Artikel 32

Sicherheit der Verarbeitung

(1)   Unter BerĂŒcksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der UmstĂ€nde und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos fĂŒr die Rechte und Freiheiten natĂŒrlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewĂ€hrleisten; diese Maßnahmen schließen unter anderem Folgendes ein:

  • a) die Pseudonymisierung und VerschlĂŒsselung personenbezogener Daten;
  • b) die FĂ€higkeit, die Vertraulichkeit, IntegritĂ€t, VerfĂŒgbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
  • c) die FĂ€higkeit, die VerfĂŒgbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
  • d) ein Verfahren zur regelmĂ€ĂŸigen ÜberprĂŒfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur GewĂ€hrleistung der Sicherheit der Verarbeitung.
  • (2)   Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berĂŒcksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch — ob unbeabsichtigt oder unrechtmĂ€ĂŸig — Vernichtung, Verlust, VerĂ€nderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die ĂŒbermittelt, gespeichert oder auf andere Weise verarbeitet wurden.
  • (3)   Die Einhaltung genehmigter Verhaltensregeln gemĂ€ĂŸ Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemĂ€ĂŸ Artikel 42 kann als Faktor herangezogen werden, um die ErfĂŒllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.
  • (4)   Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natĂŒrliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.