Kurzbeitrag : Physische Zugangsbeschränkungen als technisch-organisatorische Maßnahmen im Sinne der DS-GVO : aus der RDV 2/2024, Seite 86-90
Bei physischen Zugangsbeschränkungen handelt es sich in der Regel um physische Barrieren zum Schutz der Entwendung von Datenträgern sowie zur Verhinderung eines unberechtigten Zugriffes auf dort elektronisch gespeicherte Daten. Ob es sich dabei regelmäßig um eine technisch-organisatorische Maßnahme (sog. „TOM“) zur Herstellung der Datensicherheit handelt, bedarf einer eingehenden Prüfung, welcher sich der folgende Art. annimmt. Denn sollte es sich bei physischen Zugangsbeschränkungen – wie z.B. einer verschlossenen Tür – um eine sog. „TOM“ handeln, könnte bereits bei deren Überwindung eine datenschutzrechtliche Meldepflicht einer verantwortlichen Stelle nach Art. 33 Abs. 1 DS-GVO vorliegen.
I. Einleitung
Neben der Pseudonymisierung oder Verschlüsselung von personenbezogenen Daten werden von den verantwortlichen Stellen auch andere Maßnahmen – insbesondere physische Zugangsbeschränkungen – getroffen, um einen unberechtigten Zugriff auf personenbezogene Daten zu verhindern. Die rechtliche Verpflichtung zur Gewährleistung der Sicherheit der Datenverarbeitung von derartigen Daten ergibt sich dabei aus Art. 32 DS-GVO.[1] Welche konkreten Maßnahmen – insbesondere welche Art der Verschlüsselung von personenbezogenen Daten – von der verantwortlichen Stelle zum Zwecke der Datensicherheit zu treffen sind, wird dagegen in Art. 32 DS-GVO nicht deutlich.[2]Gleichwohl enthält Art. 32 Abs. 1 lit. a) bis d) DS-GVO eine Auflistung von Katalogmaßnahmen, die für ein angemessenes Schutzniveau herangezogen werden können, aber nicht abschließend sind.[3] Sollten entsprechende Sicherheitsmaßnahmen von Dritten umgangen werden, und resultiert heraus unmittelbar die Vernichtung, der Verlust, die Veränderung, oder eine unbefugte Offenlegung von bzw. ein unbefugter Zugang zu personenbezogenen Daten, läge eine sog. „Datenpanne“ (zu engl. „Data breach“) vor, die im Regelfall eine Meldepflicht binnen 72 Stunden an die Aufsichtsbehörde nach Art. 33 Abs. 1 DS-GVO auslöst.[4] Es handelt sich dabei um eine höchst praxisrelevante Pflicht, da alleine im Jahre 2022 21.170 sog. „Datenpannen“ gem. Art. 33 DS-GVO an die deutschen Aufsichtsbehörden übermittelt wurden.[5] Im Folgenden wird die spannende Frage erörtert, ob die Überwindung von physischen Zugangsbeschränkungen durch Dritte, wie z.B. verschlossenen Türen zu Serverräumen, bereits eine solche Meldepflicht auslöst. Dafür ist entscheidend, ob es sich bei solchen Maßnahmen überhaupt um eine technisch-organisatorische Maßnahme i.S.d. Art. 32 DS-GVO handelt, die der Sicherheit der Datenverarbeitung dient.
