Stand der Technik in der DSGVO – Begriff, Relevanz, Umsetzung

Die Datenschutz-Grundverordnung (DSGVO) führt an mehreren Stellen den Begriff „Stand der Technik“ an. Doch was ist darunter zu verstehen? Wie wichtig ist eine konkrete Definition? Was ist bei der Umsetzung des Datenschutzes im Unternehmen zu berücksichtigen? Ein Überblick mit Anwendungsbeispielen.

Das Kriterium Stand der Technik in der DSGVO

In den Abschnitten „Allgemeine Pflichten“ und „Sicherheit personenbezogener Daten“ regelt die DSGVO in den Art. 25 und 32 DSGVO, dass zum Schutz personenbezogener Daten geeignete technische und organisatorische Maßnahmen zu treffen sind. Der Stand der Technik wird dabei als eines von mehreren Kriterien genannt, anhand derer sich die Geeignetheit dieser Maßnahmen misst.

Die genannten Kriterien neben dem Stand der Technik sind:

  • Implementierungskosten
  • Art, Umfang, Umstände und Zwecke der Verarbeitung
  • die unterschiedliche Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen

Der Stand der Technik fokussiert demnach als einziges Kriterium auf die technologische Komponente bei der Einschätzung der Geeignetheit von Maßnahmen zum Schutz von personenbezogenen Daten. Was der Stand der Technik aber konkret sein soll, dazu schweigt die DSGVO. Es handelt sich um einen sogenannten unbestimmten Rechtsbegriff.

Das ist durchaus auch sinnvoll. Das Gesetz wird durch die Verwendung von Standards für technische Erkenntnisse geöffnet. Es muss nicht laufend an die wissenschaftliche und technische Entwicklung angepasst werden. Das Bundesverfassungsgericht (BVerfG) sieht darin auch eine Förderung des Grundrechtschutzes. Laut ihm würde eine gesetzliche Fixierung eines bestimmten Standards durch die Aufstellung starrer Regeln die technische Weiterentwicklung wie die ihr jeweils angemessene Sicherung der Grundrechte eher hemmen als fördern. Da es sich beim Schutz personenbezogener Daten um ein Grundrecht handelt (Art. 8 Abs. 1 der Charta der Grundrechte der Europäischen Union) ist diese Aussage hier durchaus heranziehbar, auch wenn sie keinem Urteil zum Datenschutz entstammt.

Definition und Einordung des Technikstandards

Im deutschen Recht werden neben dem Stand der Technik häufig noch die Standards „allgemein anerkannte Regeln der Technik“ und „Stand von Wissenschaft und Technik“ angeführt. Eine entsprechende dreiteilige Abstufung hat das Bundesverfassungsgericht bereits 1978 in einem Urteil etabliert (BVerfG – 2 BvL 8/77).

Diese Einteilung ordnet den Stand der Technik zwischen die allgemein anerkannten Regeln der Technik als niedrigstem Standard und dem Stand von Wissenschaft und Technik als höchstem Standard ein.

Beim Standard der allgemein anerkannten Regeln der Technik kann sich darauf beschränkt werden, die weit überwiegende Auffassung unter den technischen Praktikern zu ermitteln. Plakativ könnte man hierbei vom Altbewährten sprechen.

Durch die Verwendung des Standards Stand der Technik macht die DSGVO aber klar, dass für den Schutz personenbezogener Daten allgemeine Anerkennung und die praktische Bewährung nicht ausreichen. Vielmehr muss in die Meinungsstreitigkeiten der Techniker eingetreten werden, um zu ermitteln, was technisch notwendig, geeignet und angemessen ist.

Dabei sind die gestellten Anforderungen jedoch nicht so streng, dass die neuesten technischen und wissenschaftlichen Erkenntnisse umgesetzt werden müssen, die den Stand von Wissenschaft und Technik widerspiegeln. Im Stand der Technik soll immer noch eine gewisse Anerkennung und Bewährung in der Praxis realisierter Maßgaben wiedergefunden werden können.

Konkretes Beispiel: E-Mail-Verschlüsselung

Um diese vielleicht immer noch abstrakt gebliebene Einordung vom Stand der Technik zu verdeutlichen, veranschaulichen wir das am Thema E-Mail-Verschlüsselung:

Grundsätzlich lässt sich bei der Verschlüsselung von E-Mails zwischen Transport- und Inhalts- bzw. Ende-zu-Ende-Verschlüsselung unterscheiden.

