Art. 32 DSGVO: Sicherheit der Verarbeitung
| veröffentlicht am |
27.04.2026 |
|---|---|
| Änderung | Neu aufgenommen |
| Stand | 27.04.2026 |
|---|---|
| Erstellungsgrundlage | in der Fassung der Datenschutz-Grundverordnung vom 27.04.2016 in Kraft getreten am 25.05.2018 |
| Rechtsgrundlage | |
| Version | 001.00 |
- Inhalt der Regelung
- Begriffsbestimmungen
- Allgemeines
- Art. 32 Abs. 1 DSGVO
- Art. 32 Abs. 2 DSGVO
- Art. 32 Abs. 3 DSGVO
- Art. 32 Abs. 4 DSGVO
Inhalt der Regelung
In Art. 32 Abs. 1 Datenschutzgrundverordnung (DSGVO) werden geeignete technische und organisatorische Maßnahmen (TOMs) in abstrakter Weise genannt, die ein ausreichendes Schutzniveau hinsichtlich der Sicherheit bei der Verarbeitung von personenbezogenen Daten bieten können.
Der Art. 32 Abs. 2 DSGVO befasst sich mit dem Thema Risikoabwägung und dem Umstand, dass die zu treffenden TOMs sich nach dem Schutzbedarf der zu verarbeitenden personenbezogenen Daten richten müssen.
Art. 32 Abs. 3 DSGVO legt die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO oder einer Zertifizierung gemäß Art. 42 DSGVO als Faktoren zur Erbringung der Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO als Beispiele fest.
In Art. 32 Abs. 4 DSGVO wird geregelt, dass Beschäftigte und externe Dienstleister im Rahmen einer Auftragsverarbeitung gemäß Art. 28 DSGVO personenbezogene Daten nur auf Weisung des/der Verantwortlichen verarbeiten dürfen und der/die Verantwortliche diese Anforderung durch Sicherheitsvorkehrungen umsetzen muss.
Begriffsbestimmungen
Die Begrifflichkeiten "Verantwortlicher", "Auftragsverarbeiter", "Vertreter", "Verzeichnis", "Verarbeitungstätigkeit", "Verarbeitungsmittel", "Verarbeitung" und "Aufsichtsbehörde" sollten im Zusammenhang mit Art. 30 DSGVO näher beschrieben werden:
- Verarbeitung Art. 4 Nr. 2 DSGVO
- Verantwortlicher Art. 4 Nr. 7 DSGVO
- Auftragsverarbeiter Art. 4 Nr. 8 DSGVO
- Pseudonymisierung Art. 4 Nr. 5 DSGVO
- Personenbezogene Daten Art. 4 Nr. 1 DSGVO
Allgemeines
Der Art. 32 DSGVO erweitert die Anforderungen im Bereich Sicherheit der Verarbeitung von personenbezogenen Daten und spezifiziert den Grundsatz der Integrität und Vertraulichkeit ,Art. 5 Abs. 1 lit. f DSGVO. Dieser legt fest, dass personenbezogene Daten in einer Weise verarbeitet werden müssen, die eine ausreichende Sicherheit der personenbezogenen Daten garantiert. Dabei geht es vor allem darum, unbefugte und unrechtmäßige Verarbeitung, unbeabsichtigten Verlust, unbeabsichtigte Zerstörung oder unbeabsichtigte Beschädigung personenbezogener Daten zu verhindern. Diese Anforderungen können insbesondere durch geeignete Sicherheitsvorkehrungen umgesetzt werden. Der Art. 32 DSGVO regelt die Bedeutung geeigneter TOM, die den Grundsatz der Integrität und Vertraulichkeit sicherstellen können. TOM umfassen ein Paket an bestimmten Instrumenten, welche die Sicherheit der erhobenen und verarbeitenden personenbezogene Daten gewährleisten sollen. Genauer gesagt werden unter TOM alle Vorkehrungen und Maßnahmen in einem Unternehmen oder einer Behörde verstanden, die zum Schutz personenbezogener Daten getroffen werden.