II. Technisch-organisatorische Maßnahmen zur Datensicherheit (Art. 32 DS-GVO) Art. 32 Abs. 1 S. 1 DS-GVO
statuiert die Pflicht des datenschutzrechtlich Verantwortlichen und Auftragsverarbeiters, geeignete technische und organisatorische Maßnahmen zu implementieren, um ein dem Missbrauchsrisiko angemessenes Schutzniveau zu gewährleisten. Denn aufgrund der vielfältigen Bedrohungslagen bedarf es Maßnahmen zur Datensicherheit, weil nur dann sicher ist, dass Daten nicht in die Hände unbefugter Dritter gelangen.[6] Auch wird erst dann das Recht gewahrt, selbst zu bestimmen, ob und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden.[7] Das Gebot reicht dementsprechend so weit, dass geeignete technische und organisatorische Maßnahmen zum einen davor schützen sollen, dass Dritte personenbezogene Daten unbefugt oder unrechtmäßig verarbeiten können, und zum anderen, dass es zu einem unbeabsichtigten Verlust, einer Vernichtung oder Veränderung der Daten kommt.[8] Dabei sind Maßnahmen zu ergreifen, die unmittelbar der Gewährleistung der Datensicherheit dienen, und ergänzend Verfahren vorzusehen, die zur Überprüfung, Bewertung und Evaluierung ihrer Wirksamkeit eingesetzt werden können.[9] Der Begriff der Datensicherheit ist in der DS-GVO nicht definiert. Zu verstehen ist unter Datensicherheit die Gesamtheit aller organisatorischen und technischen (nicht rechtlichen) Regelungen und Maßnahmen, mit denen ein unzulässiger Umgang mit personenbezogenen Daten verhindert und die Integrität sowie Verfügbarkeit der Daten und der zu deren Verarbeitung eingesetzten technischen Einrichtungen erhalten wird.[10]
Konkrete technische Maßnahmen sind dabei lediglich in Art. 32 Abs. 1 lit. a) DS-GVO mit der Pseudonymisierung und der Verschlüsselung genannt.[11] In lit. b) und c) werden auf technisch abstrakter Ebene nur Fähigkeiten genannt, die die technischen Systeme und Dienste aufweisen sollen. Lit. d) formuliert wiederum abstrakte Anforderungen an Verfahren, die nicht zwingend technisch sein müssen. Folglich kann z.B. auch eine in regelmäßigen Zeitabständen vorgesehene Kontrolle durch internes oder externes Fachpersonal oder eine Zertifizierung durch eine anerkannte Stelle als geeignetes Verfahren angesehen werden.[12]
Gleichwohl handelt es sich bei Art. 32 Abs. 1 lit. a) bis d) DS-GVO nur um Regelbeispiele, die nicht abschließend sind.[13] Somit kann die Pflicht bestehen, andere technische-organisatorische Maßnahmen zu implementieren oder zu treffen, um dem Missbrauchsrisiko von personenbezogenen Daten durch Dritte angemessen entgegenzuwirken. Folglich könnten die datenschutzrechtlich Verantwortlichen und Auftragsverarbeiter dazu verpflichtet sein, verschlossene Türen als physische Barrieren bzw. Zutrittskontrollmaßnahmen für einen lokalen Datenträger als Datensicherheitsmaßnahme zu schaffen.
Hier könnte jedoch problematisch sein, dass verschlossene Türen als physische Barrieren nicht zwingend nur dem Schutz der Integrität und Vertraulichkeit von personenbezogenen Daten dienen, sondern auch einzig den Zweck verfolgen können, vor unberechtigten Zugang durch Unbefugte zu Räumen, z.B. zur Wahrung von Geschäftsgeheimnissen oder vor Diebstahl von wertvollen Gegenständen, zu schützen. Somit ist im Einzelfall zu prüfen, welchem Widmungszweck, der anhand objektiver Kriterien zu bestimmen ist, die verschlossene Tür bzw. physische Barriere zugrunde liegen würde. Folglich wäre entscheidend, ob die Implementierung der Tür, die eine physische Barriere zu einem lokalen Datenträger darstellt, objektiv den Zweck verfolgen würde, unmittelbar vor einer unberechtigten Offenlegung oder einem unberechtigten Zugang zu den auf dem Datenträger gespeicherten Daten und/oder vor Verlust, Veränderung sowie Vernichtung von Daten schützen soll, wobei der Schwerpunkt der Maßnahme maßgeblich wäre. Zugleich wäre für die Verpflichtung relevant, ob die auf dem lokalen Datenträger abgespeicherten personenbezogenen Daten zusätzlich durch weitere technische-organisatorische Maßnahmen geschützt werden (z.B. durch eine Verschlüsselung oder durch eine Zugriffskontrolle durch PIN).
