Auslegungssache – der c't-Datenschutz-Podcast

Wer sich mit IT-Sicherheit oder Datenschutz beschäftigt, wird früher oder später mit dem ominösen Terminus "Stand der Technik" konfrontiert. Der Begriff spielt beispielsweise in der Datenschutz-Grundverordnung (DSGVO) eine wichtige Rolle: Nach Artikel 32 DSGVO müssen Datenverarbeitende "geeignete technische und organisatorische Maßnahmen" treffen, um "ein dem Risiko angemessenes Schutzniveau zu gewährleisten". Und dabei soll sollen sie eben den "Stand der Technik" berücksichtigen. Doch was ist technisch und juristisch hinter dieser schwammigen Forderung zu verstehen? Genau dies wollen Joerg und Holger ergründen. Als kompetenten Gesprächspartner haben sie dazu den Rechtsanwalt Karsten Bartels an ihrer Seite. Der gelernte Rechtsinformatiker ist stellvertretender Vorstandsvorsitzender des Bundesverband IT-Sicherheit e. V., auch als TeleTrusT bekannt. Dort hat er auch den "Arbeitskreis Stand der Technik" mit gegründet. TeleTrusT veröffentlicht auch die "Handreichung zum 'Stand der Technik'", in der Experten aus der Wirtschaft (oft aktualisiert) konkrete Hinweise zu geeigneten technischen Maßnahmen und Prozessen in allen möglichen Bereichen der IT zusammentragen, beispielsweise zur sicheren Website-Verschlüsselung oder zur Multifaktor-Authentifizierung. Im Podcast erläutert Karsten, was es mit dem "Stand der Technik" auf sich hat. Dieser Stand bewege sich irgendwo zwischen "anerkannten Regeln der Technik", etwa den DIN-Normen, und dem neuesten "Stand von Wissenschaft und Technik". Zusammen mit Joerg geht er Satz für Satz durch Artikel 32 DSGVO und erklärt, was der europäische Gesetzgeber hier fordert. Außerdem ordnet Karsten den Begriff in den Kontext anderer Vorschriften ein, etwa des IT-Sicherheisgesetzes und bevorstehender EU-Regulierung. Hier werde sich mit dem im September von der EU-Kommission vorgeschlagenen "Cyber Resilience Act" bald einiges ändern, prophezeit er.