„Persönliche Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen.“
Damit wird die Gewährleistung von Datensicherheit als zentrales Prinzip des Datenschutzrechts gesetzlich verankert. Wenn personenbezogene Daten verarbeitet werden, hat der dafür Verantwortliche unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu sicherzustellen.
Daraus ergeben sich unterschiedliche Schutzniveaus für unterschiedliche Datenanwendungen. So muss beispielsweise ein Arzt oder eine Anwaltskanzlei, die teilweise im Besitz von hochsensiblen Daten sind, mehr Geld und Zeit in den Schutz dieser Daten investieren, als ein Friseursalon, der personenbezogene Daten nur mit dem Zweck verwendet, jährlich Weihnachtskarten an seine Kunden zu verschicken.
Art 32 EU-DSGVO bietet ein paar Maßnahmen an, wie dieses Schutzniveau hergestellt werden kann. So können die Daten beispielsweise pseudonymisiert oder verschlüsselt werden. Weiters sollten die für die Verarbeitung Verantwortlichen die Fähigkeit haben, die Verfügbarkeit der Daten bei einem physischen oder technischen Zwischenfall schnell wiederherzustellen. Außerdem empfiehlt sich ein Verfahren zur regelmäßigen Kontrolle der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit und der Verarbeitung zu entwickeln. Falls das Unternehmen über ein internes Kontrollsystem verfügt, könnte dies auf die Kontrolle von Datenschutzmaßnahmen erweitert werden.
Mehr zur Sicherheit der Datenverarbeitung folgt in einem eigenen Kapitel.
Abschließend bleibt zu sagen, dass der Verantwortliche für die Einhaltung all dieser Grundsätze verantwortlich ist und dessen Einhaltung auf Verlangen nachweisen können muss. Diese Rechenschaftspflicht könnte von den Gericht zukünftig dahingehend ausgelegt werden, dass natürliche Personen, denen aufgrund einer Verletzung des Rechts auf Schutz ihrer persönlichen Daten ein Schaden entsteht, für eine Schadenersatzklage gegen den Verantwortlichen nur das Vorliegen eines Schadens nachweisen müssen. Es läge dann am Verantwortlichen zu beweisen, dass er alle rechtlichen Verpflichtungen eingehalten hat und ihn kein Verschulden trifft. Juristisch ausgedrückt kommt es zu einer Beweislastumkehr: Der Geschädigte hat nur den Schaden und die Kausalität zu beweisen, der für die Datenverarbeitung Verantwortliche muss beweisen, dass er nicht rechtswidrig und schuldhaft gehandelt hat.