GDPR 在安全审计中的适用性

fabiha01

数据保护法规在安全审计中发挥着重要作用，因为它们涉及对信息自决权的深入干预。

安全许可旨在防止个人接触政府机密信息或存在风险的敏感区域。作为安全检查的一部分，（有时是高度）个人数据被收集和处理，这总是涉及对信息自决权的强烈干涉。因此，更不应忽视对有关人员的保护。然而，重要的是要知道联邦法律和相应的州法律中存在特定行业的数据保护权利：即所谓的联邦安全许可法案（SÜG）和州 SÜG。

GDPR 是否适用于安全审计？
原则上，GDPR 作为欧洲法规，优先于任何成员国法律。如果 GDPR 允许监管灵活性，则必须检查是否存在针对特定行业的数据保护法规。如果不是这种情况，或者特定行业的规定不够详尽，则还适用《联邦数据保护法》（BDSG）。

根据 GDPR 第 2 条第 2 款 a 项规定，GDPR 不适用于在超出联盟法律范围的活动背景下对个人数据的处理。第 16 条第 1 句规定如下：“本条例不适用于与保护基本权利和自由以及个人数据自由流动有关的问题，这些问题与超出联盟法律范围的活动有关，例如与国家安全有关的活动。”该法规范围的“最重要”例外之一源于成员国对国家安全的唯一责任，这在《欧洲联盟条约》第 4(2)(2) 条中有所强调，其中包括 SÜG。

联邦经济和气候保护部 (BMWK) 和联邦数据保护和信息自由专员 (BfDI) 也就GDPR 是否适用于 SÜG 范围内的问题进行了磋商，并得出结论：GDPR 不适用于 SÜG。给出的理由是，其监管范围不受共同体法律的约束。

SÜG 的主要目的是全面规范机密信息的保护。为了实现这一监管目标，SÜG 参考 BDSG 对当前和 GDPR 生效之前的数据保护问题进行了监管。因此，SÜG 之前被设计为针对特定行业的综合数据保护系统。北莱茵-威斯特法伦州高等行政法院在 2021 年 7 月 28 日的裁决中也持这种观点，并指出，根据《欧洲联盟条约》第 4 条第 2 款第 3 句，加拿大商业传真列表 欧盟在国家安全领域没有监管权，而这正是 SÜG 的主题。

BfDI 就安全审查问题提供全面解答
进行安全检查的原因通常是在招聘过程中，或者当一个人在公司内调动到另一个职位时，因此有必要进行安全检查。 BfDI在其网站上为雇主和雇员提供了有关安全审查法的常见问题解答页面，您可以在其中找到许多问题的答案以及有关 SÜG 主题的更多信息和链接。