2017-03-08 11:13:15 +01:00
|
|
|
Artikel 32 - Sicherheit der Verarbeitung
|
|
|
|
----------------------------------------
|
|
|
|
|
2017-03-27 11:03:41 +02:00
|
|
|
1. Unter Berücksichtigung des Stands der Technik, der
|
|
|
|
Implementierungskosten und der Art, des Umfangs, der Umstände und
|
|
|
|
der Zwecke der Verarbeitung sowie der unterschiedlichen
|
|
|
|
Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte
|
|
|
|
und Freiheiten natürlicher Personen treffen der Verantwortliche und
|
|
|
|
der Auftragsverarbeiter geeignete technische und organisatorische
|
|
|
|
Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu
|
|
|
|
gewährleisten; diese Maßnahmen schließen unter anderem Folgendes
|
|
|
|
ein:
|
|
|
|
|
|
|
|
a. die Pseudonymisierung und Verschlüsselung personenbezogener
|
|
|
|
Daten;
|
|
|
|
|
|
|
|
b. die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit
|
|
|
|
und Belastbarkeit der Systeme und Dienste im Zusammenhang mit
|
|
|
|
der Verarbeitung auf Dauer sicherzustellen;
|
|
|
|
|
|
|
|
c. die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und
|
|
|
|
den Zugang zu ihnen bei einem physischen oder technischen
|
|
|
|
Zwischenfall rasch wiederherzustellen;
|
|
|
|
|
|
|
|
d. ein Verfahren zur regelmäßigen Überprüfung, Bewertung und
|
|
|
|
Evaluierung der Wirksamkeit der technischen und
|
|
|
|
organisatorischen Maßnahmen zur Gewährleistung der Sicherheit
|
|
|
|
der Verarbeitung.
|
|
|
|
|
|
|
|
2. Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere
|
|
|
|
die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden
|
|
|
|
sind, insbesondere durch — ob unbeabsichtigt oder unrechtmäßig —
|
|
|
|
Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von
|
|
|
|
beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die
|
|
|
|
übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.
|
|
|
|
|
|
|
|
3. Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder
|
|
|
|
eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann
|
|
|
|
als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des
|
|
|
|
vorliegenden Artikels genannten Anforderungen nachzuweisen.
|
|
|
|
|
|
|
|
4. Der Verantwortliche und der Auftragsverarbeiter unternehmen
|
|
|
|
Schritte, um sicherzustellen, dass ihnen unterstellte natürliche
|
|
|
|
Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf
|
|
|
|
Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind
|
|
|
|
nach dem Recht der Union oder der Mitgliedstaaten zur
|
|
|
|
Verarbeitung verpflichtet.
|
2017-03-08 11:13:15 +01:00
|
|
|
|
|
|
|
|