4. September 2018 Wolfgang Fiala und Peter Gelber*

Datenschutz: Risikoanalyse und Folgenabschätzung / TOM (1)

In der DSGVO wird immer wieder auf den Begriff des Risikos für die Rechte und Freiheiten der Betroffenen verwiesen, der Risikobegriff wird aber nicht definiert. Dieser Artikel widmet sich dem Zusammenhang zwischen Risikoanalyse, Datenschutz-Folgenabschätzung und den Technisch / Organisatorischen Maßnahmen (TOMs), und endet mit dem praktischen Beispiel einer Risikoanalyse. [...]

Wie analysieren Sie das Risiko einer Datenschutz-Verletzung? (c) CW
Wie analysieren Sie das Risiko einer Datenschutz-Verletzung? (c) CW

Zwar werden in Erwägungsgrund 75 der DSGVO die nachteiligen Folgen der Verletzung der Rechte der Freiheiten natürlicher Personen beschrieben:
»Die Risiken für die Rechte und Freiheiten natürlicher Personen – mit unterschiedlicher Ein-trittswahrscheinlichkeit und Schwere […], die zu einem physischen, materiellen oder immateri-ellen Schaden führen könnte […], erheblichen wirtschaftlichen oder gesellschaftlichen Nachtei-len führen kann, wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht, […]«.
Trotzdem lässt diese Erwägung eine große Bandbreite an Interpretationen zu.

Art. 29-Datenschutzgruppe

Die Art. 29-Gruppe veröffentlicht in ihren sogenannten Working Papers verschiedene Leitlinien als Auslegungshilfen zu einzelnen Themen der EU-Datenschutz-Grundverordnung. Im April 2017 hat sie im Working Paper 248 eine Leitlinie zur Datenschutz-Folgenabschätzung veröffentlicht. Sie soll die Beurteilung, ob eine Verarbeitung im Sinne der Verordnung 2016/679 »wahrscheinlich mit einem hohen Risiko behaftet« sein wird, erleichtern. Das Papier beschäftigt sich also mit der Frage, wann eine Datenschutz-Folgenabschätzung durchzuführen ist und was die Bestandteile einer solchen sein sollten. Aber auch die Leitlinie definiert den Risikobegriff nicht näher.

Zusammenspiel zwischen Risikoanalyse, Folgenabschätzung und TOM

Das Zusammenspiel zwischen RA (Risikoanalyse), DSFA (Datenschutz-Folgenabschätzung) und TOMs (Technisch / Organisatorische Maßnahmen) werden durch folgende Abbildung skizziert:


Abb 1: Risikoanalyse und Datenschutz-Folgenabschätzung

Aus dieser Skizze sind die Eckpfeiler des Zusammenspiels ersichtlich:

  • Die Risikoanalyse (RA) liefert als Ergebnis, ob eine Verarbeitungstätigkeit ein erhöhtes Risiko für Betroffene darstellt.
  • Falls kein erhöhtes Risiko besteht, muss keine DSFA durchgeführt werden.
  • Im Falle erhöhten Risikos ist zu prüfen, ob die Verarbeitungstätigkeit in der White-List der Aufsichtsbehörde enthalten ist. Trifft dies zu, ist keine DSFA erforderlich, andernfalls schon. Zum gegenwärtigen Zeitpunkt hat die Datenschutzbehörde in Form einer Ver-ordnung eine „white list“ erstellt. Eine Verordnung der Datenschutzbehörde für eine „black list“ besteht gegenwärtig nur im Entwurf und befindet sich noch im Begutach-tungsverfahren.
  • Eine DSFA hat lt DSGVO insbesondere dann zu erfolgen, wenn aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Ri-siko für die Rechte und Freiheiten natürlicher Personen besteht. Zu beachten ist, dass eine DSFA neuerlich durchzuführen ist, wenn eine neue Technologie eingeführt wird und dadurch die zuvor angeführten Kriterien eintreten könnten.
  • Die Datenschutzfolgeabschätzung bildet die Basis dafür, mit welchen TOMs (tech-nisch/organisatorischen Maßnahmen) das Risiko für die Betroffenen minimiert werden kann.
  • Für den Fall, dass Zweifel bestehen, ob die festgelegten TOMs ausreichen ein hohes Restrisiko bestehen bleibt, ist die Datenschutzbehörde zu konsultieren. Andernfalls ist der Vorgang der RA und DSFA abgeschlossen.

