[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"norm-eurlex-reg_2018_1725-art-33-de":3},{"law":4,"norm_id":14,"norm_key":15,"slug":16,"title":17,"chapter":18,"content":19,"enriched_content":20,"hierarchy":21,"neighbors_before":23,"neighbors_after":36,"citing_decisions":49,"is_thin":50},{"abbreviation":5,"title":6,"source_type":7,"jurisdiction":8,"document_kind":9,"language":10,"attribution":11,"version_date":12,"source_url":13},"reg_2018_1725","zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45\u002F2001 und des Beschlusses Nr. 1247\u002F2002\u002FEG","eurlex","eu","regulation","de","© Europäische Union, https:\u002F\u002Feur-lex.europa.eu","2025-02-12","https:\u002F\u002Feur-lex.europa.eu\u002Flegal-content\u002FDE\u002FALL\u002F?uri=CELEX:32018R1725",7066657,"Art. 33","art-33","Sicherheit der Verarbeitung","KAPITEL IV VERANTWORTLICHER UND AUFTRAGSVERARBEITER","(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein: a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten, b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen, c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen, d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.\n(2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch — ob unbeabsichtigt oder unrechtmäßig — Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.\n(3) Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach Unionsrecht zur Verarbeitung verpflichtet.\n(4) Die Einhaltung eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 der Verordnung (EU) 2016\u002F679 kann als Gesichtspunkt herangezogen werden, um die Erfüllung der in Absatz 1 genannten Anforderungen nachzuweisen.","REG_2018_1725 - KAPITEL IV VERANTWORTLICHER UND AUFTRAGSVERARBEITER - ABSCHNITT 2 Sicherheit personenbezogener Daten - Art. 33 Sicherheit der Verarbeitung\n\n(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein: a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten, b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen, c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen, d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.\n(2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch — ob unbeabsichtigt oder unrechtmäßig — Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.\n(3) Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach Unionsrecht zur Verarbeitung verpflichtet.\n(4) Die Einhaltung eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 der Verordnung (EU) 2016\u002F679 kann als Gesichtspunkt herangezogen werden, um die Erfüllung der in Absatz 1 genannten Anforderungen nachzuweisen.",{"abschnitt":22,"kapitel":18},"ABSCHNITT 2 Sicherheit personenbezogener Daten",[24,28,32],{"norm_key":25,"title":26,"slug":27},"Art. 32","Zusammenarbeit mit dem Europäischen Datenschutzbeauftragten","art-32",{"norm_key":29,"title":30,"slug":31},"Art. 31","Verzeichnis von Verarbeitungstätigkeiten","art-31",{"norm_key":33,"title":34,"slug":35},"Art. 30","Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters","art-30",[37,41,45],{"norm_key":38,"title":39,"slug":40},"Art. 34","Meldung von Verletzungen des Schutzes personenbezogener Daten an den Europäischen Datenschutzbeauftragten","art-34",{"norm_key":42,"title":43,"slug":44},"Art. 35","Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person","art-35",{"norm_key":46,"title":47,"slug":48},"Art. 36","Vertraulichkeit der elektronischen Kommunikation","art-36",[],false]