§ 4 Rechtsgrundlagen der Verarbeitung / 4. Besondere Schutzvorkehrungen im Rahmen der Verarbeitung besonderer Kategorien personenbezogener Daten, § 22 Abs. 2 BDSG-Neu

Rz. 313

Nach § 22 Abs. 2 BDSG-Neu hat jeder Verantwortlichen der besondere Kategorien personenbezogener Daten auf Grundlage der in § 22 Abs. 1 BDSG-Neu geregelten Bestimmungen verarbeitet, im Rahmen der Verarbeitung angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen und umzusetzen (§ 22 Abs. 2 S. 1 BDSG-Neu). Die erforderlichen Maßnahmen sind "unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen" zu bestimmen (§ 22 Abs. 2 S. 2 BDSG-Neu).

Rz. 314

Die Formulierung in § 22 Abs. 2 S. 2 BDSG-Neu entspricht nahezu wortgleich den Formulierungen in Art. 25 Abs. 1 DSGVO (Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen) und 32 Abs. 1 DSGVO (Sicherheit der Verarbeitung). Wie der europäische Gesetzgeber es für Art. 32 getan hat, hat sich der deutsche Gesetzgeber dazu entschlossen, die abstrakte Vorgabe in Bezug auf das Vorsehen angemessener und spezifischer Maßnahmen über einen in § 22 Abs. 2 Nr. 1–10 BDSG-Neu enthaltenen Katalog von (alternativ oder in Kombination) in Betracht kommenden Maßnahmen zu konkretisieren. Die hier beschriebenen Maßnahmen stellen sich lediglich als Beispielskatalog dar und begrenzen im Einzelfall weder die dem Verantwortlichen auferlegten Pflichten, noch seine Gestaltungsbefugnisse im Rahmen ihrer konkreten Umsetzung.

Rz. 315

Der Gesetzgeber sieht insbesondere folgende Maßnahmen als grundsätzlich geeignet an:

1.	technisch organisatorische Maßnahmen, um sicherzustellen, dass die Verarbeitung gemäß der Verordnung (EU) 2016/679 erfolgt
2.	Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind,
3.	Sensibilisierung der an Verarbeitungsvorgängen Beteiligten,
4.	Benennung einer oder eines Datenschutzbeauftragten,
5.	Beschränkung des Zugangs zu den personenbezogenen Daten innerhalb der verantwortlichen Stelle und von Auftragsverarbeitern,
6.	Pseudonymisierung personenbezogener Daten,
7.	Verschlüsselung personenbezogener Daten
8.	Sicherstellung der Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten, einschließlich der Fähigkeit, die Verfügbarkeit und den Zugang bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen,
9.	zur Gewährleistung der Sicherheit der Verarbeitung die Einrichtung eines Verfahrens zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen
10.	spezifische Verfahrensregelungen, die im Fall einer Übermittlung oder Verarbeitung für andere Zwecke die Einhaltung der Vorgaben dieses Gesetzes sowie der Verordnung (EU) 2016/679 sicherstellen.

Rz. 316

Der Verweis auf die technisch organisatorischen Maßnahmen nach der DSGVO in § 22 Abs. 2 Nr. 1 BDSG-Neu bezieht sich auf Art. 25 DSGVO und ist mit Blick auf die wortgleiche Übernahme der abstrakten Anforderungen in § 22 Abs. 2 S. 1 BDSG-Neu zirkelschlüssig und kaum geeignet, dem Verantwortlichen eine Unterstützung zu bieten.

Rz. 317

§ 22 Abs. 2 Nr. 2 BDSG-Neu beschreibt Maßnahmen der Revisionssicherung. Derartige Maßnahmen sind für Angehörige eines Gesundheitsberufs im Rahmen ihrer Berufsausübung teilweise bereits in anderem Zusammengang zwingend umzusetzen. So normiert § 630f Abs. 1 S. 1 BGB für die ärztliche Dokumentation, dass "Berichtigungen und Änderungen von Eintragungen in der Patientenakte nur zulässig sind, wenn neben dem ursprünglichen Inhalt erkennbar bleibt, wann sie vorgenommen wurden." Die in § 22 Abs. 2 Nr. 2 BDSG-Neu beschriebene spezifische Maßnahme geht zwar insoweit darüber hinaus, dass zusätzlich festzuhalten ist "von wem" derartige Berichtigungen und Änderungen vorgenommen worden sind. Auch dies festzuhalten dürfte sich unter Berücksichtigung der in § 22 Abs. 2 S. 2 BDSG-Neu genannten Kriterien in jedem Fall als angemessene Maßnahme darstellen. Der damit einhergehende Aufwand dürfte überschaubar sein.^[387]

Rz. 318

Als weitere Maßnahme beschreibt § 22 Abs. 2 Nr. 3 BDSG-Neu die Sensibilisierung der an Verarbeitungsvorgängen Beteiligten. Angesprochen sind offensichtlich Schulungsmaßnahmen oder sonstige Informationen (bspw. über Betriebsanweisungen, Unternehmensleitlinien usw.) in Bezug auf die Aspekte des Datenschutzes und vor allem der Datensicherheit. Auch derartige Maßnahmen können – unabhängig von der Größe – problemlos in jedem Unternehmen etabliert werden. Dabei mögen sie je nach Verarbeitungsform und –umfang, Anzahl der Beschäftigten und sonstiger innerhalb des Verantwortlichen etablierter Schutzmaßnahmen unterschiedlich umfangreich ausgestaltet sein. Eine generelle Sensibilisierung gera...