Zum Schutz der personenbezogenen Daten stellt die DSGVO die Bedeutung geeigneter technischer und organisatorischer Maßnahmen heraus. Regelungen hierzu finden sich im 4. Kapitel der Verordnung.
Um die Einhaltung der Verordnung nachweisen zu können, hat der Verantwortliche interne Strategien festzulegen und Maßnahmen zu ergreifen, die insbesondere den Grundsätzen des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen Genüge tun. Neben „Privacy by Design“ und „Privacy by Default“ zählen hierzu auch die Regelungen zur Auftragsdatenverarbeitung, zu Meldungen über Datenschutzverletzungen, zur Datenschutz-Folgenabschätzung und zu den betrieblichen Datenschutzbeauftragten.
Privacy by Design
Dieser Begriff umfasst den „Datenschutz durch Technikgestaltung“ und greift den Grundgedanken auf, dass sich der Datenschutz am besten einhalten lässt, wenn er bereits bei Erarbeitung eines Datenverarbeitungsvorgangs technisch integriert ist.
Privacy by Default
„Datenschutz durch datenschutzfreundliche Voreinstellungen“ bedeutet, dass die Werkeinstellungen datenschutzfreundlich auszugestalten sind. Der Verantwortliche muss also sicherstellen, dass Standardeinstellungen darauf ausgerichtet sind, nur personenbezogene Daten zu verarbeiten, die für den konkreten Zweck auch erforderlich sind. Das betrifft den Umfang der erhobenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit.
Auftragsdatenverarbeitung
Die Regelungen zur Auftragsdatenverarbeitung orientieren sich weitgehend an der Systematik von § 11 BDSG.
Datenschutz-Folgenabschätzungen
Birgt die Art der Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der Betroffenen, muss der Verantwortliche bereits vorab eine Abschätzung der Folgen für den Schutz personenbezogener Daten durchführen.
Pflicht zur Bestellung eines Datenschutzbeauftragten
Die Pflicht zur Bestellung eines Datenschutzbeauftragten, dessen Stellung und seine Aufgaben werden über die Artikel 37 – 39 DSGVO geregelt und im BDSG-neu noch weiter konkretisiert.