Die DRV Bund wird in dieser Gemeinsamen Rechtlichen Anweisung exemplarisch genannt. Die in dieser GRA beschriebenen Inhalte gelten jedoch zur Orientierung für alle Träger der gesetzlichen Rentenversicherung.
Die DRV Bund verarbeitet als Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO eine sehr große Menge an Sozialdaten und personenbezogene Daten von über 23 Millionen Versicherten, über 10 Millionen Rentnerinnen und Rentnern sowie von über 25 Tausend Beschäftigten. Sozialdaten sind personenbezogene Daten (§ 67 Abs. 2 SGB X) für die neben den zusätzlichen Regelungen aus den Sozialgesetzbüchern auch die Grundsätze des Art. 5 DSGVO und somit auch der Art. 32 DSGVO gelten. In der Regel sind bei der DRV Bund alle Kundendaten der Versicherten und Rentner Sozialdaten und alle Daten des Personals Beschäftigtendaten im Sinne von Art. 88 DSGVO in Verbindung mit § 26 BDSG.
Für die DRV Bund als Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO, ergibt sich somit die rechtliche Verpflichtung, durch geeignete TOMs eine Verarbeitung personenbezogener Daten insbesondere hinsichtlich der Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit zu gewährleisten (siehe Abschnitte 3.2 und 7).
Die DRV Bund verarbeitet Sozial- und Beschäftigtendaten, um ihre gesetzlich festgelegten Aufgaben erfüllen zu können, beispielsweise zur Durchführung von Versicherungs- und Rentenverfahren, Reha-Maßnahmen, Auskunfts -und Beratungsgesprächen oder dem Mitarbeiterbeschäftigungsverhältnis. Unterstützung bei diversen Geschäftsprozessen, in denen auch Daten mit Personenbezug verarbeitet werden, erhält die DRV Bund von externen Dienstleistern. Externe Dienstleister, die personenbezogene Daten im Auftrag der DRV Bund verarbeiten sind Auftragsverarbeiter gem. Art. 4 Nr. 8 DSGVO. Wenn die DRV Bund einen externen Dienstleister beauftragt, mit dem Schwerpunkt personenbezogene Daten zu verarbeiten, so erfolgt die Verarbeitung auf Grundlage eines Vertrags gemäß Art. 28 DSGVO in Verbindung mit § 80 SGB X. Nach Art. 28 Abs. 3 lit. c DSGVO muss auch der Auftragsverarbeiter alle gemäß Art. 32 DSGVO erforderlichen TOMs ergreifen, um die Daten des Verantwortlichen, im Rahmen der Auftragsverarbeitung zu schützen (siehe GRA zu Art. 28 DSGVO). Um die Rechenschaftspflicht aus Art. 5 Abs. 2 in Verbindung mit Art. 24 DSGVO nachzukommen, müssen auch die getroffenen TOM ausreichend dokumentiert und deren Umsetzung beziehungsweise Einhaltung nachgewiesen werden können. Dies kann durch ein genehmigtes Zertifizierungsverfahren geschehen (Art. 25 DSGVO in Verbindung mit Art. 42 DSGVO).
In den folgenden Abschnitten werden die einzelnen Absätze des Art. 32 DSGVO spezifiziert. Zum Abschluss werden Praxisbeispiele zu TOMs beschrieben, die zur Sicherstellung der Schutzziele dienen und in der DRV Bund bereits in großem Umfang umgesetzt werden.
Art. 32 Abs. 1 DSGVO
Im ersten Absatz des Art. 32 DSGVO werden Maßnahmen genannt, die ein angemessenes Schutzniveau bei der Verarbeitung personenbezogener Daten gemäß Art. 4 Nr. 2 DSGVO bieten können und die ebenfalls im selben Absatz erwähnten Schutzziele (Abschnitt 3.2) durch geeignete TOMs auf Dauer sicherstellen können. Die im ersten Absatz genannten Maßnahmen werden u.a. ergriffen, um den Grundsätzen des Datenschutzes durch Technikgestaltung (Privacy by Design) und durch datenschutzfreundliche Voreinstellungen (Privacy by Default) gemäß Art. 25 DSGVO gerecht zu werden. Sie sollen sicherstellen, dass personenbezogene Daten dem neuesten Stand der Technik nach dauerhaft und ausreichend geschützt sind. Nach Art. 25 DSGVO sollen zudem die Anforderungen der DSGVO und demnach auch die Festlegung von TOM bereits bei der Prozessgestaltung und bei den Voreinstellungen umgesetzt werden (siehe GRA zu Art. 25 DSGVO).