Eine verschlossene Tür zum Serverraum kann somit im Ergebnis eine technisch-organisatorische Maßnahme zum Zwecke der Datensicherheit oder nur eine allgemeine Sicherheitsmaßnahme darstellen. Entscheidend sind die objektiven Umstände, die den Rückschluss zulassen, dass die physische Barriere oder Tür schwerpunktmäßig der Sicherheit der Datenverarbeitung und nicht nur der allgemeinen Sicherheit dienen soll. Weitere technische-organisatorische Maßnahmen über die verschlossene Tür bzw. physische Barriere hinaus – z.B. eine zusätzliche Verschlüsselung der in dem Raum befindlichen Daten – sprechen dabei in der Regel dafür, dass überwiegend der Zweck verfolgt wird, vor Diebstahl, Vandalismus oder unberechtigten Zutritt des Raumes durch Dritte zu schützen. Gleichwohl hängt dies auch von der Beschaffenheit der lokalen Datenträger ab. Denn leichte, kleine Datenträger lassen sich leicht entwenden und schwere, sperrige Datenträger – wie z.B. Server – sind in der Regel nur unter erschwerten Bedingungen mitnahmefähig. Im letzteren Fall dürfte davon ausgegangen werden, dass die physische Barriere nur mittelbar bzw. nebensächlich dem Schutz vor unberechtigten Zugriff durch Dritte auf den auf lokalen Datenträgern gespeicherten Daten dient, wenn die Daten auf den Servern noch zusätzlich verschlüsselt wurden.
Zusammenfassend kann somit festgehalten werden, dass physische Zugangsbeschränkungen – wie z.B. Türen – nur dann schwerpunktmäßig der Sicherheit der Datenverarbeitung (z.B. Speicherung von personenbezogenen Daten auf lokalen Servern) dienen, wenn sie anhand objektiver Umstände primär den Zweck verfolgen, die Integrität und Vertraulichkeit personenbezogener Daten zu schützen. Dies ist insbesondere dann der Fall, wenn die physische Zugangsbeschränkung das einzige bzw. letzte Hindernis darstellt, um z.B. den unberechtigten Zugriff zu Daten zu erlangen und darüber hinaus kein weiterer, anderer Zweck dieser Zugangsbeschränkung ersichtlich ist. Stützend heranzuziehen ist hierzu die Definition der Verletzung des Schutzes personenbezogener Daten nach Art. 4 Nr. 12 DS-GVO. Danach liegt eine Datenschutzverletzung nur dann vor, wenn eine Verletzung der Datensicherheit, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden. Der Eintritt eines der vorgenannten Verletzungserfolge setzt voraus, dass es sich bei der überwundenen Datensicherheitsmaßnahme um das letzte Hindernis handelt. Andernfalls kann es denklogisch zu keinem Verletzungserfolg kommen.
Sollten die jeweiligen Daten zusätzlich noch durch eine weitere technisch-organisatorische Maßnahme in geeigneter Weise und angemessen geschützt sein, wird die physische Zugangsbeschränkung regelmäßig schwerpunktmäßig allgemeinen Sicherheitszwecken dienen und müsste dadurch auch nicht von der verantwortlichen Stelle als technisch-organisatorische Maßnahme im Verzeichnis der Verarbeitungstätigkeiten gem. Art. 30 Abs. 1 lit. g) DS-GVO dokumentiert werden. Im Übrigen dürften physische Zugangsbeschränkungen regelmäßig auch dann nicht der Sicherheit der Datenverarbeitung dienen, wenn sie primär alleine dem Diebstahlschutz von wertvollen Gegenständen bezwecken. Somit hängt es vom Einzelfall ab, ob die jeweils Verpflichteten physische Barrieren schaffen müssen, um den Zugang zu Daten zu verhindern.
