Warnung: Dieser Gesetzestext ist möglicherweise veraltet, da der Inhalt nicht aktiv gepflegt wird. Bitte prüfen Sie die offiziellen Quellen.

DSGVO Art. 32 Sicherheit der Verarbeitung

VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES — vom 27. April 2016 — zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Gru

(1)   Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:

a)

die Pseudonymisierung und Verschlüsselung personenbezogener Daten;

b)

die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;

c)

die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;

d)

ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

(2)   Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch — ob unbeabsichtigt oder unrechtmäßig — Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.

(3)   Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.

(4)   Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.

Referenzen

Dieses Dokument enthält keine Referenzen.

Zitiert von
Schlussantrag des Generalanwalts vom Europäischer Gerichtshof - C-967/25
11. Dezember 2025
C-967/25 11. Dezember 2025
Urteil vom Kammergericht (5. Zivilsenat) - 5 UKl 10/25
18. November 2025
5 UKl 10/25 18. November 2025
Urteil vom Bundesgerichtshof - VI ZR 396/24
11. November 2025
VI ZR 396/24 11. November 2025
Beschluss vom Landessozialgericht Baden-Württemberg (8. Senat) - L 8 R 3009/25 ER-B
22. Oktober 2025
L 8 R 3009/25 ER-B 22. Oktober 2025
Urteil vom Bundesgerichtshof - VI ZR 426/24
29. Juli 2025
VI ZR 426/24 29. Juli 2025
EuGH-Vorlage vom Bundesgerichtshof - VI ZR 53/23
6. Mai 2025
VI ZR 53/23 6. Mai 2025
Urteil vom Schleswig-Holsteinisches Oberlandesgericht (5. Zivilsenat) - 5 U 59/23
24. April 2025
5 U 59/23 24. April 2025
Urteil vom Schleswig-Holsteinisches Oberlandesgericht (5. Zivilsenat) - 5 U 99/23
10. April 2025
5 U 99/23 10. April 2025
Urteil vom Schleswig-Holsteinisches Oberlandesgericht (5. Zivilsenat) - 5 U 61/23
27. März 2025
5 U 61/23 27. März 2025
Urteil vom Schleswig-Holsteinisches Oberlandesgericht (5. Zivilsenat) - 5 U 101/23
20. März 2025
5 U 101/23 20. März 2025