Verantwortung für die DSFA

Ob die Voraussetzungen für die Durchführung einer Datenschutz-Folgenabschätzung vorliegen, obliegt der Beurteilung des Verantwortlichen selbst. Hat der Verantwortliche einen Daten-schutzbeauftragten bestellt, muss er diesen bei der Durchführung der Datenschutz-Folgenabschätzung zu Rate ziehen.

Der Prozess der Datenschutz-Risikoanalyse

Der Gesetzgeber schreibt in der DSGVO keine Methode zur Risikoanalyse zwingend vor. Ein Datenschutz-Risikoprozess kann wie folgt aussehen:

Risiken identifizieren und analysieren:
Die möglichen Bedrohungen für die Schutzziele werden ermittelt und dokumentiert:
• Welches Risiko kann von wem ausgehen?
• Welche Besonderheit und die Schwere der Risiken sind zu berücksichtigen?
• Welche Motive und Ursachen für die Bedrohung sind wahrscheinlich?
• Was könnte das mögliche Bedrohungsziel sein?

Klassifikation von Risken

Die Risikoanalyse beginnt damit, dass Einzel-Risken klassifiziert werden und die Art der Schutz-bedarfs-Verletzung analysiert wird. Anschließend werden die Eintrittswahrscheinlichkeiten in % und der Schweregrad festgelegt. Es liegt auf der Hand, dass sowohl die Wahrscheinlichkeit als auch der Schweregrad subjektive Maße sind. Abbildung 2 zeigt ein Beispiel für eine derartige Klassifikation:

Bewertung der Risiken

Die Eintrittswahrscheinlichkeit und die Schwere des Risikos sind zu beurteilen. Dabei sind die Art, der Umfang, die Umstände, die Zwecke der Verarbeitung und die Ursachen des Risikos zu berücksichtigen.

Diese o.a. Schritte des Risikomanagements können in der Praxis vom Umfang und der Methode sehr unterschiedlich umgesetzt werden. So können zur Bestimmung der Maßnahmen zur Ein-haltung eines angemessenen Schutzniveaus quantitative, qualitative Methoden oder auch Mischformen eingesetzt werden. Das betrifft jedoch bereits die DSFA und die TOMs.
Während bei einer klassischen Risikoanalyse im Bereich der Informationssicherheit die Risiken aus der Sicht eines möglichen Schadens für das jeweilige Unternehmen vorgenommen werden erfolgt bei der Datenschutz-Risikoanalyse die Beurteilung eines möglichen Schadens aus der Sicht des Betroffenen.


Abb 2: Risiko-Klassifikation (1)

Diese exemplarische Abbildung zeigt nur ausgewählte Risiken, es wird ausdrücklich darauf hingewiesen, dass die Matrix nicht vollständig ist.
Die Klassifikationsmatrix wird um weitere Spalten erweitert. Diese enthalten beispielsweise ei-nen Multiplikator (zB Anzahl Betroffener) und eine Bewertung. In unserem Beispiel wird die Spalte Bewertung durch die Multiplikation der Spalteninhalte „Eintrittswahrscheinlichkeit in %“, Schweregrad und „Anzahl der Betoffenen Personen“ berechnet. Je nach Bewertung wird die Ri-siko Klassifikation vorgenommen. In dem Beispiel wurden Bewertungen unter 1 als gering, un-ter 10 als mittel, unter 500 als hoch und über 500 als sehr hoch klassifiziert (subjektiv!).


Abb 3: Risiko-Klassifikation (2)

In unserer Praxis wird die Matrix zusätzlich erweitert um die Spalte “Identifikation der Schwachstelle“ und „TOMs“ ergänzt. Details zur DSFA und zu TOMs werden in den nächsten beiden Artikeln präsentiert.