Abhängig von dem jeweiligen Ergebnis, ob die physische Barriere als Datensicherheitsmaßnahme verpflichtend hätte implementiert werden müssen, bestünde sowohl bei fehlender Implementierung als auch bei Überwindung dieser Barriere und einer daraus unmittelbar resultierenden Verletzung des Integrität- und Vertraulichkeitsschutzes personenbezogener Daten regelmäßig eine Meldepflicht nach Art. 33 DS-GVO – es sei denn, dass kein Risiko für die Rechte und Freiheiten natürlichen Personen vorliegt – da in beiden Fällen eine Verletzung der Datensicherheit unabhängig von einer etwaigen weiteren Verschlüsselung bereits eingetreten wäre.
III. Geeignetheit von sog. „TOMs“
Die Geeignetheit der technisch-organisatorischen Maßnahmen ist vom jeweiligen Missbrauchsrisiko abhängig, sodass, ausgerichtet an den Umständen des Einzelfalls, die Maßnahmen zu treffen sind, die geeignet sind, die Risiken der betroffenen Personen zu minimieren, wobei der Verhältnismäßigkeitsgrundsatz gilt.[14]Im Rahmen der Verhältnismäßigkeit sind der Stand der Technik, die Implementierungskosten, die Art, der Umfang, die Umstände und Zwecke der Verarbeitung sowie unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen.[15]
Unter „Stand der Technik“ ist nicht die absolut beste und leistungsfähigste Technologie zum Zeitpunkt der Verhältnismäßigkeitsprüfung gemeint, sondern vielmehr bekannte, bewährte und effektive Maßnahmen, die derzeit auf dem Markt verfügbar sind.[16]
Die Implementierungskosten orientieren sich am wirtschaftlich Zumutbaren, wobei Datensicherheitsmaßnahmen grundsätzlich als verhältnismäßig und geboten erachtet werden, sodass insbesondere nicht allein aufgrund des Umstandes, dass die Implementierungskosten höher sind als der potenzielle Schaden, der mit den Risiken einhergeht, auf derartige Maßnahmen verzichtet werden kann.[17] Gleichwohl sind höhere Implementierungskosten für die Umsetzung technischer Maßnahmen wirtschaftlich zumutbar je höher das Risiko der Datenverarbeitung eingestuft wird.[18]
Hinsichtlich der Art der Datenverarbeitung wird auf die Typisierung des Verarbeitungsvorgangs (Erheben, Erfassen, Übermitteln, Ordnen, Speichern, Löschen oder Vernichten) unter Einbeziehung der Datenkategorie (vgl. Art. 6, 9 DS-GVO) abgestellt.[19]
Die Umstände der Datenverarbeitung beschreiben die näheren Modalitäten und beziehen sich folglich auf die konkrete Umsetzung bzw. die Mittel der Datenverarbeitung.[20]
Ferner sind die Verarbeitungszwecke, wie z.B. der Zweck der Erfüllung des Vertrags (Art. 6 Abs. 1 lit. b), Zwecke der Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe oder der Ausübung öffentlicher Gewalt (Art. 6 Abs. 1 lit. e) oder Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, zu berücksichtigen.[21]
Im Übrigen bestimmt sich das Schutzniveau, welches der Pflichtige einzuhalten hat, nach dem Risiko für die Rechte und Freiheiten natürlicher Personen, wobei zwei Faktoren – die mögliche Schadensschwere und die „Eintrittswahrscheinlichkeit“ des (ungewissen) Verletzungsereignisses – maßgeblich sind.[22] Dabei gilt, dass je sensibler die Daten der Grundrechtsträger sind, welche die Verarbeitung betrifft, desto größer ist tendenziell die mögliche Schadensschwere und umso umfassendere Maßnahmen der Datensicherheit verlangt Art. 32 DS-GVO den Normadressaten im Einzelfall ab.[23] Letztendlich handelt es sich dabei um eine (grund-) rechtsbezogene Prognoseentscheidung.[24]
