Die DSGVO spricht an mehreren Stellen vom “Stand der Technik”. Speziell bei der Definition von “geeigneten technischen und organisatorischen Maßnahmen” iSd Art 32 DSGVO. Eine Definition des Begriffs findet sich allerdings leider weder in der Datenschutz-Grundverordnung, noch in den entsprechenden Erwägungsgründen.
Es wird lediglich definiert, dass der Verantworltiche geeignete technische und organisatorische Maßahmen zu treffen hat, die ein dem Risiko angemessenes Schutzniveau gewährleisten. Dabei sind folgende Kategorien zu berücksichtigen:
- Stand der Technik
- Implementierungskosten
- Art, Umfang, Umstände und Zwecke der Verarbeitung
- Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen.
Der Begriff “Stand der Technik” wurde in der Kalkar-Entscheidung des deutschen Bundesverfassungsgerichts im Jahr 1978 geprägt. Darunter wurde die sog. Drei-Stufen-Tehorie beschrieben, die den Stand der Technik zwischen dem Stand der Wissenschaft und Forschung und den allgemein anerkannten regeln der Technik ansiedelt.
Technische Maßnahmen nach dem Stand der Wissenschaft und Forschung erleben eine sehr dynamische Entwicklung und gehen fließend bei Erreichung der Markteinführung bzw Marktreife in den Stand der Technik über. Durch zunehmende Verbreitung und Anerkennung am Markt werden sie zu allgemein anerkannten Regeln der Technik, wenn sie sich in der Praxis bewährt haben und in entsprechenden Standards normiert und beschrieben werden. [1]
Die deutsche TeleTrusT – Bundesverband ITSicherheit e.V. hat dazu eine Handreichung zum “Stand der Technik” im Sinne des IT-Sicherheitsgesetzes (ITSiG) veröffentlicht.
Durch Art 32 DSGVO werden Verantwortliche angehalten, ihre zu implementierenden Maßnahmen nach den am Markt verfügbaren innovativsten Maßnahmen zu orientieren.[2] Bartels/Backer verstehen darunter alle die im Waren- und Dienstleistungsverkehr verfügbaren Verfahren, Einrichtungen oder Betriebsweisen, deren Anwendung die Erreichung der jeweiligen gesetzlichen Schutzziele am wirkungsvollsten gewährleisten kann.
Um den Nachweis erbringen zu können, dass eine Maßnahme nach dem Stand der Technik implementiert wurde, reicht es nicht aus, die Maßnahme einmalig zu bewerten. Vielmehr muss diese mittels einer transparenten Methode mit den am Markt verfügbaren Alternativen in regelmäßigen Abständen verglichen werden!
[1] Vgl die Handreichung zum „Stand der Technik“ technischer und organisatorischer Maßnahmen (2019) vom Bundesverband IT-Sicherheit e.V., 11. Abrufbar unter https://www.all-about-security.de/fileadmin/micropages/Fachartikel_25/TeleTrusT-Handreichung_Stand_der_Technik.pdf (Abfrage am 4.7.2019).
[2] Vgl ErwGr 83 DSGVO.