Datenschutz: Risikoanalyse und Folgenabschätzung / TOM (1)

In der DSGVO wird immer wieder auf den Begriff des Risikos für die Rechte und Freiheiten der Betroffenen verwiesen, der Risikobegriff wird aber nicht definiert. Dieser Artikel widmet sich dem Zusammenhang zwischen Risikoanalyse, Datenschutz-Folgenabschätzung und den Technisch / Organisatorischen Maßnahmen (TOMs), und endet mit dem praktischen Beispiel einer Risikoanalyse. [...]

Wie analysieren Sie das Risiko einer Datenschutz-Verletzung? (c) CW
Wie analysieren Sie das Risiko einer Datenschutz-Verletzung? (c) CW

Zwar werden in Erwägungsgrund 75 der DSGVO die nachteiligen Folgen der Verletzung der Rechte der Freiheiten natürlicher Personen beschrieben:
»Die Risiken für die Rechte und Freiheiten natürlicher Personen – mit unterschiedlicher Ein-trittswahrscheinlichkeit und Schwere […], die zu einem physischen, materiellen oder immateri-ellen Schaden führen könnte […], erheblichen wirtschaftlichen oder gesellschaftlichen Nachtei-len führen kann, wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht, […]«.
Trotzdem lässt diese Erwägung eine große Bandbreite an Interpretationen zu.

Art. 29-Datenschutzgruppe

Die Art. 29-Gruppe veröffentlicht in ihren sogenannten Working Papers verschiedene Leitlinien als Auslegungshilfen zu einzelnen Themen der EU-Datenschutz-Grundverordnung. Im April 2017 hat sie im Working Paper 248 eine Leitlinie zur Datenschutz-Folgenabschätzung veröffentlicht. Sie soll die Beurteilung, ob eine Verarbeitung im Sinne der Verordnung 2016/679 »wahrscheinlich mit einem hohen Risiko behaftet« sein wird, erleichtern. Das Papier beschäftigt sich also mit der Frage, wann eine Datenschutz-Folgenabschätzung durchzuführen ist und was die Bestandteile einer solchen sein sollten. Aber auch die Leitlinie definiert den Risikobegriff nicht näher.

Zusammenspiel zwischen Risikoanalyse, Folgenabschätzung und TOM

Das Zusammenspiel zwischen RA (Risikoanalyse), DSFA (Datenschutz-Folgenabschätzung) und TOMs (Technisch / Organisatorische Maßnahmen) werden durch folgende Abbildung skizziert:


Abb 1: Risikoanalyse und Datenschutz-Folgenabschätzung

Aus dieser Skizze sind die Eckpfeiler des Zusammenspiels ersichtlich:

  • Die Risikoanalyse (RA) liefert als Ergebnis, ob eine Verarbeitungstätigkeit ein erhöhtes Risiko für Betroffene darstellt.
  • Falls kein erhöhtes Risiko besteht, muss keine DSFA durchgeführt werden.
  • Im Falle erhöhten Risikos ist zu prüfen, ob die Verarbeitungstätigkeit in der White-List der Aufsichtsbehörde enthalten ist. Trifft dies zu, ist keine DSFA erforderlich, andernfalls schon. Zum gegenwärtigen Zeitpunkt hat die Datenschutzbehörde in Form einer Ver-ordnung eine „white list“ erstellt. Eine Verordnung der Datenschutzbehörde für eine „black list“ besteht gegenwärtig nur im Entwurf und befindet sich noch im Begutach-tungsverfahren.
  • Eine DSFA hat lt DSGVO insbesondere dann zu erfolgen, wenn aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Ri-siko für die Rechte und Freiheiten natürlicher Personen besteht. Zu beachten ist, dass eine DSFA neuerlich durchzuführen ist, wenn eine neue Technologie eingeführt wird und dadurch die zuvor angeführten Kriterien eintreten könnten.
  • Die Datenschutzfolgeabschätzung bildet die Basis dafür, mit welchen TOMs (tech-nisch/organisatorischen Maßnahmen) das Risiko für die Betroffenen minimiert werden kann.
  • Für den Fall, dass Zweifel bestehen, ob die festgelegten TOMs ausreichen ein hohes Restrisiko bestehen bleibt, ist die Datenschutzbehörde zu konsultieren. Andernfalls ist der Vorgang der RA und DSFA abgeschlossen.