Unter Berücksichtigung der obigen Ausführungen handelt es sich bei physischen Barrieren wie z.B. Türen regelmäßig um Maßnahmen, die dem Stand der Technik entsprechen und wirtschaftlich zumutbar sind. Einzig die Prognoseentscheidung sowie Art, Umstand und Zweck der Datenverarbeitung hängen vom Einzelfall ab. Gleichwohl dürfte eine physische Barriere regelmäßig eine geeignete technisch-organisatorische Maßnahme zur Risikominimierung darstellen, sofern sie der Datensicherheit dient.[25]
IV. Angemessenes Schutzniveau (Art. 32 Abs. 2 DS-GVO)
Bei der Beurteilung des angemessenen Schutzniveaus sind nach Art. 32 Abs. 2 DS-GVO die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von bzw. unbefugtem Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden. Eine Vernichtung ist anzunehmen, sobald der Informationsgehalt personenbezogener Daten unwiederbringlich verloren ist, etwa durch physische Zerstörung eines Datenträgers oder einer irreversiblen Datenlöschung.[26]
Ein Verlust personenbezogener Daten liegt im Gegensatz zur Vernichtung dann vor, wenn personenbezogene Daten und deren Informationsgehalt ungeplant nicht zur Verfügung stehen.[27] Auch eine nur vorübergehend fehlende Zugriffsmöglichkeit auf personenbezogene Daten ist als Verlust zu verstehen, da jedenfalls im Zeitpunkt, in dem die Daten ungeplant nicht zur Verfügung stehen, durch eine verantwortliche Stelle regelmäßig nicht bewertet werden können dürfte, ob die fehlende Zugriffsmöglichkeit nur vorübergehend ist und auch ein nur für möglich gehaltenes Risiko einer Aufsichtsbehörde gem. Art. 33 Abs. 1 DS-GVO zu melden ist. Eine Veränderung ist immer dann anzunehmen, wenn der Informationsgehalt von Daten modifiziert wurde und damit nicht mehr unversehrt ist.[28]
Eine unbefugte Kenntnisnahme kann entweder durch eine unbefugte Offenlegung von personenbezogenen Daten oder durch einen unbefugten Zugang zu personenbezogenen Daten vorliegen.[29] Das Merkmal der unbefugten Kenntnisnahme ist erfüllt, wenn eine tatsächliche Einsichtnahme erfolgt.[30] Zudem wird in Teilen der Literatur auch angenommen, dass, wenn die bloße Möglichkeit zum Abruf der von der verantwortlichen Stelle bereitgehaltenen Daten erfolgt, eine unbefugte Kenntnisnahme vorliegt, sodass unerheblich wäre, ob der Abruf tatsächlich erfolgte.[31] Überzeugender erscheint jedoch eine unbefugte Kenntnisnahme in den Fällen abzulehnen, in denen zwar temporär eine Zugriffsmöglichkeit bestand, ein Zugriff nachweislich jedoch nicht erfolgte. Die Nachweiserbringung könnte etwa durch die Auswertung von Log-Files erfolgen, soweit für die Verarbeitung dieser durch die verantwortliche Stelle eine Rechtsgrundlage vorliegt.
Sofern eine physische Zugangsbarriere als technisch-organisatorische Maßnahme eingestuft werden sollte (siehe dazu vorstehend), kann es sich dabei je nach Einzelfall um eine angemessene Maßnahme handeln, die den vorgenannten Risiken ausreichend vorbeugt. So schützt die physische Zugangsbarriere, die vor einen Datenträger angebracht wird, vor der Vernichtung und dem Verlust personenbezogener Daten. Mittelbar schützt eine solche Zugangsbarriere aber auch vor einer Veränderung und unbefugten Kenntnisnahme, da eine Veränderung oder Kenntnisnahme personenbezogener Daten auch dann erfolgen kann, wenn physisch auf den Datenträger, z.B. unter Verwendung eines mit einer Schnittstelle verbundenen Endgerätes und auf die auf dem Datenträger befindlichen personenbezogenen Daten zugegriffen wird.
