Getty Images/iStockphoto
Risikoanalyse für das Datenschutzkonzept nach DSGVO
Datenschutzmaßnahmen müssen für den Schutzbedarf der personenbezogenen Daten angemessen sein. Deshalb gehört zu jedem Datenschutzkonzept nach DSGVO eine Risikoanalyse.
Technische und organisatorische Maßnahmen im Datenschutz müssen immer „unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen“ ausgewählt und umgesetzt werden, so die Datenschutz-Grundverordnung (DSGVO).
Datenschutzbeauftragte (DSB) sollen bei der Erfüllung ihrer Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung tragen und die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigen.
Offensichtlich spielen die zu erwartenden Risiken für die personenbezogenen Daten eine entscheidende Rolle für die Erstellung und Implementierung eines Datenschutzkonzeptes nach DSGVO.
Man kann auch sagen: Eine regelmäßige Risikoanalyse ist nicht nur Teil eines Datenschutzkonzeptes, sondern sie bildet eine wesentliche Grundlage. Wie aber bestimmt man die Risiken für personenbezogene Daten? Wie sieht eine Risikoanalyse im Datenschutz aus? Antworten darauf findet man in der DSGVO, bei den Aufsichtsbehörden und in Zukunft in weiteren Leitlinien des Europäischen Datenschutzausschusses (European Data Protection Board, EDPB).
Was der Datenschutz unter einem Risiko versteht
Für das Datenschutzkonzept ist es zuerst wichtig zu wissen, was denn genau ein Risiko für personenbezogene Daten sein soll. In Wirklichkeit meint man mit dieser Formulierung eigentlich Risiken für die Rechte und Freiheiten natürlicher Personen, denn darum geht es im Datenschutz.
Die Erwägungsgründe zur DSGVO besagen unter anderem, dass die Risiken für die Rechte und Freiheiten natürlicher Personen, mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere, aus einer Verarbeitung personenbezogener Daten hervorgehen können, die zu einem physischen, materiellen oder immateriellen Schaden führen könnte,
- insbesondere wenn die Verarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann, wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren,
- wenn personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Zugehörigkeit zu einer Gewerkschaft hervorgehen, und genetische Daten, Gesundheitsdaten oder das Sexualleben oder strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln betreffende Daten verarbeitet werden (Personenbezogene Daten besonderer Kategorien),
- wenn persönliche Aspekte bewertet werden, insbesondere wenn Aspekte, die die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, die Zuverlässigkeit oder das Verhalten, den Aufenthaltsort oder Ortswechsel betreffen, analysiert oder prognostiziert werden, um persönliche Profile zu erstellen oder zu nutzen,
- wenn personenbezogene Daten schutzbedürftiger natürlicher Personen, insbesondere Daten von Kindern, verarbeitet werden oder
- wenn die Verarbeitung eine große Menge personenbezogener Daten und eine große Anzahl von betroffenen Personen betrifft.
Jedes Unternehmen sollte also prüfen, ob eine entsprechende Verarbeitung personenbezogener Daten stattfindet oder geplant wird.
Es kommt auf die Schwere und Eintrittswahrscheinlichkeit an
Wie hoch das Risiko und damit auch der Schutzbedarf für die jeweiligen personenbezogenen Daten einzustufen ist, hängt (wie bei anderen Risikoanalysen auch) von der möglichen Schwere des Schadens und von der Eintrittswahrscheinlichkeit des Schadens ab, wobei der Schaden, wie oben erwähnt, physisch, materiell oder immateriell sein kann.
Ein konkretes Vorgehen zur Bestimmung von Schwere und Eintrittswahrscheinlichkeit nennt die DSGVO naturgemäß nicht, vielmehr besagen die Erwägungsgründe: „Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Person sollten in Bezug auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung bestimmt werden. Das Risiko sollte anhand einer objektiven Bewertung beurteilt werden, bei der festgestellt wird, ob die Datenverarbeitung ein Risiko oder ein hohes Risiko birgt.“
Allerdings wird Unterstützung für die Risikoanalyse in Aussicht gestellt. Unternehmen können in Zukunft Anleitungen und Hilfestellungen für eine solche Risikoanalyse bekommen, durch genehmigte Verhaltensregeln, genehmigte Zertifizierungsverfahren, Leitlinien des Ausschusses (EDPB) oder Hinweise einer Aufsichtsbehörde für den Datenschutz.
Wie die Risikoquellen ermittelt werden
Hinweise zur Bestimmung der Risikoquellen geben die Aufsichtsbehörden für den Datenschutz aber schon heute: Die Quellen des Risikos für die Rechte und Freiheiten natürlicher Personen müssen identifiziert werden. Insbesondere ist dafür zu bestimmen, welche Personen motiviert sein könnten, die Verarbeitungsvorgänge und die hierin verarbeiteten Daten in unrechtmäßiger Weise zu nutzen, und welches ihre Beweggründe und möglichen Ziele sein können. Anhand dessen können die damit zusammenhängenden Eintrittswahrscheinlichkeiten ermittelt werden, so die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz).
Wann von einem hohen Risiko auszugehen ist
Eine besondere Form der Risikoanalyse ist die Datenschutz-Folgenabschätzung (DSFA), die dann vor der Aufnahme der Datenverarbeitung durchzuführen ist, wenn die Verarbeitung „wahrscheinlich ein hohes Risiko mit sich bringt“.
Die Aufsichtsbehörden haben maßgebliche Kriterien veröffentlicht, die mit entsprechend hohen Risiken verknüpft sein können. Diese sind:
- Vertrauliche oder höchst persönliche Daten
- Daten zu schutzbedürftigen Betroffenen
- Datenverarbeitung in großem Umfang
- Systematische Überwachung
- Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen
- Bewerten oder Einstufen (Scoring)
- Abgleichen oder Zusammenführen von Datensätzen
- Automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung
- Betroffene werden an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung beziehungsweise Durchführung eines Vertrags gehindert
Bei der Risikoanalyse für das Datenschutzkonzept nach DSGVO sollten Unternehmen also prüfen, ob solche Kriterien bei den geplanten Verarbeitungen personenbezogener Daten zutreffen. Je mehr Kriterien zutreffen, desto wahrscheinlicher ist ein hohes Risiko.