Grenzen der Sicherheit der Verarbeitung personenbezogener Daten

Abstract

Art. 32 DS-GVO verlangt die Implementierung technischer und organisatorischer Maßnahmen (TOM), um ein angemessenes Schutzniveau für die Sicherheit der Verarbeitung zu gewährleisten. Verarbeiten diese TOM allerdings selbst personenbezogene Daten („datenverarbeitende TOM“), unterliegen sie ihrerseits den Anforderungen der DS-GVO und bedürfen u.a. einer Rechtsgrundlage nach Art. 6 DS-GVO. Datenverarbeitende TOM begründen damit ein Spannungsverhältnis zwischen den Anforderungen nach Art. 32 und Art. 6. Im Extremfall droht aus Art. 32 die Pflicht zur Implementierung datenverarbeitender TOM, deren Verarbeitung personenbezogener Daten jedoch nicht nach Art. 6 gerechtfertigt werden kann. In der Arbeit wird zunächst anhand der einschlägigen Vorschriften untersucht, wie sich dieses Spannungsverhältnis und die damit verbundenen Folgen ausgestalten. Mit diesen Erkenntnissen werden anschließend Lösungsansätze für die jeweiligen Vorschriften erarbeitet. Ergebnis ist eine Gesamtlösung, bei der ein Gleichgewicht zwischen den beiden Vorschriften angestrebt wird.

Art. 32 GDPR requires the implementation of technical and organizational measures (TOMs) to ensure an adequate level of security for the processing. However, if these TOMs themselves process personal data (“data processing TOMs”), they are subject to the requirements of the GDPR. Consequently, this requires, inter alia, a legal basis in accordance with Art. 6 GDPR. Data processing TOMs thus create a tension between the requirements of Art. 32 and Art. 6. In extreme cases, Art. 32 threatens the obligation to implement data processing TOMs whose processing of personal data cannot be justified under Art. 6. On the basis of the relevant provisions, this thesis first examines the nature of this tension and the associated consequences. These findings are then used to develop solutions for the respective provisions. Result is an overall solution, where a balance between the two provisions is sought.