  • Unter Transportverschlüsselung versteht man die verschlüsselte Übertragung der Nachricht zwischen zwei Endpunkten. Dabei wird nicht der Inhalt der Nachricht, sondern lediglich der Übermittlungsweg verschlüsselt. Der Nachteil dieser Methode ist, dass ein Angreifer, der die Übermittlung (z.B. durch eine Man-in-the-Middle-Attacke) abfängt, den Inhalt der Nachricht lesen kann.
  • Dagegen schützt eine Inhalts- bzw. Ende-zu-Ende-Verschlüsselung. Hier besitzen Sender und Empfänger jeweils einen Schlüssel, mit dem die Nachricht schon vor dem Versand verschlüsselt und erst beim Empfänger wieder entschlüsselt wird. Wird die Nachricht auf dem Übermittlungsweg abgefangen, kann der Angreifer nichts damit anfangen, da er den Schlüssel nicht kennt.

Folgender Vergleich gibt zwar die technische Komplexität von E-Mail-Verschlüsselung keinesfalls wieder, verdeutlicht aber die Unterschiede:

  • Unverschlüsselt wäre der Versand einer Postkarte.
  • Wird diese in einer abgeschlossenen Schatulle transportiert, liegt eine Transportverschlüsselung vor.
  • Wenn die Karte in einer Geheimschrift geschrieben wurde, die nur Sender und Empfänger kennen, liegt eine Inhaltsverschlüsselung vor.

Da immer noch viele E-Mails komplett unverschlüsselt versendet werden, wird argumentiert, dass die Verwendung von Transportverschlüsselung – i. d. R. mittels Transport Layer Security Protokoll (TLS) – noch nicht dem Stand einer allgemein anerkannten Regel der Technik entspricht. Es handelt sich deshalb um den Stand der Technik.

Dies wird sich aber ändern. So gut wie jeder Praktiker hält eine Transportverschlüsselung für erforderlich und das TLS-Protokoll ist im beruflichen Umfeld inzwischen mehr oder weniger flächendeckend implementiert. Die Verwendung einer Transportverschlüsselung im geschäftlichen E-Mail-Verkehr wird daher in absehbarer Zeit zu den allgemein anerkannten Regeln der Technik zu zählen sein.

Darüber hinaus für die sichere Übertragung auch auf eine Inhaltsverschlüsselung mittels S/MIME oder PGP zu setzen, ist definitiv noch nicht überall etablierter Standard. Es ist aber schon so praxisnah, dass man schon nicht mehr vom Stand der Forschung sprechen kann. Die Verschlüsselung auch des Inhalts von E-Mails ist demnach ebenfalls Stand der Technik.

Eine Verschlüsselung dem Stand von Wissenschaft und Technik entsprechend, wäre zum Beispiel der Einsatz von Quantenkryptographie.

Muss deshalb die Inhaltsverschlüsselung als technische Schutzmaßnahme implementiert werden, wenn personenbezogene Daten per E-Mail versendet werden? Nicht zwingend. Wie zu Beginn dieses Artikels ausgeführt, ist der Stand der Technik eines von mehreren Kriterien anhand derer sich die Geeignetheit einer technischen und organisatorischen Maßnahme zum Schutz von personenbezogenen Daten bemisst. Die anderen von der DSGVO angeführten Kriterien sind die Implementierungskosten, Art, Umfang, Umstände und Zwecke der Verarbeitung sowie Eintrittswahrscheinlichkeit und Schwere des Risikos.

Beim Beispiel der E-Mail hängen die Anforderungen an die Verschlüsselung vor allem davon ab, welche Risiken für eine natürliche Person daraus erwachsen, wenn ein Dritter die versandten Daten mitlesen könnte. Mit anderen Worten: Je brisanter der Inhalt (datenschutzrechtlich) ist, desto höher sind auch die technischen Anforderungen an die Verschlüsselung der E-Mail (Stand der Technik).

