In der DSGVO und in anderen Regelungen wie dem Bundesdatenschutzgesetz und dem IT-Sicherheitsgesetz findet sich anstelle konkreter Maßnahmen, wie denn IT-Systeme oder personenbezogene Daten zu schützen sind, die Formulierung „Stand der Technik“. Häufig sind Ziele angegeben, die zu erreichen sind, aber sehr selten, welche Maßnahmen ergriffen oder Verfahren genutzt werden sollen. In der DSGVO sind beispielsweise Pseudonymisierung und Verschlüsselung die einzigen Verfahren, die beim Namen genannt werden. Aber das war es dann auch schon. Sie erfahren nämlich beispielsweise nicht, welchen Algorithmus Sie verwenden oder ob Sie symmetrisch oder asymmetrisch verschlüsseln sollen. Am Ende sind Sie wieder beim Stand der Technik angekommen.
Was ist nun der „Stand der Technik“? Zunächst einmal gehört der Begriff zu den „Technikklauseln“. Sie werden als Platzhalter in Verträgen, Vorschriften und Gesetzen verwendet, beschreiben das Niveau der Fortschrittlichkeit von Maßnahmen und Verfahren und verweisen auf Regelungen, die sich der technischen Entwicklung schneller anpassen lassen als ein Vertrags- oder Gesetzestext. Enthielte die DSGVO konkrete Angaben zu Maßnahmen, müsste sie fortlaufend ergänzt bzw. überarbeitet werden und würde weder der Vielfalt an zielführenden Verfahren noch den unterschiedlichen Voraussetzungen der Unternehmen gerecht. Wie schnell sich technische Verfahren ändern, können Sie am Beispiel Virenschutz sehen. Vor einigen Jahren gab es Diskussionen, ob man Virenschutzlösungen überhaupt braucht, und heute geht es um künstliche Intelligenz und Quantencomputer zur Abwehr von Bedrohungen.
In Deutschland werden drei Technikklauseln verwendet:
- Allgemein anerkannte Regeln der Technik: Das sind Regeln, die sich „in der Praxis allgemein bewährt“ haben und nach der herrschenden Auffassung „von Fachleuten und Anwendern“ geeignet sind, das Ziel zu erreichen.
- Stand der Technik: Er beschreibt den Entwicklungsstand fortschrittlicher Verfahren. Sie haben sich „in der Praxis bewährt“ und lassen es nach der herrschenden Einschätzung „führender Fachleute“ als gesichert erscheinen, dass das vorgegebene Ziel erreicht wird.
- Stand von Wissenschaft und Technik: Er geht über den Stand der Technik hinaus und bezieht sich auf Verfahren, die durch „führende Fachleute aus Wissenschaft und Technik“ anerkannt sind und nach „wissenschaftlicher Erkenntnis“ für geeignet gehalten werden, um das Ziel zu erreichen.
Technikklauseln sind in sämtlichen Wirtschaftsbereichen gang und gäbe. Was jeweils konkret unter den Klauseln zu verstehen ist, hängt von der Branche ab und wird inhaltlich von den jeweiligen Branchenverbänden gefüllt. Für die IT hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit dem IT-Grundschutz eine Basis geschaffen. Für die Bestimmung des aktuellen Standes der Technik verweist das BSI auf bestehende nationale oder internationale Standards und Normen wie DIN, ISO, DKE, ISO/IEC oder auf branchenspezifische Best Practices. Daneben gibt das BSI Mindeststandards heraus sowie technische Richtlinien. Auch wenn nicht jedes der Hilfsmittel speziell für Unternehmen entwickelt wurde, da zu den Arbeitsschwerpunkten des BSI die Entwicklung von Standards für die Bundesverwaltung gehört, so können sie doch ebenso von Unternehmen zur Orientierung und für konkrete Hinweise genutzt werden. Auch der Bundesverband IT-Sicherheit e. V. – TeleTrusT hat sich um den Stand der Technik verdient gemacht. Die auf das IT-Sicherheitsgesetz zugeschnittene Handreichung von 2016 kann auch im Hinblick auf die DSGVO Hilfestellung geben. Die Webseite der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BFDI) bietet ebenfalls technische Orientierungshilfen.
Und nicht zuletzt unterstützt Sie Ihr IT-Dienstleister bei der Beurteilung, welche Technologien und Verfahren dem Stand der Technik entsprechen und im Hinblick auf die DSGVO notwendig sind, um die Risiken zu verringern, denen die personenbezogenen Daten in Ihrem Unternehmen ausgesetzt sind.