Pseudonymisierung und Verschlüsselung (Art. 32 Abs. 1 lit. a DSGVO)
Im Absatz 1 lit. a des Art. 32 DSGVO werden die zwei Maßnahmen Pseudonymisierung und Verschlüsselung genannt, die bei der Verarbeitung von personenbezogenen Daten eingesetzt werden können, um ein angemessenes Schutzniveau zu erreichen. Der Begriff der Pseudonymisierung wird in Art. 4 Nr. 5 DSGVO definiert. Dabei sollen personenbezogene Daten in einer Form verarbeitet werden, sodass ohne das Hinzuziehens weiterer Informationen eine Person nicht anhand eines Ihr zugewiesenen Pseudonyms identifiziert werden kann. In Art. 25 Abs. 1 DSGVO wird die Pseudonymisierung als geeignete Beispielmaßnahme genannt, mit dem die Grundsätze der Verarbeitung personenbezogener Daten gemäß Art. 5 Abs. 1 DSGVO umgesetzt werden können. Analog zum Begriff der Pseudonymisierung fällt in der Praxis oft der Begriff der Anonymisierung. Hierbei handelt es sich um die Verarbeitung von personenbezogenen Daten in einer Weise, dass ein Rückschluss auf eine betroffene Person in jedem Fall ausgeschlossen ist. Daher unterliegen anonymisierte Daten nicht mehr der DSGVO und sind daher im Gesetz nicht näher erläutert. Die zweite genannte Maßnahme in Art. 32 Abs. 1 DSGVO ist die Verschlüsselung. Dabei handelt es sich um eine Maßnahme, die einen sicheren Datenübertragungsweg zwischen den Empfängern von personenbezogenen Daten gewährleisten soll und die Daten während des Transports bzw. bei Übertragung vor unbefugtem Lesen und Verändern schützen soll. Eingesetzte Datenübertragungsmethoden sollen dem Stand der Technik entsprechen. Grundsätzlich stellen die beiden Maßnahmen geeignete TOMs dar, um die Schutzziele aus Art. 5 Abs. 1 lit. f in Verbindung mit Art. 32 Abs. 1 lit. b DSGVO auf Dauer sicher zu stellen. Auf die Schutzziele wird im folgenden Abschnitt 3.2 näher eingegangen.
Schutzziele (Art. 32 Abs. 1 lit. b DSGVO)
In Art. 32 Abs. 1 lit. b DSGVO werden die Schutzziele ausdrücklich genannt. Während in Art. 5 Abs. 1 lit. a DSGVO ausschließlich die Integrität und Vertraulichkeit genannt sind, sind in Art. 32 Abs. 1 lit. b DSGVO die Schutzziele Verfügbarkeit und Belastbarkeit ergänzend genannt.Diese Schutzziele gilt es durch geeignete TOMs im Zusammenhang mit der Verarbeitung personenbezogener Daten auf Dauer sicherzustellen.
Unter dem Schutzziel Vertraulichkeit werden alle Maßnahmen verstanden, die eine unbefugte Einsichtnahme personenbezogener Daten durch nicht autorisierte Personen verhindern sollen.
Zur Gewährung des Schutzziels Integrität werden Maßnahmen getroffen, die eine Manipulation personenbezogener Daten durch unbefugte Personen verhindern sollen.
Um das Schutzziel Verfügbarkeit und Belastbarkeit der Systeme auf Dauer sicherzustellen, müssen Maßnahmen getroffen werden, die personenbezogene Daten gegen zufällige Zerstörung oder Verlust schützen.
Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. c DSGVO)
In dem Absatz wird die Fähigkeit genannt, die Verfügbarkeit personenbezogener Daten und den Zugang zu den Daten bei einem physischen oder technischen Zwischenfall schnell wiederherzustellen. Detaillierte Beispiele für die Umsetzung werden in Abschnitt 7 aufgeführt.