Verantwortung für die DSFA

Ob die Voraussetzungen für die Durchführung einer Datenschutz-Folgenabschätzung vorliegen, obliegt der Beurteilung des Verantwortlichen selbst. Hat der Verantwortliche einen Daten-schutzbeauftragten bestellt, muss er diesen bei der Durchführung der Datenschutz-Folgenabschätzung zu Rate ziehen.

Der Prozess der Datenschutz-Risikoanalyse

Der Gesetzgeber schreibt in der DSGVO keine Methode zur Risikoanalyse zwingend vor. Ein Datenschutz-Risikoprozess kann wie folgt aussehen:

Risiken identifizieren und analysieren:
Die möglichen Bedrohungen für die Schutzziele werden ermittelt und dokumentiert:
• Welches Risiko kann von wem ausgehen?
• Welche Besonderheit und die Schwere der Risiken sind zu berücksichtigen?
• Welche Motive und Ursachen für die Bedrohung sind wahrscheinlich?
• Was könnte das mögliche Bedrohungsziel sein?

Klassifikation von Risken

Die Risikoanalyse beginnt damit, dass Einzel-Risken klassifiziert werden und die Art der Schutz-bedarfs-Verletzung analysiert wird. Anschließend werden die Eintrittswahrscheinlichkeiten in % und der Schweregrad festgelegt. Es liegt auf der Hand, dass sowohl die Wahrscheinlichkeit als auch der Schweregrad subjektive Maße sind. Abbildung 2 zeigt ein Beispiel für eine derartige Klassifikation:

Bewertung der Risiken

Die Eintrittswahrscheinlichkeit und die Schwere des Risikos sind zu beurteilen. Dabei sind die Art, der Umfang, die Umstände, die Zwecke der Verarbeitung und die Ursachen des Risikos zu berücksichtigen.

Diese o.a. Schritte des Risikomanagements können in der Praxis vom Umfang und der Methode sehr unterschiedlich umgesetzt werden. So können zur Bestimmung der Maßnahmen zur Ein-haltung eines angemessenen Schutzniveaus quantitative, qualitative Methoden oder auch Mischformen eingesetzt werden. Das betrifft jedoch bereits die DSFA und die TOMs.
Während bei einer klassischen Risikoanalyse im Bereich der Informationssicherheit die Risiken aus der Sicht eines möglichen Schadens für das jeweilige Unternehmen vorgenommen werden erfolgt bei der Datenschutz-Risikoanalyse die Beurteilung eines möglichen Schadens aus der Sicht des Betroffenen.


Abb 2: Risiko-Klassifikation (1)

Diese exemplarische Abbildung zeigt nur ausgewählte Risiken, es wird ausdrücklich darauf hingewiesen, dass die Matrix nicht vollständig ist.
Die Klassifikationsmatrix wird um weitere Spalten erweitert. Diese enthalten beispielsweise ei-nen Multiplikator (zB Anzahl Betroffener) und eine Bewertung. In unserem Beispiel wird die Spalte Bewertung durch die Multiplikation der Spalteninhalte „Eintrittswahrscheinlichkeit in %“, Schweregrad und „Anzahl der Betoffenen Personen“ berechnet. Je nach Bewertung wird die Ri-siko Klassifikation vorgenommen. In dem Beispiel wurden Bewertungen unter 1 als gering, un-ter 10 als mittel, unter 500 als hoch und über 500 als sehr hoch klassifiziert (subjektiv!).


Abb 3: Risiko-Klassifikation (2)

In unserer Praxis wird die Matrix zusätzlich erweitert um die Spalte “Identifikation der Schwachstelle“ und „TOMs“ ergänzt. Details zur DSFA und zu TOMs werden in den nächsten beiden Artikeln präsentiert.