Beispiel: Risikobewertung eines Online-Bewerber-Portals

Ein Unternehmen setzt ein Online-Bewerbungsportal ein. Bewerber können sich registrieren und ihre Bewerberdaten einpflegen und aktualisieren. Als Authentisierungsverfahren dienen Benutzername und E-Mailadresse des Bewerbers. Die Authentifizierung ist schwach, da keine Anforderungen an die Länge und Komplexität des Passworts existieren. Die Risikobewertung ergibt folgendes Bild:
• Aus Unternehmenssicht wird das Risiko eines Vertraulichkeitsverlusts (bspw. durch einen gehackten Bewerber-Account) ggfs. als gering einstufen, da für das Unternehmen kein unmittelbarer Schaden entsteht.
• Mit Blick auf die Verpflichtung aus Art. 32 DS-GVO wird nun aber auch der potentielle Schaden für den Betroffenen zu berücksichtigen sein, bspw. ein wirtschaftlicher Schaden der ihm droht, da der Umstand seiner Bewerbung einschl. aller Bewerbungsunterlagen nun öffentlich bekannt wird. Dies kann somit durchaus zu einem veränderten Ergebnis der Risikobewertung führen und somit auch weitere Maßnahmen der Risikobehandlung erforderlich machen.

Diese Bewertung ergibt also ein erhöhtes Risiko, welches nahtlos zur Datenschutz-Folgenabschätzung (DSFA) führt.

*) Das Tagebuch wird von den Datenschutz-Ziviltechnikern DI Wolfgang Fiala und DI Dr. Peter Gelber geschrieben, www.dsgvo-zt.at

Die bisherigen Folgen:

Die bisherigen Folgen:

(11) Cookies: Rechtslage in Österreich
(10) Cloud-Services: Achtung auf faule Verträge
(9) DSGVO-Zertifikat: Was es ist und was es bringt
(8) Datenschutz: Risikoanalyse und Folgenabschätzung / TOM (2)
(7) Datenschutz: Risikoanalyse und Folgenabschätzung / TOM (1)
(6) Webseiten DSGVO sicher machen
(5) Wie man bei Auskunftsbegehren Identität richtig feststellt
(4) So müssen Lösch-Begehren befolgt werden
(3) DSGVO in der Schule
(2) DSGVO: Was tun mit spitzfindigen Auskunftsbegehren?
(2) Videoüberwachung – wer darf das und wie?
(1) DSGVO: Wie Datenpannen zu melden sind
(0) Ist die Reinigungsfirma ein Auftragsdatenverarbeiter?


Mehr Artikel

News

Produktionsplanung 2026: Worauf es ankommt

4. Dezember 2025

Resilienz gilt als das neue Patentrezept, um aktuelle und kommende Krisen nicht nur zu meistern, sondern sogar gestärkt daraus hervorzugehen. Doch Investitionen in die Krisenprävention können zu Lasten der Effizienz gehen. Ein Dilemma, das sich in den Griff bekommen lässt. […]

Maximilian Schirmer (rechts) übergibt zu Jahresende die Geschäftsführung von tarife.at an Michael Kreil. (c) tarife.at
News

tarife.at ab 2026 mit neuer Geschäftsführung

3. Dezember 2025 pi/cb

Beim österreichischen Vergleichsportal tarife.at kommt es mit Jahresbeginn zu einem planmäßigen Führungswechsel. Michael Kreil übernimmt mit 1. Jänner 2026 die Geschäftsführung. Maximilian Schirmer, der das Unternehmen gegründet hat, scheidet per 14. April 2026 aus der Gesellschaft aus. […]

News

Warum Unternehmen ihren Technologie-Stack und ihre Datenarchitektur überdenken sollten

3. Dezember 2025 Matthias Ingerfeld *

Seit Jahren sehen sich Unternehmen mit einem grundlegenden Datenproblem konfrontiert: Systeme, die alltägliche Anwendungen ausführen (OLTP), und Analysesysteme, die Erkenntnisse liefern (OLAP). Diese Trennung entstand aufgrund traditioneller Beschränkungen der Infrastruktur, prägte aber auch die Arbeitsweise von Unternehmen.  Sie führte zu doppelt gepflegten Daten, isolierten Teams und langsameren Entscheidungsprozessen. […]

News

Windows 11 im Außendienst: Plattform für stabile Prozesse

3. Dezember 2025 Simon Müller *

Das Betriebssystem Windows 11 bildet im technischen Außendienst die zentrale Arbeitsumgebung für Service, Wartung und Inspektionen. Es verbindet robuste Geräte, klare Abläufe und schnelle Entscheidungswege mit einer einheitlichen Basis für Anwendungen. Sicherheitsfunktionen, Updates und Unternehmensrichtlinien greifen konsistent und schaffen eine vertrauenswürdige Plattform, auf der sowohl Management als auch Nutzer im Feld arbeiten können. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*