Rz. 37
Nach Art. 32 Abs. 1 lit. d) DSGVO sind die vom Verantwortlichen ergriffenen technischen und organisatorischen Maßnahmen zudem regelmäßig systematisch zu überprüfen und in Bezug auf ihre Wirksamkeit zur Gewährleistung der Sicherheit der Verarbeitung zu bewerten und zu evaluieren.
Rz. 38
Die regelmäßige Überprüfung umfasst dabei die regelmäßige Durchführung und Dokumentation von Rücksicherungstests der erzeugten Backups.[55] Auch das Durchlaufen sog. Penetrationstests kann eine regelmäßige Überprüfungsmaßnahme darstellen.
Rz. 39
Je nach Umfang der vorhandenen IT-Anlagen, sollte in einem Zeitraum zwischen ein und drei Jahren ein Datenschutzaudit durch einen unabhängigen Sachverständigen durchgeführt werden. Im Rahmen des Audits sollten die technischen Anlagen ebenso überprüft werden, wie der aktuelle Stand der Dokumentationen, Betriebsvereinbarungen, Dienstanweisungen und/oder Unternehmensleitlinien (Bewertung und Validierung).
Rz. 40
Nach Art. 32 Abs. 3 DSGVO können entsprechende Maßnahmen auch in genehmigten Verhaltensregeln gemäß Art. 40 DSGVO normiert sein. Der Nachweis angemessener Maßnahmen im Einzelfall erfordert eine entsprechende Dokumentation der technischen und organisatorischen Maßnahmen durch den Verantwortlichen. Die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO oder das erfolgreiche Durchlaufen eines genehmigten Zertifizierungsverfahrens gemäß Art. 42 DSGVO können zusätzliche Anhaltspunkte für die Etablierung geeigneter und angemessener technischer und organisatorischer Maßnahmen bilden.
Das ist nur ein Ausschnitt aus dem Produkt Deutsches Anwalt Office Premium. Sie wollen mehr?
Jetzt kostenlos 4 Wochen testen
Anmelden und Beitrag in meinem Produkt lesen