Für eine Neugestaltung der technisch organisatorischen Maßnahmen spricht sich der Bundesbeauftragte für Datenschutz aus und fordert in seinem 23. Tätigkeitsbericht eine Abkehr von den konkret auf eine bestimmte technische Umgebung fixierten Sicherheitsmaßnahmen zugunsten allgemein verbindlicher Schutzziele.
Diese Schutzziele sollen sein:
- Verfügbarkeit
Es ist zu gewährleisten, dass personenbezogene Daten und Verfahren zu ihrer Verarbeitung zeitgerecht zur Verfügung stehen und ordnungsgemäß angewendet werden können. - Vertraulichkeit
Es ist zu gewährleisten, dass nur befugt auf personenbezogene Verfahren und Daten zugegriffen werden kann. - Integrität
Es ist zu gewährleisten, dass Daten aus personenbezogenen Verfahren unversehrt, zurechenbar und vollständig bleiben. - Transparenz
Es ist zu gewährleisten, dass die Erhebung und Verarbeitung personenbezogener Verfahren und die Nutzung mit zumutbarem Aufwand nachvollzogen, überprüft und bewertet werden können. - Zweckbindung
Es ist zu gewährleisten, dass personenbezogene Verfahren so eingerichtet sind, dass deren Daten nicht oder nur mit unverhältnismäßig großem Aufwand für einen Anderen als den ausgewiesenen Zweck erhoben, verarbeitet und genutzt werden können. - Intervenierbarkeit
Es ist zu gewährleisten, dass personenbezogene Verfahren so gestaltet werden, dass sie dem Betroffenen die Ausübung der ihm zustehenden Rechte wirksam ermöglichen.
Die klassischen IT-Sicherheitsschutzziele Verfügbarkeit, Unversehrtheit und Vertraulichkeit werden im Datenschutz um die Schutzziele Transparenz, Zweckbindung und Intervenierbarkeit erweitert. Diese Erweiterung trägt den Anforderungen im Datenschutz Rechnung. Durch die Abkehr von konkret benannten Maßnahmen im Gesetz, hin zu Schutzzielen wird erreicht, dass die gesetzliche Regelung nachhaltig bestehen bleibt.
So können die Maßnahmen, die die Schutzziele umsetzen, den konkreten Anforderungen und Einsatzbedingungen entsprechend weiterentwickelt werden.