zu berücksichtigen und die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der 
eingerichteten Systeme und Dienste sicherzustellen (Art 32 Abs 1 DS-GVO). Diese Maßnah- 
men betreffen va die Verschlüsselung und Pseudonymisierung der Daten, die Fähigkeit zur 
Wiederherstellung von unrechtmäßig verarbeiteten oder durch einen Zwischenfall vernich- 
tete*8 Daten und ein Überprüfungsverfahren betreffend die Wirksamkeit der Maßnahmen 
bzw der eingerichteten Sicherheitssysteme. Die Maßnahmen können zB in der Minimierung 
der Datenverarbeitung, einer möglichst raschen Pseudonymisierung der Daten und der Er- 
möglichung der Überwachung der Datenverarbeitung durch die betroffene Person bestehen.!? 
Neu ist die ausdrückliche grundsätzliche Pflicht des Verantwortlichen, eine Verletzung 
des Datenschutzes der zuständigen Aufsichtsbehörde unverzüglich“ mitzuteilen (Art 33 
Abs 1 DS-GVO). Gleichzeitig muss er die Verletzung in jedem Fall dokumentieren (Art 33 
Abs 5 DS-GVO) und auch die betroffene Person informieren, wenn die Verletzung ein hohes 
Risiko für ihre persönlichen Rechte und Freiheiten zur Folge hat.*! Ob ein solches Risiko 
vorliegt, ist anhand der Art, Intensität und der Zwecke der Datenverarbeitung objektiv zu be- 
urteilen.®? Je intensiver und je langfristiger die Datenverarbeitung andauert (zB durch regel- 
mäßige Weitergabe an einen größeren Personenkreis), umso höher ist das Risiko für eine Ver- 
letzung dieser Rechte und Freiheiten. Als Hilfestellung für eine solche Beurteilung dienen 
insb genehmigte Verhaltensregeln iSd Art 40 DS-GVO, welche die Anwendung der VO in 
mehrerlei Hinsicht prázisieren??? und von den Mitglied- bzw EWR-Vertragsstaaten aufzustel- 
len sind, sowie ebenfalls von den Mitglied- bzw EWR-Vertragsstaaten geregelte?^^ Zertifizie- 
rungsverfahren zum Nachweis, dass die DS-GVO von den Verantwortlichen resp Auf- 
tragsverarbeitern eingehalten wird.9? Verletzungen der Pflichten im Zusammenhang mit der 
Gewáhreistung der Datensicherheit sind strafbewehrt (Art 83 Abs 4 lit a DS-GVO), 
  
818 Vg] Feiler/Forgó, EU-DSGVO, Art 32, Rz 11. 
819 Vgl Erw 78 der DS-GVO. 
82 Soweit zumutbar, muss der Verantwortliche diese Mitteilung innert 72 Stunden ab Bekanntwerden der Ver- 
letzung machen. 
821 Diese Pflicht besteht jedoch nicht, wenn der Verantwortliche im Rahmen seiner Rechenschaftspflicht dieses 
Risiko widerlegen kann, s Erw 85 der DS-GVO; zur Rechenschaftspflicht s Kapitel 7.4.9.2; vgl auch Fei- 
ler/Forgó, EU-DSGVO, Art 33, Rz 1. 
82 Vgl Erw 76 der DS-GVO. 
82 Verhaltensregeln kónnen va die gebotene Vorgangsweise bei der fairen und transparenten Datenverarbeitung, 
der Erhebung und Pseudonymisierung der Daten, der Ausübung der Rechte von betroffenen Personen sowie der 
Informations- und Meldepflichten des Verantwortlichen regulieren (Art 40 Abs 2 DS-GVO). 
84 S Art 42 Abs 1 DS-GVO sowie die Ermáchtigungsklausel in Art 42 Abs 2 DS-GVO. 
825 Vgl Erw 77 der DS-GVO. 
150
        

Nutzerhinweis

Sehr geehrte Benutzer,

aufgrund der aktuellen Entwicklungen in der Webtechnologie, die im Goobi viewer verwendet wird, unterstützt die Software den von Ihnen verwendeten Browser nicht mehr.

Bitte benutzen Sie einen der folgenden Browser, um diese Seite korrekt darstellen zu können.

Vielen Dank für Ihr Verständnis.