Soll also z.B. der Befund im Rahmen einer ärztlichen Untersuchung (besonders sensible personenbezogene Daten) per E-Mail verschickt werden, müssen stärkere technische Anstrengungen unternommen werden, als wenn nur normale Rechnungen (d.h. einfache personenbezogene Daten) verschickt werden sollen. Das Kriterium des Stands der Technik muss dann mehr Berücksichtigung erfahren und es gelten erhöhte Anforderungen daran. Der Arzt muss deshalb auch auf Inhaltsverschlüsselung setzten. Für den Versender einer normalen Rechnung reicht erst einmal eine Transportverschlüsselung.

Das spiegelt auch die aktuelle Meinung der Aufsichtsbehörden wider, welche für die Übermittlung personenbezogener Daten zwingend eine Transportverschlüsselung fordern und diese Anforderung, sobald es um besondere personenbezogene Daten wie etwa Gesundheitsdaten geht, auf die Verwendung von Inhaltsverschlüsselung erweitern.

Handlungshinweise zum Stand der Technik

  • Behalten Sie den Stand der Technik unbedingt im Auge. Durch die technische Weiterentwicklung kann es zum Beispiel in absehbarer Zeit heißen, dass der Stand der Technik immer die Verwendung von Inhaltsverschlüsselung zur Vorgabe macht.
  • Denken Sie an eine allgemeine Risikobewertung. Nur wer sich in einem ersten Schritt über das mit der jeweiligen Verarbeitung verbundene Risiko Gedanken gemacht hat, kann in einem zweiten Schritt über dem Risiko Rechnung tragende, angemessene Maßnahmen nachdenken.
  • Nutzen Sie Vorgaben aus dem Datenschutzrecht auch um Unternehmenswerte zu schützen. Zwar bedeutet Datenschutz in erster Linie Grundrechtsschutz, durch das Etablieren technischer Vorgaben stützen Sie darüber hinaus oftmals gleichermaßen Unternehmenswerte durch Datensicherheitsmaßnahmen.

Wenn Sie mehr zur E-Mail-Verschlüsselung erfahren möchten, finden Sie dazu einen umfangreichen Ratgeber auf unserer Website. Auch zu anderen Aspekten des technischen Datenschutz finden Sie zahlreiche Praxisratgeber, die den Stand er Technik diskutieren und anwendungsbezogen erläutern. Zu guter Letzt erfahren Sie in unserem Newsletter garantiert davon, wenn sich die aktuellen Anforderungen an den „Stand der Technik“ ändern.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

2 Kommentare

  1. Werner Christian Profilbild
    Werner Christian

    Wie kann die DSGVO eigentlich nach deutschen Rechtsdefinitionen ausgelegt werden?
    Müsste es nicht eher eine EU-Auslegung geben?

    1. Ulrich Lasser Profilbild
      Ulrich Lasser

      Sehr geehrter Herr Christian,
      vielen Dank für Ihren Kommentar. Sie haben Recht, unionsrechtliche Begriffe sind autonom vom nationalen Recht auszulegen um eine Einheitlichkeit des Rechts gewähren zu können. Der Artikel soll auch keine Auslegung dergestalt vornehmen. Vielmehr soll aufgezeigt werden, was es mit unbestimmten Rechtsbegriffen und Technikstandards auf sich hat. Dazu wird die Lage im deutschen Recht aufgezeigt. Da es sich nicht um einen akademischen Beitrag, sondern um eine Information für jeden Interessierten handelt, wird das dann, ohne näheres eingehen auf Rechtsdogmatik, vergleichend mit einem datenschutzrechtlichen Sachverhalt herangezogen – wobei sich das Ergebnis mit dem der Aufsichtsbehörden deckt.
      Wie der Begriff abschließen auszulegen ist, müsste von einem damit befassten Gericht dem EuGH vorgelegt und von diesem entschieden werden. Solange das nicht der Fall ist sollte eine Orientierung an nationalen Grundsätzen eine valide Möglichkeit darstellen, um den Begriff zu veranschaulichen. Zumal es sich bei den oben aufgezeigten Überlegungen der nationalen Gerichte um eine, auch unter Heranziehung von europarechtlichen Grundsätzen, nachvollziehbare und stimmige Argumentation handelt.

      Viele Grüße
      Ulrich Lasser
      Volljurist der activeMind

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Netiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen. Informationen zu der Verarbeitung Ihrer personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.