Wer personenbezogene Daten verarbeitet, sollte diese Daten mittels technischer und organisatorischer Maßnahmen, entsprechend dem neusten Stand der Technik, ausreichend schützen.
Der Begriff bzw. die Maßnahmen beinhalten alle konkreten Vorkehrungen, die eine Organisation (Unternehmen, Behörde, Verein, ...) trifft, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Die Vorgaben zu den technischen und organisatorischen Maßnahmen sind in Art. 32 DSGVO geregelt.
Gegebenenfalls sollten folgendes Maßnahmen getroffen werden:
- Die Pseudonymisierung und Verschlüsselung personenbezogener Daten.
- Die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen.
- Die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen.
- Ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Ein Beispiel: Wird ein Defekt an einer Festplatte festgestellt, sollten die gespeicherten Daten mittels einer Datensicherung gesichert sein und die Daten auf einer neuen Festplatte wiederhergestellt werden können.