Bei Letzterem dürfte jedoch vorzugswürdig sein, dass es sich bei einer (ausschließlich) physischen Barriere regelmäßig nicht um ein angemessenes Schutzniveau für auf einem Datenträger gespeicherte personenbezogenen Daten handelt. Denn üblicherweise dürfte eine Verbindung des Datenträgers bzw. des dazugehörigen Servers zum Internet bestehen, sodass auch fernab des tatsächlichen Aufenthaltsortes eine Veränderung oder der Zugriff auf die auf dem Datenträger gespeicherten personenbezogenen Daten möglich ist. Zur Reduktion des Risikos einer Veränderung und einer unbefugten Kenntnisnahme wäre daher regelmäßig die Verwendung einer dem Stand der Technik entsprechenden Verschlüsselung zusätzlich erforderlich, um ein angemessenes Schutzniveau zu erreichen. Handelt es sich im Gegensatz dazu um auf einem analogen Datenträger gespeicherte Daten, wie z.B. einer Papierakte, so stellt mangels Zugriffsmöglichkeit aus dem Internet heraus eine physische Barriere eine geeignete Maßnahme zur Erreichung eines angemessenen Schutzniveaus dar.
V. Meldepflicht (Art. 33 DS‑GVO)
Kommt es zu einer Datenschutzverletzung im Sinne von Art. 4 Nr. 12 DS-GVO, meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nach dem ihm die Verletzung bekannt wurde, diese der gem. Art. 55 DS-GVO zuständigen Aufsichtsbehörde, es sei denn, dass die Datenschutzverletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
In Bezug auf eine physische Barriere, welche mit dem Zweck, der Datensicherheit unmittelbar zu dienen und damit den Risiken einer Vernichtung, Veränderung, unbefugten Offenlegung von bzw. unbefugtem Zugang zu personenbezogenen Daten entgegenwirken soll, liegt eine Datenschutzverletzung erst dann vor, wenn die Überwindung der physischen Barriere bzw. erst der Umstand, dass diese physische Barriere fehlt und keine andere geeignete und angemessene Datensicherheitsmaßnahme von der verantwortlichen Stelle implementiert werden konnte, kausal für die Verwirklichung eines der vorgenannten Risiken ist.
Ob das Eindringen in einen Serverraum unter Überwindung einer zum Zwecke der Datensicherheit gebauten Tür als Zugangsbarriere als Datenschutzverletzung zu sehen ist, hängt daher maßgeblich davon ab, ob allein durch diese Überwindung sich eines der vorgenannten Risiken realisiert. Befindet sich ein lokaler Datenträger innerhalb eines zusätzlich geschaffenen räumlichen Schutzes, wie z.B. hinter einer weiteren Tür und wird diese Tür nicht überwunden, resultiert aus der Überwindung der ersten Zugangsbarriere weder eine Vernichtung oder Veränderung, noch eine unberechtigte Kenntnisnahme der auf dem lokalen Datenträger gespeicherten personenbezogenen Daten. Würde die überwundene Tür jedoch das letzte physische Hindernis darstellen, wäre der lokale Datenträger – je nach konkreter Beschaffenheit – nicht mehr vor einem Diebstahl geschützt, sodass in dem Falle, dass kein Back-Up der auf dem Datenträger gespeicherten personenbezogenen Daten erstellt wurde und der Datenträger entwendet wird, jedenfalls ein Verlust der personenbezogenen Daten anzunehmen wäre. Es könnte dann auch dahinstehen, ob die auf dem Datenträger enthaltenen personenbezogenen Daten nach dem Stand der Technik verschlüsselt sind. Zwar würde eine Datensicherheitsmaßnahme vorliegen, die vor einer unberechtigten Kenntnisnahme der personenbezogenen Daten oder vor einer Veränderung durch den Dritten schützen würde. Diese kann jedoch im konkreten Fall nicht vor dem Risiko des Verlustes schützen.
