In der DSGVO wird immer wieder auf den Begriff des Risikos für die Rechte und Freiheiten der Betroffenen verwiesen, der Risikobegriff wird aber nicht definiert. Dieser Artikel widmet sich dem Zusammenhang zwischen Risikoanalyse, Datenschutz-Folgenabschätzung und den Technisch / Organisatorischen Maßnahmen (TOMs), und endet mit dem praktischen Beispiel einer Risikoanalyse. [...]
Zwar werden in Erwägungsgrund 75 der DSGVO die nachteiligen Folgen der Verletzung der Rechte der Freiheiten natürlicher Personen beschrieben:
»Die Risiken für die Rechte und Freiheiten natürlicher Personen – mit unterschiedlicher Ein-trittswahrscheinlichkeit und Schwere […], die zu einem physischen, materiellen oder immateri-ellen Schaden führen könnte […], erheblichen wirtschaftlichen oder gesellschaftlichen Nachtei-len führen kann, wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht, […]«.
Trotzdem lässt diese Erwägung eine große Bandbreite an Interpretationen zu.
Art. 29-Datenschutzgruppe
Die Art. 29-Gruppe veröffentlicht in ihren sogenannten Working Papers verschiedene Leitlinien als Auslegungshilfen zu einzelnen Themen der EU-Datenschutz-Grundverordnung. Im April 2017 hat sie im Working Paper 248 eine Leitlinie zur Datenschutz-Folgenabschätzung veröffentlicht. Sie soll die Beurteilung, ob eine Verarbeitung im Sinne der Verordnung 2016/679 »wahrscheinlich mit einem hohen Risiko behaftet« sein wird, erleichtern. Das Papier beschäftigt sich also mit der Frage, wann eine Datenschutz-Folgenabschätzung durchzuführen ist und was die Bestandteile einer solchen sein sollten. Aber auch die Leitlinie definiert den Risikobegriff nicht näher.
Zusammenspiel zwischen Risikoanalyse, Folgenabschätzung und TOM
Das Zusammenspiel zwischen RA (Risikoanalyse), DSFA (Datenschutz-Folgenabschätzung) und TOMs (Technisch / Organisatorische Maßnahmen) werden durch folgende Abbildung skizziert:
Abb 1: Risikoanalyse und Datenschutz-Folgenabschätzung
Aus dieser Skizze sind die Eckpfeiler des Zusammenspiels ersichtlich:
- Die Risikoanalyse (RA) liefert als Ergebnis, ob eine Verarbeitungstätigkeit ein erhöhtes Risiko für Betroffene darstellt.
- Falls kein erhöhtes Risiko besteht, muss keine DSFA durchgeführt werden.
- Im Falle erhöhten Risikos ist zu prüfen, ob die Verarbeitungstätigkeit in der White-List der Aufsichtsbehörde enthalten ist. Trifft dies zu, ist keine DSFA erforderlich, andernfalls schon. Zum gegenwärtigen Zeitpunkt hat die Datenschutzbehörde in Form einer Ver-ordnung eine „white list“ erstellt. Eine Verordnung der Datenschutzbehörde für eine „black list“ besteht gegenwärtig nur im Entwurf und befindet sich noch im Begutach-tungsverfahren.
- Eine DSFA hat lt DSGVO insbesondere dann zu erfolgen, wenn aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Ri-siko für die Rechte und Freiheiten natürlicher Personen besteht. Zu beachten ist, dass eine DSFA neuerlich durchzuführen ist, wenn eine neue Technologie eingeführt wird und dadurch die zuvor angeführten Kriterien eintreten könnten.
- Die Datenschutzfolgeabschätzung bildet die Basis dafür, mit welchen TOMs (tech-nisch/organisatorischen Maßnahmen) das Risiko für die Betroffenen minimiert werden kann.
- Für den Fall, dass Zweifel bestehen, ob die festgelegten TOMs ausreichen ein hohes Restrisiko bestehen bleibt, ist die Datenschutzbehörde zu konsultieren. Andernfalls ist der Vorgang der RA und DSFA abgeschlossen.
Verantwortung für die DSFA
Ob die Voraussetzungen für die Durchführung einer Datenschutz-Folgenabschätzung vorliegen, obliegt der Beurteilung des Verantwortlichen selbst. Hat der Verantwortliche einen Daten-schutzbeauftragten bestellt, muss er diesen bei der Durchführung der Datenschutz-Folgenabschätzung zu Rate ziehen.
Der Prozess der Datenschutz-Risikoanalyse
Der Gesetzgeber schreibt in der DSGVO keine Methode zur Risikoanalyse zwingend vor. Ein Datenschutz-Risikoprozess kann wie folgt aussehen:
Risiken identifizieren und analysieren:
Die möglichen Bedrohungen für die Schutzziele werden ermittelt und dokumentiert:
• Welches Risiko kann von wem ausgehen?
• Welche Besonderheit und die Schwere der Risiken sind zu berücksichtigen?
• Welche Motive und Ursachen für die Bedrohung sind wahrscheinlich?
• Was könnte das mögliche Bedrohungsziel sein?