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO)
Art. 32 Abs. 1 lit. d DSGVO regelt, dass geeignete Maßnahmen getroffen werden, die ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOMs zur Gewährleistung der Sicherheit der Verarbeitung ermöglichen.
Art. 32 Abs. 2 DSGVO
TOMs sollen nach einer Risikoanalyse abgewogen und aufgestellt werden, sodass alle, die bei der DRV Bund verarbeiteten personenbezogenen Daten, auch hinsichtlich bestehender Risiken ausreichend geschützt sind. Aus der Risikoanalyse geht hervor, welche Maßnahmen zu ergreifen sind und welche nicht.
Der zweite Absatz des Art. 32 DSGVO stellt klar, dass vor Beginn der Datenverarbeitung eine Risikoabwägung erfolgen soll, um die Angemessenheit der getroffenen TOMs zu ermitteln. Der Umfang der Maßnahmen richtet sich nach der Höhe der Gefahr des Verlusts, der Manipulation, der unbefugten Offenlegung oder des unbefugten Einsehens von personenbezogenen Daten im Rahmen der Verarbeitung. Im Prinzip geht es um die Risiken für die Rechte und Freiheiten natürlicher Personen.
Ein Risiko im Sinne der DSGVO ist das Bestehen der Möglichkeit des Eintritts eines Ereignisses, das selbst einen Schaden darstellt oder zu einem weiteren Schaden für eine oder mehrere natürliche Personen führen kann. Ein Schaden kann auch eine ungerechtfertigte Beeinträchtigung von Rechten und Freiheiten natürlicher Personen sein, zum Beispiel besteht das Recht auf Auskunft über personenbezogene Daten und als Folge einer Verarbeitung oder Folge eines Ereignisses, könnte dieses Recht nur noch eingeschränkt oder gar nicht mehr wahrgenommen werden.
Die DRV Bund berücksichtigt vor jeder neuen Verarbeitung personenbezogener Daten die Risiken. So wird beispielsweise während jeder datenschutzrechtlichen Betrachtung eines datenschutzrelevanten Vorhabens in der DRV Bund eine Schwellwertanalyse durchgeführt, um identifizieren zu können, ob eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO für ein betrachtetes Vorhaben / IT-Verfahren durchzuführen ist (siehe GRA zu Artikel 35 DSGVO). Durch die Durchführung einer Schwellwertanalyse können Verarbeitungen mit hohem Risiko erkannt werden. Dadurch können Risiken minimiert werden, indem geeignete Gegenmaßnahmen im Rahmen einer DSFA getroffen werden und wahrscheinliche Datenschutzverletzungen gemäß Art. 4 Nr. 12 DSGVO eingedämmt werden. Grundsätzlich gilt: Je höher der Schutzbedarf der personenbezogenen Daten und die Gefahr, desto umfangreichere TOMs sind zu treffen, um das Risiko auf ein angemessenes Niveau zu bringen. Die Verarbeitung personenbezogener Daten könnte zu einem physischen, materiellen oder immateriellen Schaden bei der betroffenen Person führen. In der DRV Bund ist dies beispielsweise der Fall,
- wenn die Verarbeitung zu einer einem Identitätsdiebstahl, Identitätsbetrug oder einem finanziellen Verlust führen kann, wenn personenbezogene Daten mit speziellem Schutzbedarf im Sinne von Art. 9 Abs. 1 DSGVO (z.B. Gesundheitsdaten, die im Krankenhausinformationssystem der DRV Bund gespeichert sind) verarbeitet werden,
- wenn Sozialdaten im Sinne von § 67 Abs. 2 SGB X verarbeitet werden, für die zusätzlich das Sozialgeheimnis im Sinne von § 35 SGB I gilt oder
- wenn die Verarbeitung eine große Anzahl an personenbezogenen Daten und betroffenen Personen betrifft.
