Der Begriff „Stand der Technik“ wird nicht nur in § 26 KDG oder § 6 KDG-DVO verwendet, sondern findet sich auch sonst in vielen Rechtsbereichen und Gesetzen wieder. Da die technische Entwicklung schneller voranschreitet als Gesetzte angepasst werden können, wird im Gesetz durch die Referenzierung auf den „Stand der Technik“ eine neutrale Formulierung gewählt, die deutlich macht, dass stets aktuelle Maßnahmen zu ergreifen sind, ohne konkrete technische Maßnahmen im Gesetz zu nennen, die dann immer wieder zu aktualisieren wären. Was aber ist der Stand der Technik zu einem bestimmten Zeitpunkt?
In der Kalkar-Entscheidung im Jahr 1978 nahm das Bundesverfassungsgericht an Hand der drei Begriffe „Stand der Technik“, „Stand der Wissenschaft und Forschung“ und „Allgemein anerkannte Regeln der Technik“ eine Bewertung technischer Maßnahmen vor.[1]
„Allgemein anerkannte Regeln der Technik“ werden in der Literatur oft verkürzt als „Anerkannte Regeln der Technik“ bezeichnet. Eine technische Regel ist dann allgemein anerkannt, wenn sie die vorherrschende Ansicht der technischen Fachleute darstellt. Vorausgesetzt wird allerdings, dass sich diese Regel in der Wissenschaft als zumindest theoretisch richtig durchgesetzt hat und in der Praxis erprobt und bewährt ist. Gängige Regelwerke wie beispielsweise DIN-Normen oder VDI-Richtlinien können als Konkretisierungshilfen für die allgemein anerkannten Regeln der Technik herangezogen werden. Maßnahmen auf Basis der allgemein anerkannten Regeln der Technik bilden also so etwas wie die notwendige Basis von Maßnahmen zur Absicherung der Verarbeitung der Daten.
Deutlich weitergehender und anspruchsvoller sind Maßnahmen, die den „Stand von Wissenschaft und Technik“ abbilden sollen. Hier werden die neuesten technischen und wissenschaftlichen Erkenntnisse behandelt. Dieser Standard wird nicht durch das gegenwärtig Realisierte und Machbare begrenzt. Durch die extreme Dynamik und Entwicklung ist es äußerst schwierig, den „Stand der Wissenschaft und Technik“ präzise zu beschreiben.
Zwischen diesen beiden Kategorien steht die Gruppe der Maßnahmen, die dem „Stand der Technik“ entsprechen. Der „Stand der Technik“ beinhaltet den Entwicklungsstand fortschrittlicher Verfahren, die zur Erreichung bestimmter praktischer Schutzzwecke als gesichert angesehen werden dürfen. Der „Stand der Technik“ gibt wieder, was technisch notwendig, geeignet, angemessen und vermeidbar ist.
Es handelt sich demnach beim „Stand der Technik“ um die im Waren- und Dienstleistungsverkehr verfügbaren Verfahren, Einrichtungen oder Betriebsweisen, deren Anwendung die Erreichung der jeweiligen gesetzlichen Schutzziele am wirkungsvollsten gewährleisten kann, oder kurz gesagt um die am Markt verfügbare Bestleistung einer Maßnahme oder eines Maßnahmenbündels zur Erreichung eines gesetzlichen IT-Sicherheitszieles.[2]
Das Katholische Datenschutzzentrum orientiert sich bei Bewertungen am gesetzlich geforderten „Stand der Technik“, da die „allgemein anerkannten Regeln der Technik“ allein oft nur nicht ausreichende (Basis-)Anforderungen an die technischen und organisatorischen Schutzmaßnahmen abbilden. Die notwendigen technischen Maßnahmen sind für jeden Fall gesondert zu betrachten. Daher ist es auch nicht möglich, einen allgemeingültigen „Stand der Technik“ zu beschreiben.
[1] BVerfGE, 49, 89 (135 f).
[2] Bartels/Backer, Die Berücksichtigung des Stands der Technik in der DSGVO, DuD 2018, 214 (216).



