Henrik Dolle - Fotolia
DSGVO: Wie sich Risiken für den Datenschutz einstufen lassen
Damit der Datenschutz dem jeweiligen Risiko gerecht wird, müssen Unternehmen die Datenrisiken bewerten. Hierbei helfen Modelle der Aufsichtsbehörden für den Datenschutz.
So manches Unternehmen hält die Vorgaben des Datenschutzes für überzogen. Die Maßnahmen für den Schutz personenbezogener Daten werden als zu aufwendig angesehen, es wird gesagt, der Datenschutz binde zu viel Personal und belaste die verfügbare Projektzeit. Doch wer sich die rechtlichen Bestimmungen für den Datenschutz ansieht, stellt fest, dass immer nur angemessene Maßnahmen gefordert werden, auch in der Datenschutz-Grundverordnung (DSGVO/GDPR).
So besagt die DSGVO zur Sicherheit der Verarbeitung (Artikel 32 DSGVO): „Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.“
Die Angemessenheit hängt unter anderem von der „Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen“ ab. Doch wie bestimmt man zum Beispiel die Schwere des Risikos?
Risikomodelle im Datenschutz haben Tradition
Lange vor der Datenschutz-Grundverordnung war es schon eine Aufgabe für Unternehmen, „technische und organisatorische Maßnahmen zur Sicherstellung des Rechts auf informationelle Selbstbestimmung bezüglich ihrer Angemessenheit zu bewerten“. Dazu war und ist es unter anderem erforderlich, das Schadenspotential (das bedeutet, den Grad möglicher Beeinträchtigung schutzwürdiger Belange) näher zu bestimmen. Als Hilfsmittel hatte sich hier insbesondere das Schutzstufenkonzept des Landesbeauftragten für den Datenschutz (LfD) Niedersachsen hervorgetan. Viele andere Aufsichtsbehörden haben darauf referenziert.
Dieses Schutzstufenkonzept hatte als Ansatz, die personenbezogenen Daten in einer Form zu klassifizieren, dass sie entweder
- frei zugänglich sind,
- deren unsachgemäße Handhabung zwar keine besondere Beeinträchtigung erwarten lässt, deren Kenntnisnahme jedoch an ein berechtigtes Interesse der Einsichtnehmenden gebunden ist,
- deren unsachgemäße Handhabung den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigen könnte („Ansehen“),
- deren unsachgemäße Handhabung den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigen könnte („Existenz“), oder
- deren unsachgemäße Handhabung Gesundheit, Leben oder Freiheit des Betroffenen beeinträchtigen könnte.
Je nach Stufe (A bis E), zu der die personenbezogenen Daten gehören, müssen stärkere Maßnahmen für deren Schutz ergriffen werden. Dabei müssen zusätzlich noch das Schadenspotenzial genauer ermittelt und die Eintrittswahrscheinlichkeit abgeschätzt werden.
Risiko in der Datenschutz-Grundverordnung
Mit der DSGVO ist ein neues Datenschutzrecht zur Anwendung gekommen, so dass grundsätzlich alle Hilfsmittel und Werkzeuge für den Datenschutz auf ihre weitere Eignung zu prüfen sind.
Die DSGVO spricht an mehreren Stellen von Risiko, mögliche Hilfsmittel und Werkzeuge müssen zu diesen Bedeutungen und Anwendungen des Begriffs Risiko passen. So sagt die DSGVO unter anderem in den zugehörigen Erwägungsgründen:
- Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Person sollten in Bezug auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung bestimmt werden.
- Das Risiko sollte anhand einer objektiven Bewertung beurteilt werden, bei der festgestellt wird, ob die Datenverarbeitung ein Risiko oder ein hohes Risiko birgt.
- Anleitungen, wie der Verantwortliche oder Auftragsverarbeiter geeignete Maßnahmen durchzuführen hat und wie die Einhaltung der Anforderungen nachzuweisen ist, insbesondere was die Ermittlung des mit der Verarbeitung verbundenen Risikos, dessen Abschätzung in Bezug auf Ursache, Art, Eintrittswahrscheinlichkeit und Schwere und die Festlegung bewährter Verfahren für dessen Eindämmung betrifft, könnten insbesondere in Form von genehmigten Verhaltensregeln, genehmigten Zertifizierungsverfahren, Leitlinien des Europäischen Datenschutzausschusses oder Hinweisen eines Datenschutzbeauftragten gegeben werden.
- Der Europäische Datenschutzausschuss kann Leitlinien für Verarbeitungsvorgänge ausgeben, bei denen davon auszugehen ist, dass sie kein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen, und angeben, welche Abhilfemaßnahmen in diesen Fällen ausreichend sein können.
- In Fällen, in denen die Verarbeitungsvorgänge wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen, sollte der Verantwortliche für die Durchführung einer Datenschutz-Folgenabschätzung, mit der insbesondere die Ursache, Art, Besonderheit und Schwere dieses Risikos evaluiert werden, verantwortlich sein.
Risikomodell für die Datenschutzfolgenabschätzung
Das Bayerische Landesamt für Datenschutzaufsicht hat Informationen dazu veröffentlicht, wie Risiken für personenbezogene Daten eingestuft werden können, unter anderem, um im Fall eines hohen Risikos die geforderte Datenschutzfolgenabschätzung durchzuführen.
Dabei stellt die Aufsichtsbehörde nochmals klar, dass es zwei Dimensionen bei der Risikoeinstufung gibt: die Schwere des potentiellen Schadens und die Wahrscheinlichkeit, dass das Ereignis und die Folgeschäden eintreten.
Anhand dieser Dimensionen werden Risiken für personenbezogene Daten unterteilt in „geringes Risiko“, „Risiko“ und „hohes Risiko“. Sind weder die mögliche Schwere des Schadens für den Betroffenen noch die Eintrittswahrscheinlichkeit hoch, spricht man von einem „geringen Risiko“. Erreicht die Schwere des Schadens und die Eintrittswahrscheinlichkeit in Kombination ein mittleres Niveau für das Risiko des Betroffenen, spricht man von „Risiko“ oder „normalem Risiko“. Ein „hohes Risiko“ umfasst potentielle Schäden, deren Ausmaß für die Rechte und Freiheiten von Betroffenen gravierend und/oder ziemlich wahrscheinlich sind.
Damit man sich die Einstufung der Risiken besser vorstellen kann, sind die Beispiele, die die Aufsichtsbehörde aufgelistet hat, hilfreich. Zu finden sind diese Beispiele hier (PDF).
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!