[Translation coming soon]

Es ist eine Pflicht des Verantwortlichen, die Verfügbarkeit der Daten sicherzustellen [Kachel P.24]. Dem korrespondiert in gewissem Rahmen ein Recht des Betroffenen. Betroffene sind vor der unbeabsichtigten Zerstörung und vor dem Verlust der Daten zu schützen Oder anders ausgedrückt: Zerstörung und Verlust sind im Interesse des Betroffenen zu vermeiden:

Art. 5 I f: "Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz [...] vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung [...]."

Auch wenn die Norm an dieser Stelle die Verfügbarkeit nicht ausdrücklich als Aspekt der Datensicherheit aufführt, kann aus dem Text der Anspruch des Betroffenen auf Gewährleistung der Verfügbarkeit der Daten herausgelesen werden.

Der Anspruch auf Verfügbarkeit wird jedoch begrenzt durch die Grundsätze der Datenminimierung [Kachel PK.11] und der Speicherbegrenzung [Kachel PK.12]. Somit formuliert der Anspruch auf Verfügbarkeit keine eigene Rechtsgrundlage der Verarbeitung, sondern erlischt (ebenso wie Vertraulichkeit und Integrität) mit der Rechtsgrundlage der Verarbeitung. Anderenfalls hätte der Betroffene einen aus der Verfügbarkeitsverpflichtung abgeleiteten Anspruch gegen den Verantwortlichen auf Vorhaltung eines Backups (über den ursprünglichen Verabeitungszweck hinaus).

Allerdings kann die Sicherstellung der Verfügbarkeit von gespeicherten oder übermittelten personenbezogenen Daten auch ein berechtigtes Interesse des Verantwortlichen sein [Kachel VD.25].

EG 49: "Die Verarbeitung von personenbezogenen Daten [...] stellt in dem Maße ein berechtigtes Interesse des jeweiligen Verantwortlichen dar, wie dies für die Gewährleistung der Netz- und Informationssicherheit unbedingt notwendig und verhältnismäßig ist, d.h. soweit dadurch die Fähigkeit [...] gewährleistet wird, [...] Störungen oder [...] Eingriffe abzuwehren, die die Verfügbarkeit, Authentizität, Vollständigkeit und Vertraulichkeit von [...] Daten [...] beeinträchtigen. Ein solches berechtigtes Interesse könnte beispielsweise darin bestehen, [...] Angriffe in Form der gezielten Überlastung von Servern („Denial of service“-Angriffe) [...] abzuwehren."

Darin zeigt sich die Mehrdimensionalität der Datenverarbeitungsregulierung: Die Verfügbarkeit der Daten kann somit Recht des Betroffenen, Pflicht des Verantwortlichen [Kachel P.24] und Rechtsgrundlage der Datenverarbeitung für den Verantwortlichen oder einen Dritten [Kachel VD.25] sein.