zu berücksichtigen und die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der
eingerichteten Systeme und Dienste sicherzustellen (Art 32 Abs 1 DS-GVO). Diese Maßnah-
men betreffen va die Verschlüsselung und Pseudonymisierung der Daten, die Fähigkeit zur
Wiederherstellung von unrechtmäßig verarbeiteten oder durch einen Zwischenfall vernich-
tete*8 Daten und ein Überprüfungsverfahren betreffend die Wirksamkeit der Maßnahmen
bzw der eingerichteten Sicherheitssysteme. Die Maßnahmen können zB in der Minimierung
der Datenverarbeitung, einer möglichst raschen Pseudonymisierung der Daten und der Er-
möglichung der Überwachung der Datenverarbeitung durch die betroffene Person bestehen.!?
Neu ist die ausdrückliche grundsätzliche Pflicht des Verantwortlichen, eine Verletzung
des Datenschutzes der zuständigen Aufsichtsbehörde unverzüglich“ mitzuteilen (Art 33
Abs 1 DS-GVO). Gleichzeitig muss er die Verletzung in jedem Fall dokumentieren (Art 33
Abs 5 DS-GVO) und auch die betroffene Person informieren, wenn die Verletzung ein hohes
Risiko für ihre persönlichen Rechte und Freiheiten zur Folge hat.*! Ob ein solches Risiko
vorliegt, ist anhand der Art, Intensität und der Zwecke der Datenverarbeitung objektiv zu be-
urteilen.®? Je intensiver und je langfristiger die Datenverarbeitung andauert (zB durch regel-
mäßige Weitergabe an einen größeren Personenkreis), umso höher ist das Risiko für eine Ver-
letzung dieser Rechte und Freiheiten. Als Hilfestellung für eine solche Beurteilung dienen
insb genehmigte Verhaltensregeln iSd Art 40 DS-GVO, welche die Anwendung der VO in
mehrerlei Hinsicht prázisieren??? und von den Mitglied- bzw EWR-Vertragsstaaten aufzustel-
len sind, sowie ebenfalls von den Mitglied- bzw EWR-Vertragsstaaten geregelte?^^ Zertifizie-
rungsverfahren zum Nachweis, dass die DS-GVO von den Verantwortlichen resp Auf-
tragsverarbeitern eingehalten wird.9? Verletzungen der Pflichten im Zusammenhang mit der
Gewáhreistung der Datensicherheit sind strafbewehrt (Art 83 Abs 4 lit a DS-GVO),
818 Vg] Feiler/Forgó, EU-DSGVO, Art 32, Rz 11.
819 Vgl Erw 78 der DS-GVO.
82 Soweit zumutbar, muss der Verantwortliche diese Mitteilung innert 72 Stunden ab Bekanntwerden der Ver-
letzung machen.
821 Diese Pflicht besteht jedoch nicht, wenn der Verantwortliche im Rahmen seiner Rechenschaftspflicht dieses
Risiko widerlegen kann, s Erw 85 der DS-GVO; zur Rechenschaftspflicht s Kapitel 7.4.9.2; vgl auch Fei-
ler/Forgó, EU-DSGVO, Art 33, Rz 1.
82 Vgl Erw 76 der DS-GVO.
82 Verhaltensregeln kónnen va die gebotene Vorgangsweise bei der fairen und transparenten Datenverarbeitung,
der Erhebung und Pseudonymisierung der Daten, der Ausübung der Rechte von betroffenen Personen sowie der
Informations- und Meldepflichten des Verantwortlichen regulieren (Art 40 Abs 2 DS-GVO).
84 S Art 42 Abs 1 DS-GVO sowie die Ermáchtigungsklausel in Art 42 Abs 2 DS-GVO.
825 Vgl Erw 77 der DS-GVO.
150