möglich sich auf Art. 32 DS-GVO (in Verbindung mit Art. 6 Abs. 1 UAbs. 1 lit. c) DS-GVO) zur Verarbeitung personenbezogener Daten für Maßnahmen der Datensicherheit zu berufen.
Nichts desto stehts zumindest nicht-öffentlichen Stellen offensichtlich noch Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO als potenzielle Rechtsgrundlage zur Verfügung. Hier bestehen jedoch zwei Hindernisse: Zum einen sind die Anforderungen an diesen Tatbestand nicht bereits erfüllt, sofern der Verantwortliche ein berechtigtes Interesse vorweisen kann, sondern es bedarf jeweils noch eine entsprechenden Interessenabwägung – welche selbstverständlich auch zu dokumentieren ist. Zum anderen besteht das Risiko, dass sich Verantwortliche in der Praxis mit potenziellen Widerspruchsrechten von betroffenen auseinandersetzen müssen. Natürlich kann das Widerspruchsrecht kein rechtliches Argument sein, aber auf jeden Fall eine praktische Erwägung.
Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
