Integrität und Vertraulichkeit

Integrität und Vertraulichkeit ist einer der sechs Verarbeitungsgrundsätze des Art. 5 Abs. 1 DSGVO und wird in lit. f ausdrücklich als Sicherheitsgrundsatz bezeichnet. Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder Schädigung. Erreicht wird dies durch geeignete technische und organisatorische Maßnahmen (TOM). Vertraulichkeit zielt darauf ab, dass Daten nur Befugten zugänglich sind, während Integrität die Unversehrtheit und Richtigkeit der Daten über ihren gesamten Lebenszyklus sicherstellt.

Der Grundsatz wird durch Art. 32 DSGVO konkretisiert, der die Sicherheit der Verarbeitung regelt. Verantwortliche und Auftragsverarbeiter müssen unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung ein dem Risiko angemessenes Schutzniveau gewährleisten. Genannt werden unter anderem Pseudonymisierung und Verschlüsselung, die Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme sicherzustellen, sowie ein Verfahren zur regelmäßigen Überprüfung und Bewertung der Wirksamkeit der Maßnahmen. Der Schutzbedarf richtet sich nach dem Risiko für die Rechte und Freiheiten der betroffenen Personen.

Verstöße gegen Integrität und Vertraulichkeit führen regelmäßig zu Datenpannen im Sinne des Art. 4 Nr. 12 DSGVO und können Meldepflichten nach Art. 33 und 34 DSGVO auslösen. Da der Grundsatz Teil des Art. 5 ist, fällt seine Verletzung unter den höheren Bußgeldrahmen des Art. 83 Abs. 5 DSGVO von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes. Aus der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO folgt zudem, dass Verantwortliche die Eignung und Umsetzung ihrer Sicherheitsmaßnahmen nachweisen können müssen, etwa durch Dokumentation, Richtlinien und regelmäßige Audits.