DSGVO und „Stand der Technik“

Die Datenschutz-Grundverordnung (DSGVO) verwendet den Begriff „Stand der Technik“ als zentrale Anforderung für die Sicherheit der Datenverarbeitung. Dieser Begriff ist besonders relevant, wenn es um technische und organisatorische Maßnahmen (TOMs) geht, die Unternehmen ergreifen müssen, um personenbezogene Daten zu schützen.

Was bedeutet „Stand der Technik“ in der DSGVO?
- Interpretation und Bedeutung
Beispiele für den „Stand der Technik“ in der Praxis
Stand der Technik im Jahr 2025
Herausforderungen und Kritik
Fazit

Was bedeutet „Stand der Technik“ in der DSGVO?

Der Begriff „Stand der Technik“ wird in der DSGVO in Artikel 32 erwähnt, der die Sicherheit der Verarbeitung regelt. Konkret heißt es in Art. 32 Abs. 1 DSGVO:

„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.“

Der „Stand der Technik“ bedeutet, dass Unternehmen die aktuell verfügbaren, bewährten und modernen technischen Mittel einsetzen müssen, um Daten zu schützen. Es handelt sich um einen dynamischen Begriff, der sich mit der technologischen Entwicklung verändert. Er ist bewusst allgemein gehalten, um flexibel zu bleiben und Innovationen nicht zu behindern, erfordert aber von Unternehmen, stets auf dem neuesten Stand zu sein.

Interpretation und Bedeutung

Dynamik – Der „Stand der Technik“ ist keine statische Anforderung. Was 2018 als sicher galt (z. B. bestimmte Verschlüsselungsstandards), könnte 2025 veraltet sein. Unternehmen müssen regelmäßig prüfen, ob ihre Maßnahmen noch zeitgemäß sind.
Risikobasiert – Die Maßnahmen müssen dem Risiko angemessen sein. Ein Unternehmen, das sensible Gesundheitsdaten verarbeitet, muss strengere Schutzmaßnahmen ergreifen als eines, das nur Namen und E-Mail-Adressen speichert.
Kosten-Nutzen-Abwägung – Die DSGVO fordert eine Abwägung zwischen den Kosten der Maßnahmen und dem Risiko für die Betroffenen. Dennoch dürfen Unternehmen nicht an Sicherheit sparen, wenn dies das Risiko erhöht.

Beispiele für den „Stand der Technik“ in der Praxis

Um den „Stand der Technik“ zu erfüllen, müssen Unternehmen aktuelle Technologien und Best Practices anwenden. Hier einige Beispiele (Stand März 2025):

Verschlüsselung

Stand der Technik – TLS 1.3 für die Übertragung von Daten (z. B. auf Websites) ist der aktuelle Standard. Ältere Protokolle wie TLS 1.0 oder 1.1 gelten als unsicher und entsprechen nicht mehr dem Stand der Technik.
Anwendung – Websites sollten HTTPS mit TLS 1.3 verwenden. Für gespeicherte Daten (z. B. Datenbanken) ist die Verschlüsselung mit AES-256 (Advanced Encryption Standard) aktuell üblich.

Authentifizierung

Stand der Technik – Zwei-Faktor-Authentifizierung (2FA) ist Standard für den Zugang zu sensiblen Systemen. Passwörter allein gelten nicht mehr als ausreichend.
Anwendung – Mitarbeiterzugang zu internen Systemen sollte 2FA (z. B. SMS-Code, Authentifizierungs-Apps wie Google Authenticator) verwenden.

Software-Updates

Stand der Technik – Regelmäßige Updates von Software und Betriebssystemen, um bekannte Sicherheitslücken zu schließen.
Anwendung – Ein Content-Management-System (CMS) wie WordPress muss stets auf dem neuesten Stand gehalten werden, inklusive aller Plugins und Themes.

Datenspeicherung

Stand der Technik – Datenanonymisierung oder Pseudonymisierung, wenn möglich, um die Identifizierbarkeit zu minimieren.
Anwendung – Kundendaten in Datenbanken sollten pseudonymisiert werden (z. B. durch Hashing von E-Mail-Adressen), sodass sie ohne zusätzlichen Schlüssel nicht direkt zu einer Person zurückverfolgt werden können.

Webdesign und Dritte

Stand der Technik – Vermeidung von Datenübertragungen an Drittanbieter ohne Einwilligung (z. B. Google Fonts, Tracking-Tools).
Anwendung – Google Fonts sollten lokal gehostet werden, um Datenübertragungen in die USA zu vermeiden, wie in deinen vorherigen Anfragen erwähnt.

Stand der Technik im Jahr 2025

Stand März 2025 hat sich der „Stand der Technik“ weiterentwickelt, insbesondere durch neue Bedrohungen und technologische Fortschritte:

Post-Quantum-Kryptografie – Mit der fortschreitenden Entwicklung von Quantencomputern werden aktuelle Verschlüsselungsstandards wie RSA oder ECC langfristig unsicher. Unternehmen sollten sich auf Post-Quantum-Kryptografie vorbereiten, auch wenn diese noch nicht flächendeckend eingesetzt wird.
KI-gestützte Sicherheitslösungen – Der Einsatz von Künstlicher Intelligenz zur Erkennung von Cyberangriffen (z. B. Anomalieerkennung in Netzwerken) wird zunehmend Standard.
Zero Trust-Architekturen – Der Ansatz „Vertraue niemandem, überprüfe alles“ (z. B. durch ständige Authentifizierung innerhalb eines Netzwerks) ist ein moderner Standard, um Insider-Bedrohungen zu minimieren.
Datenschutz durch Design – Die DSGVO fordert „Privacy by Design“ (Art. 25), was bedeutet, dass Datenschutz von Anfang an in Systeme integriert wird. Beispielsweise sollten Webseiten standardmäßig keine Tracking-Cookies setzen, bevor der Nutzer zustimmt.

Herausforderungen und Kritik

Unklarheit des Begriffs – Der „Stand der Technik“ ist in der DSGVO nicht explizit definiert, was zu Unsicherheiten führt. Unternehmen orientieren sich oft an Branchenstandards (z. B. ISO 27001) oder Empfehlungen von Datenschutzbehörden wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI).
Kosten – Für kleine und mittelständische Unternehmen (KMU) sind die Kosten für die Implementierung moderner Technologien oft hoch, obwohl die DSGVO dies berücksichtigt.
Schnelle Entwicklung – Die rasante technologische Entwicklung macht es schwierig, den „Stand der Technik“ kontinuierlich einzuhalten. Was heute modern ist, kann in einem Jahr veraltet sein.

Fazit

Der „Stand der Technik“ in der DSGVO verpflichtet Unternehmen, stets die modernsten und bewährten technischen Mittel zum Schutz personenbezogener Daten einzusetzen. Stand März 2025 bedeutet dies z. B. den Einsatz von TLS 1.3, 2FA, regelmäßigen Updates und datenschutzfreundlichem Design. Für Unternehmen ist es entscheidend, den technologischen Fortschritt im Blick zu behalten und ihre Maßnahmen regelmäßig anzupassen, um rechtliche Risiken zu minimieren und das Vertrauen der Betroffenen zu sichern.