Klassifikation von Risken
Die Risikoanalyse beginnt damit, dass Einzel-Risken klassifiziert werden und die Art der Schutz-bedarfs-Verletzung analysiert wird. Anschließend werden die Eintrittswahrscheinlichkeiten in % und der Schweregrad festgelegt. Es liegt auf der Hand, dass sowohl die Wahrscheinlichkeit als auch der Schweregrad subjektive Maße sind. Abbildung 2 zeigt ein Beispiel für eine derartige Klassifikation:
Bewertung der Risiken
Die Eintrittswahrscheinlichkeit und die Schwere des Risikos sind zu beurteilen. Dabei sind die Art, der Umfang, die Umstände, die Zwecke der Verarbeitung und die Ursachen des Risikos zu berücksichtigen.
Diese o.a. Schritte des Risikomanagements können in der Praxis vom Umfang und der Methode sehr unterschiedlich umgesetzt werden. So können zur Bestimmung der Maßnahmen zur Ein-haltung eines angemessenen Schutzniveaus quantitative, qualitative Methoden oder auch Mischformen eingesetzt werden. Das betrifft jedoch bereits die DSFA und die TOMs.
Während bei einer klassischen Risikoanalyse im Bereich der Informationssicherheit die Risiken aus der Sicht eines möglichen Schadens für das jeweilige Unternehmen vorgenommen werden erfolgt bei der Datenschutz-Risikoanalyse die Beurteilung eines möglichen Schadens aus der Sicht des Betroffenen.
Abb 2: Risiko-Klassifikation (1)
Diese exemplarische Abbildung zeigt nur ausgewählte Risiken, es wird ausdrücklich darauf hingewiesen, dass die Matrix nicht vollständig ist.
Die Klassifikationsmatrix wird um weitere Spalten erweitert. Diese enthalten beispielsweise ei-nen Multiplikator (zB Anzahl Betroffener) und eine Bewertung. In unserem Beispiel wird die Spalte Bewertung durch die Multiplikation der Spalteninhalte „Eintrittswahrscheinlichkeit in %“, Schweregrad und „Anzahl der Betoffenen Personen“ berechnet. Je nach Bewertung wird die Ri-siko Klassifikation vorgenommen. In dem Beispiel wurden Bewertungen unter 1 als gering, un-ter 10 als mittel, unter 500 als hoch und über 500 als sehr hoch klassifiziert (subjektiv!).
Abb 3: Risiko-Klassifikation (2)
In unserer Praxis wird die Matrix zusätzlich erweitert um die Spalte “Identifikation der Schwachstelle“ und „TOMs“ ergänzt. Details zur DSFA und zu TOMs werden in den nächsten beiden Artikeln präsentiert.
Beispiel: Risikobewertung eines Online-Bewerber-Portals
Ein Unternehmen setzt ein Online-Bewerbungsportal ein. Bewerber können sich registrieren und ihre Bewerberdaten einpflegen und aktualisieren. Als Authentisierungsverfahren dienen Benutzername und E-Mailadresse des Bewerbers. Die Authentifizierung ist schwach, da keine Anforderungen an die Länge und Komplexität des Passworts existieren. Die Risikobewertung ergibt folgendes Bild:
• Aus Unternehmenssicht wird das Risiko eines Vertraulichkeitsverlusts (bspw. durch einen gehackten Bewerber-Account) ggfs. als gering einstufen, da für das Unternehmen kein unmittelbarer Schaden entsteht.
• Mit Blick auf die Verpflichtung aus Art. 32 DS-GVO wird nun aber auch der potentielle Schaden für den Betroffenen zu berücksichtigen sein, bspw. ein wirtschaftlicher Schaden der ihm droht, da der Umstand seiner Bewerbung einschl. aller Bewerbungsunterlagen nun öffentlich bekannt wird. Dies kann somit durchaus zu einem veränderten Ergebnis der Risikobewertung führen und somit auch weitere Maßnahmen der Risikobehandlung erforderlich machen.
Diese Bewertung ergibt also ein erhöhtes Risiko, welches nahtlos zur Datenschutz-Folgenabschätzung (DSFA) führt.
*) Das Tagebuch wird von den Datenschutz-Ziviltechnikern DI Wolfgang Fiala und DI Dr. Peter Gelber geschrieben, www.dsgvo-zt.at
Die bisherigen Folgen:
Die bisherigen Folgen:
(11) Cookies: Rechtslage in Österreich
(10) Cloud-Services: Achtung auf faule Verträge
(9) DSGVO-Zertifikat: Was es ist und was es bringt
(8) Datenschutz: Risikoanalyse und Folgenabschätzung / TOM (2)
(7) Datenschutz: Risikoanalyse und Folgenabschätzung / TOM (1)
(6) Webseiten DSGVO sicher machen
(5) Wie man bei Auskunftsbegehren Identität richtig feststellt
(4) So müssen Lösch-Begehren befolgt werden
(3) DSGVO in der Schule
(2) DSGVO: Was tun mit spitzfindigen Auskunftsbegehren?
(2) Videoüberwachung – wer darf das und wie?
(1) DSGVO: Wie Datenpannen zu melden sind
(0) Ist die Reinigungsfirma ein Auftragsdatenverarbeiter?
Be the first to comment