VI. Fazit
Im Ergebnis dürfte festzuhalten sein, dass physische Barrieren als Zugangsbeschränkungen nicht immer unmittelbar der Datensicherheit als technisch-organisatorische Maßnahme dienen, sondern deren Zweck oftmals im Diebstahlschutz oder Schutz vor unberechtigtem Zutritt liegt.
Letztendlich bedarf es jedoch bei jeder physischen Barriere einer Einzelfallprüfung dahingehend, ob es sich bei dieser um eine Maßnahme handelt, die überwiegend der Datensicherheit dient.
Dafür kann unter anderem entscheidend sein, ob die Barriere das letzte Hindernis zum Zugang zu elektronisch oder analog verarbeiteten personenbezogenen Daten darstellt.
In die Prüfung ist ebenso einzubeziehen, ob die Zugangsbeschränkung überwiegend dem Diebstahl von lokalen Datenträgern, auf denen personenbezogene Daten gespeichert sind, dient. Hierfür kommt es auch auf deren Beschaffenheit an, da gewichtige Server im Gegensatz zu leichten Festplatten in der Regel nicht gestohlen werden dürften. Auch eine zusätzliche Verschlüsselung der Daten trotz bestehender Zugangsbeschränkung kann dafür sprechen, dass eine physische Barriere vorwiegend nicht der Datensicherheit dient. Gleichwohl ist auch dort zu berücksichtigen, inwiefern eine anderweitige Speicherung (z.B. Cloud-Lösung) der Daten erfolgt, da bei einem Diebstahl von Datenträgern ein Verlust der Daten droht und dies lediglich durch die physische Barriere verhindert werden würde.
Schlussendlich kann eine physische Zugangsbeschränkung jedoch nicht per se als notwendige technisch-organisatorische Maßnahme angenommen oder ausgeschlossen werden, sodass es wie bei allen anderen in Betracht kommenden technischen und organisatorischen Maßnahmen stets einer Einzelfallprüfung der Geeignetheit und Angemessenheit der Maßnahmen durch die verantwortliche Stelle bedarf, bevor eine Verarbeitung personenbezogener Daten vorgenommen wird. Andernfalls kann die verantwortliche Stelle ihrer Dokumentationspflicht aus Art. 30 Abs. 1 lit. g) DS-GVO und der Nachweispflicht aus Art. 24 Abs. 1 S. 1 DS-GVO nicht nachkommen.
* Dr. Alexander Bleckat ist als Staatsanwalt bei der Staatsanwaltschaft Verden im Bereich des Wirtschaftsstrafrechts tätig. Marec Hampel ist Rechtsanwalt mit Beratungsschwerpunkt im Datenschutzrecht
[1] Kühling/Buchner/Jandt, 4. Aufl. 2024, DS-GVO, Art. 32, Rn. 4
[2] Gola/Heckmann/Piltz, 3. Aufl. 2022, DS-GVO, Art. 32, Rn. 23, 27.
[3] Kühling/Buchner/Jandt, 4. Aufl. 2024, DS-GVO, Art. 32, Rn. 14; Gola/Heckmann/Piltz, 3. Aufl. 2022, DS-GVO, Art. 32, Rn. 23, 25.
[4] WHWS Arbeitnehmerdatenschutz/Wächter, 2. Aufl., Teil A. XII. Transparenzpflichten und Informationsrechte im Datenmarkt, Rn. 143.
[5]Https://www.DS-GVO-portal.de/news/rueckblick_DS-GVO-bussgeldverfahren_und_datenpannen_2022.php (Abgerufen am 03.12.2023).
