- Werden im Rahmen der Datenverarbeitung nach den §§ 8 und 26 bis 29 besondere Kategorien personenbezogener Daten im Sinne von Artikel 9 Abs. 1 der Verordnung (EU) 2016/679 verarbeitet, sind von den Verantwortlichen und den Auftragsverarbeitern zur Wahrung der Grundrechte und der Interessen der betroffenen Person folgende Maßnahmen zu treffen:
- Sicherstellung, dass nachträglich festgestellt werden kann, ob und von wem personenbezogene Daten verarbeitet worden sind,
- Beschränkung der Befugnisse für den Zugriff auf personenbezogene Daten auf das erforderliche Maß sowie die Dokumentation der Befugnisse und
- Sensibilisierung der Personen, die Zugang zu den personenbezogenen Daten haben.
- Soweit es zum Schutz besonderer Kategorien personenbezogener Daten erforderlich ist, haben die Verantwortlichen und die Auftragsverarbeiter ergänzend zu Absatz 1 weitere angemessene und spezifische Maßnahmen zu treffen. Als Maßnahmen kommen insbesondere in Betracht:
- Sicherstellung, dass die personenbezogenen Daten zur Verarbeitung nur im Vier-Augen-Prinzip freigegeben werden,
- Sicherstellung, dass auf die personenbezogenen Daten nur nach einer Zwei-Faktor-Authentisierung zugegriffen wird,
- Sicherstellung, dass die elektronische Übermittlung von personenbezogenen Daten nur mit einer Ende-zu-Ende-Verschlüsselung erfolgt,
- Sicherstellung, dass in einem vernetzten IT-System die personenbezogenen Daten nur mit einer Verschlüsselung gespeichert werden,
- Sicherstellung, dass durch eine redundante Auslegung der Systeme, der Energieversorgung und der Datenübertragungseinrichtungen ein Datenverlust vermieden wird,
- Sicherstellung, dass Daten nicht unbefugt verändert werden und ihre Integrität gewahrt ist, etwa durch den Einsatz einer elektronischen Signatur,
- Schulung der Personen, die Zugang zu personenbezogenen Daten haben.
- Art und Umfang der Maßnahmen nach den Absätzen 1 und 2 richten sich nach dem Stand der Technik und den Implementierungskosten, nach der Art, dem Umfang, den Umständen und dem Zweck der Datenverarbeitung sowie nach der Eintrittswahrscheinlichkeit und der Schwere der mit der Datenverarbeitung verbundenen Risiken für die Grundrechte und Interessen der betroffenen Person.