Sowohl das Gesetz zur Erhö­hung der Sicher­heit infor­ma­ti­ons­tech­ni­scher Syste­me“ (IT-Sicher­heits­ge­setz bzw. ITSiG) als auch die euro­päi­sche Daten­schutz-Grund­ver­ord­nung (DS-GVO) erwäh­nen den Begriff des Stands der Tech­nik als eine For­de­rung, an der sich die IT-Sicher­heit ori­en­tie­ren soll. Im Bereich des tech­ni­schen Daten­schut­zes for­dert die DS-GVO in Art. 32 DS-GVO zum Schut­ze der Rech­te und Frei­hei­ten natür­li­cher Per­so­nen tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men zu tref­fen, die zum einen risi­ko­ori­en­tiert erfol­gen sol­len und zum ande-ren den „Stand der Tech­nik“ berück­sich­ti­gen sol­len. Hier­zu haben Ver­ant­wort­li­che und Auf­trags­ver­ar­bei­ter geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men zu tref­fen. Wie auch das ITSiG, sieht die DS-GVO jedoch kei­ne Defi­ni­ti­on für das Tat­be­stands­merk­mal des Stan­des der Tech­nik vor. Glei­ches gilt eben­falls für das Daten­schutz-Anpas­sungs- und ‑Umset­zungs­ge­setz EU (DSAn­pUG-EU) sowie die dar­aus resul­tie­ren­de Neu­fas­sung des BDSG (BDSG-neu). Auch in Bezug auf Ent­wick­lung, Gestal­tung, Aus­wahl und Nut­zung von Anwen­dun­gen, Dien­sten und Pro­duk­ten, die ent­we­der auf der Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten beru­hen oder zur Erfül­lung ihrer Auf­ga­ben per­so­nen­be­zo­ge­ne Daten ver­ar­bei­ten (Art. 25 DS-GVO), sol­len die Her­stel­ler von Pro­duk­te, Dien­sten und Anwen­dun­gen ermu­tigt wer­den, das Recht auf Daten­schutz bei der Ent­wick­lung und Gestal­tung der Pro­duk­te, Dien­ste und Anwen­dun­gen zu berück­sich­ti­gen und unter gebüh­ren­der Berück­sich­ti­gung des Stands der Tech­nik sicher­zu­stel­len, dass die Ver­ant­wort­li­chen und die Ver­ar­bei­ter in der Lage sind, ihren Daten­schutz­pflich­ten nachzukommen.

Das vom Tele­TrusT – Bun­des­ver­band IT-Sicher­heit e.V. ver­öf­fent­lich­te Doku­ment zum „Stand der Tech­nik“ in der IT Secu­ri­ty gibt vor die­sem Hin­ter­grund kon­kre­te Hin­wei­se und Hand­lungs­emp­feh­lun­gen. Die Hand­rei­chung soll Unter­neh­men, Anbie­tern und Dienst­lei­stern Hil­fe­stel­lung zur Bestim­mung des Stan­des der Tech­nik in der IT-Sicher­heit geben und kann als Refe­renz z.B. für ver­trag­li­che Ver­ein­ba­run­gen, Ver­ga­be­ver­fah­ren bzw. für die Ein­ord­nung imple­men­tier­ter Sicher­heits­maß­nah­men die­nen. Durch die nun ver­öf­fent­lich­te eng­li­sche Fas­sung des Doku­men­tes sol­len Unter­neh­men in allen euro­päi­schen Län­dern bei der Bestim­mung des gefor­der­ten Sicher­heits­stands in der IT-Sicher-heit unter­stützt werden.

Quel­le: Bun­des­ver­band IT-Sicher­heit e.V. (Tele­TrusT)