[6] Paal/Pauly/Martini, 3. Aufl. 2021, DS-GVO, Art. 32, Rn. 1a.
[7] Paal/Pauly/Martini, 3. Aufl. 2021, DS-GVO, Art. 32, Rn. 1a.
[8] Paal/Pauly/Martini, 3. Aufl. 2021, DS-GVO, Art. 32, Rn. 2
[9] Kühling/Buchner/Jandt, 4. Aufl. 2024, DS-GVO, Art. 32, Rn. 15
[10] Kühling/Buchner/ Jandt, 4. Aufl. 2024, DS-GVO, Art. 4, Rn. 5.
[11] Kühling/Buchner/Jandt, 4. Aufl. 2024, DS-GVO, Art. 32, Rn. 16.
[12] Kühling/Buchner/Jandt, 4. Aufl. 2024, DS-GVO, Art. 32, Rn. 16.
[13] Sydow/Marsch DS-GVO/BDSG/Mantz, 3. Aufl. 2022, DS-GVO, Art. 32, Rn. 9.
[14] Spindler/Schuster/Laue, 4. Aufl. 2019, DS-GVO, Art. 32, Rn. 3.
[15] Spindler/Schuster/Laue, 4. Aufl. 2019, DS-GVO, Art. 32, Rn. 4
[16] Gola/Heckmann/Piltz, 3. Aufl. 2022, DS-GVO Art. 32, Rn. 18; Paal/Pauly/Martini, DS-GVO, 3. Aufl. 2021, Art. 32, Rn. 56a; Kühling/Buchner/Jandt, 4. Aufl. 2024, DS-GVO, Art. 32, Rn. 10.
[17] Paal/Pauly/Martini, DS-GVO, 3. Aufl. 2021, Art. 32, Rn. 60.
[18] Kühling/Buchner/Jandt, 4. Aufl. 2024, DS-GVO, Art. 32, Rn. 11.
[19] Kühling/Buchner/Jandt, 4. Aufl. 2024, DS-GVO, Art. 32, Rn. 12
[20] Kühling/Buchner/Jandt, 4. Aufl. 2024, DS-GVO, Art. 32, Rn. 12
[21] Kühling/Buchner/Jandt, 4. Aufl. 2024, DS-GVO, Art. 32, Rn. 12.
[22] Paal/Pauly/Martini, DS-GVO, 3. Aufl. 2021, Art. 32, Rn. 50.
[23] Ehmann/Selmayr/Hladjk, 2. Aufl. 2018, DS-GVO, Art. 32, Rn. 4; Paal/Pauly/Martini, DS-GVO, 3. Aufl. 2021, Art. 32, Rn. 51; Veil, ZD 2015, 347, 351.
[24] Kühling/Buchner/Jandt, 4. Aufl. 2024, DS-GVO, Art. 32, Rn. 13.
[25] Siehe dazu unter II.
[26] Gola/Heckmann/Reif, 3. Aufl. 2022, DS-GVO, Art. 33, Rn. 32; Taeger/Gabel/Arning/Rothkegel, DS-GVO, 4. Aufl. 2022, Rn. 374
[27] Gola/Heckmann/Reif, 3. Aufl. 2022, DS-GVO, Art. 33, Rn. 33
[28] Kühling/Buchner/ Jandt, 4. Aufl. 2024, DS-GVO, Art. 4, Rn. 7; Taeger/Gabel/Arning/Rothkegel, DS-GVO, 4. Aufl. 2022, Rn. 376.
[29] Kühling/Buchner/ Jandt, 4. Aufl. 2024, DS-GVO, Art. 4, Rn. 8a
[30] Taeger/Gabel/Arning/Rothkegel, DS-GVO, 4. Aufl. 2022, Rn. 376
[31] Taeger/Gabel/Arning/Rothkegel, DS-GVO, 4. Aufl. 2022, Rn. 379.