Beispiel: Risikobewertung eines Online-Bewerber-Portals

Ein Unternehmen setzt ein Online-Bewerbungsportal ein. Bewerber können sich registrieren und ihre Bewerberdaten einpflegen und aktualisieren. Als Authentisierungsverfahren dienen Benutzername und E-Mailadresse des Bewerbers. Die Authentifizierung ist schwach, da keine Anforderungen an die Länge und Komplexität des Passworts existieren. Die Risikobewertung ergibt folgendes Bild:
• Aus Unternehmenssicht wird das Risiko eines Vertraulichkeitsverlusts (bspw. durch einen gehackten Bewerber-Account) ggfs. als gering einstufen, da für das Unternehmen kein unmittelbarer Schaden entsteht.
• Mit Blick auf die Verpflichtung aus Art. 32 DS-GVO wird nun aber auch der potentielle Schaden für den Betroffenen zu berücksichtigen sein, bspw. ein wirtschaftlicher Schaden der ihm droht, da der Umstand seiner Bewerbung einschl. aller Bewerbungsunterlagen nun öffentlich bekannt wird. Dies kann somit durchaus zu einem veränderten Ergebnis der Risikobewertung führen und somit auch weitere Maßnahmen der Risikobehandlung erforderlich machen.

Diese Bewertung ergibt also ein erhöhtes Risiko, welches nahtlos zur Datenschutz-Folgenabschätzung (DSFA) führt.

*) Das Tagebuch wird von den Datenschutz-Ziviltechnikern DI Wolfgang Fiala und DI Dr. Peter Gelber geschrieben, www.dsgvo-zt.at

Die bisherigen Folgen:

Die bisherigen Folgen:

(11) Cookies: Rechtslage in Österreich
(10) Cloud-Services: Achtung auf faule Verträge
(9) DSGVO-Zertifikat: Was es ist und was es bringt
(8) Datenschutz: Risikoanalyse und Folgenabschätzung / TOM (2)
(7) Datenschutz: Risikoanalyse und Folgenabschätzung / TOM (1)
(6) Webseiten DSGVO sicher machen
(5) Wie man bei Auskunftsbegehren Identität richtig feststellt
(4) So müssen Lösch-Begehren befolgt werden
(3) DSGVO in der Schule
(2) DSGVO: Was tun mit spitzfindigen Auskunftsbegehren?
(2) Videoüberwachung – wer darf das und wie?
(1) DSGVO: Wie Datenpannen zu melden sind
(0) Ist die Reinigungsfirma ein Auftragsdatenverarbeiter?


Mehr Artikel

News

Jahrelanges Katz-und-Maus-Spiel zwischen Hackern und Verteidigern

Sophos hat den umfangreichen Forschungsbericht „Pacific Rim“ veröffentlicht, der detailliert ein jahrelanges Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit mehreren staatlich unterstützten Cybercrime-Gruppierungen aus China beschreibt. Im Lauf der Auseinandersetzung entdeckte Sophos ein riesiges, gegnerisches Cybercrime-Ökosystem. […]

News

Salesforce kündigt autonome KI-Agenten an

Agentforce soll es Unternehmen ermöglichen, autonome KI-Agenten für zahlreiche Unternehmensfunktionen zu entwickeln und einzusetzen. So bearbeitet Agentforce beispielsweise selbstständig Kundenanliegen, qualifiziert Vertriebsleads und optimiert Marketingkampagnen. […]

News

Startschuss für neues Studium „Softwaretechnik & Digitaler Systembau“ am Biotech Campus Tulln

Mit einem fortschrittlichen Konzept und praxisnaher Ausrichtung ist der neue Bachelor-Studiengang „Softwaretechnik & Digitaler Systembau“ am Biotech Campus Tulln der Fachhochschule Wiener Neustadt erfolgreich gestartet. Unter der Leitung von Dominik Hölbling erwartet die Studierenden eine Ausbildung mit Schwerpunkt auf moderne Softwaretechnologien und innovative Digitalisierungslösungen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*