Art. 32 Abs. 3 DSGVO
Bei jeder neuen Verarbeitung personenbezogener Daten müssen TOMs getroffen werden. Jedoch reicht es nicht aus, sich nur Gedanken darüber zu machen. Es muss sichergestellt werden, dass die getroffenen TOMs schriftlich oder elektronisch dokumentiert werden und bei Bedarf nachgewiesen werden können.
Der Art. 32 Abs. 3 DSGVO legt die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO oder einer Zertifizierung gemäß Art. 42 DSGVO als Ausflussder Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO.
Die DRV Bund erfüllt die Rechenschaftspflicht durch eine systematische Beschreibung über die Einhaltung des Datenschutzes. Durch eine umfassende Dokumentation weist die DRV Bund die Einhaltung der Verarbeitungsgrundsätze (Art. 5 Abs. 1 DSGVO) nach. Ein Beispiel hierfür ist die Erstellung einer Datenschutzdokumentation für jedes genutzte Verarbeitungsmittel (IT-Anwendung), mit denen personenbezogene Daten verarbeitet werden oder die Führung eines Verzeichnisses von Verarbeitungstätigkeiten (VVT) gemäß Art. 30 DSGVO, mit dem ein Überblick über alle datenschutzrelevanten Geschäftsprozesse der DRV Bund gegeben wird.
Insbesondere wird sichergestellt, dass geeignete TOMs bei der Verarbeitung personenbezogener Daten getroffen und dokumentiert werden und darüber hinaus in der Verfahrensdokumentation im Detail beschrieben werden.
Art. 32 Abs. 4 DSGVO
Im Art. 32 Abs. 4 DSGVO ist geregelt, dass der/die Verantwortliche (Art. 4 Nr. 7 DSGVO) und der/die Auftragsverarbeitende (Art. 4 Nr. 8 DSGVO) sicherstellen, dass die zur Verarbeitung autorisierten Personen (insbesondere Beschäftigte) personenbezogene Daten nur auf Anweisung des Verantwortlichen verarbeiten. Im Normalfall dürfen demnach insbesondere die Beschäftigten der DRV und externe Dienstleister, die personenbezogene Daten im Auftrag der DRV verarbeiten, nur auf Weisung der DRV eine Verarbeitung von personenbezogenen Daten durchführen. Falls beispielsweise ein Beschäftigter der DRV personenbezogene Daten auf eineWeise verarbeitet (zum Beispiel durch die Nutzung eines nicht zugelassenen Verarbeitungsmittels), kann der/die Beschäftigte für eventuelle Datenschutzverletzungen haftbar gemacht werden. Die DRV unternimmt diesbezüglich ebenfalls Anstrengungen, um diese Anforderung durch entsprechende Maßnahmen (siehe Abschnitt 7) umzusetzen. Darüber hinaus ist gemäß Art. 28 Abs. 3 lit. c DSGVO die Umsetzung erforderlicher TOMs durch einen Auftragsverarbeitenden im Rahmen des Auftragsverarbeitungsvertrages (AVV) aufzunehmen. Die DRV setzt diese Anforderung durch die Anlage 4 (TOM-Katalog) des Muster-Vertrages zur Auftragsverarbeitung um, die durch einen externen Dienstleister zu befüllen ist. Die DRV als Verantwortlicher kommt somit zusätzlich Ihrer Rechenschaftspflicht nach, da alle ergriffenen TOMs dokumentiert und im Bedarfsfall nachgewiesen werden müssen. Neben der Dokumentation ist die DRV auch berechtigt gegebenenfalls vor Ort Prüfungen bei seinen externen Dienstleistern durchzuführen, indem das tatsächliche Schutzniveau und die praktische Umsetzung der TOMs begutachtet werden.
| Verordnung (EU) 2016/679 des Europäischen Parlaments und Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) |
Inkrafttreten: 24.05.2016, Gültigkeit: 25.05.2018 Quelle: Amtsblatt der Europäischen Union vom 04. Mai 2016 unter L 119/1 |
Die Datenschutzgrundverordnung (DSGVO) trat am 24.05.2016 in Kraft und gilt ab dem 25.05.2018 unmittelbar in allen Mitgliedstaaten der Europäischen Union.