„Stand der Technik“ – wie er beispielsweise in Art. 32 DSGVO erwähnt wird – ist ein unbestimmter, abstrakt-genereller Begriff. Da auch die Datenschutzgrundverordnung keine näheren Erläuterungen für diesen Begriff beinhaltet, muss dazu auf andere Veröffentlichungen zurückgegriffen werden.
So wird in der Gesetzesbegründung zum § 8a des IT-Sicherheitsgesetzes der Begriff wie folgt beschreiben: „Stand der Technik ist der Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen oder Betriebsweisen, der die praktische Eignung einer Maßnahme zum Schutz der Funktionsfähigkeit von informationstechnischen Systemen, Komponenten oder Prozessen gegen Beeinträchtigungen der Verfügbarkeit, Integrität und Vertraulichkeit gesichert erscheinen lässt. Bei der Bestimmung des Standes der Technik sind insbesondere einschlägige internationale, europäische und nationale Normen heranzuziehen, aber auch vergleichbare Verfahren, Einrichtungen und Betriebsweisen, die mit Erfolg in der Praxis erprobt wurden.“
Nach DIN EN 45020 wird mit Stand der Technik ein entwickeltes Stadium der technischen Möglichkeiten zu einem bestimmten Zeitpunkt bezeichnet, soweit Produkte, Prozesse und Dienstleistungen betroffen sind, basierend auf den entsprechenden gesicherten Erkenntnissen von Wissenschaft, Technik und Erfahrung.
Somit müssen Maßnahmen ergriffen und Produkte eingesetzt werden, die mittels moderner Technologie den Datenschutz und ein hohes Sicherheitsniveau gewährleisten.
- Damit ein Produkt bzw. Dienstleistung dem Stand der Technik entspricht, müssen folgende Kriterien erfüllt sein:
- Das Produkt bzw. die Dienstleistung muss internationale Standards berücksichtigen und interoperabel mit Standard-Protokollen sein, soweit diese verwendet werden.
- Wenn branchenspezifische Standards existieren, sollten diese bei dem Einsatz berücksichtigt werden.
- Das Produkt oder die Dienstleistung muss einen störungsfreien Betrieb der Komponenten ermöglichen (Marktreife).
- Das Produkt oder die Dienstleistung muss mit Erfolg in der Praxis erprobt worden sein.
- Bei der Bewertung ist zu berücksichtigen, dass die Lösung als Einheit betrachtet werden muss, wenn eine Kopplung aus Hard- und Software gegeben ist.
- Das Produkt muss hinsichtlich der Sicherheits- und der Anwendungsfunktionalität sicher updatefähig sein.
Auch die Hersteller von Produkten unterliegen bestimmten Kriterien, die bei der Auswahl von Stand der Technik-Umsetzungen berücksichtigt werden müssen. Der Hersteller kann Investitionssicherheit für die jeweilige Umsetzung garantieren. Dies bedeutet, dass folgende Prüfungen erfolgen sollten:
- Nach Finanzieller Background des Herstellers garantiert weitere Lebenszyklen des Produktes.
- Es existiert ein etabliertes Produktmanagement für das jeweilige Produkt und eine Roadmap für die weitere Entwicklung für den Zeitraum des Einsatzes beim Anwender.
- Das Produkt ist während des Einsatzzeitraums nicht als Auslauf-Produkt gekennzeichnet.
- Der Hersteller reagiert proaktiv auf bekannt gewordene Schwachstellen, die sein Produkt betreffen und schließt diese kurzfristig und stellt umgehend notwendige Software-Updates zur Verfügung
- Der Hersteller produziert die jeweilige Lösung in einer vertrauenswürdigen Umgebung mit vertrauenswürdigem Personal.
- Der Hersteller beherrscht eigenständig die vollständigen Sicherheitsfunktionen und hat sich bzgl. der Sicherheitsfunktionen in keine Abhängigkeiten durch weitere Zulieferer begeben.1)
- Natürlich müssen alle ergriffenen Maßnahmen, eingesetzten Produkte und Verfahren sowie Dienstleistungen regelmäßig dahingehend überprüft werden, ob sie noch dem Stand der Technik entsprechen oder neue Maßnahmen zu ergreifen sind.
Gemäß den Rechenschaftspflichten der DSGVO sind die nach dem Stand der Technik ergriffenen Maßnahmen zu dokumentieren.
Fundstelle: 1) Handreichung zum „Stand der Technik“ 2025 des Bundesverbands IT-Sicherheit e.V. (TeleTrusT) – abrufbar im Internet unter https://www.teletrust.de/publikationen/broschueren/stand-der-technik/?tx_reintdownloadmanager_reintdlm%5Bdownloaduid%5D=13804&cHash=b464bf1afb41ad14bc0db84eb5788f6b
