Diese Frage muss sich jeder stellen, der den Anforderungen der Datenschutzgrundverordnung (DSGVO) nachkommen will. Ständig ist in der DSGVO vom „Stand der Technik“ die Rede. So bereits in den Erwägungsgründen, wenn es beispielsweise um den Schutz personenbezogener Daten bei deren Verarbeitung geht (Erwägungsgrund 78) oder um Verschlüsselung (Erwägungsgrund 83) oder um die Datenschutz-Folgenabschätzung (Erwägungsgrund 91) geht. Auch im weiteren Verlauf der Verordnung stößt man auf den Begriff. In Artikel 25 DSGVO „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ heißt es:
„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen – wie z. B. Pseudonymisierung –, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.“
Auch Artikel 32 DSGVO „Sicherheit der Verarbeitung“ legt den Verantwortlichen und den Auftragsverarbeitern die Pflicht auf, technische und organisatorische Maßnahmen „unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen…“ zu treffen.
Das sind nur einige prägnante Beispiele. An vielen weiteren Stellen stößt man auf den Begriff. Doch was sagt das dem Verantwortlichen? Was muss er nun genau tun, um den Anforderungen gerecht zu werden?
Eines vorweg: Die DSGVO hält keine Definition für die Begrifflichkeit „Stand der Technik“ vor.
Handreichung zum Stand der Technik
In Deutschland hat der Bundesverband IT-Sicherheit e.V. (TeleTrusT) im Juli 2015 mit Inkrafttreten des IT-Sicherheitsgesetzes den Arbeitskreis „Stand der Technik“ initiiert, um den Betroffenen Handlungsempfehlungen und Orientierung zum geforderten „Stand der Technik“ von technischen und organisatorischen Maßnahmen zu geben. Nun hat der Arbeitskreis eine aktuelle Version herausgegeben, die Sie hier einsehen können. Zu beachten ist, dass bei der Beurteilung, ob etwas dem „Stand der Technik“ entspricht und somit den Anforderungen der DSGVO genügt, auch wirtschaftliche Aspekte berücksichtigt werden können. Somit sind die in der aktuellen Handreichung genannten Verfahren nicht immer zwingend zu verwenden. Bei einem relativ geringen Schutzbedarf und dem gegenüberstehenden hohen Realisierungskosten für eine technisch organisatorische Maßnahme, die dem „Stand der Technik“ entspricht, darf zum Beispiel von den vorgestellten Verfahren durchaus abgewichen werden. Hier ist es an dem jeweiligen Verantwortlichen abzuwägen und diese Überlegungen auch transparent darzulegen, warum eine Maßnahme so oder so umgesetzt wird.
Update 27.02.2019
Es gibt eine neue Version der Handreichung, die hier heruntergeladen werden kann.