Risk Assessment Datenschutz

Geschrieben von p578648 am 27. April 2019. Veröffentlicht in Allgemein.

Risk Assessment Datenschutz: Im DS-GVO gelten (unabhängig von den durch den Verantwortlichen und/oder Auftragsverarbeiter selbst gesteckten Zielen) als Mindestziele

die Einhaltung der DS-GVO im Allgemeinen und
die Reduzierung der Haftung beim Umgang mit personenbezogenen Daten im Besonderen auf das akzeptable Maß.

Für die Durchführung des Risk Assessment Datenschutz (risikobasierter Ansatz – Datenschutz) erhalten Sie mit diesem Informationsblog 6 Praxishinweise zu folgenden Punkten:

Welche Risiken stehen im Fokus des Risk Assessments Datenschutz?
Ermittlung des Risikos und der Eintrittswahrscheinlichkeit
Wie kann der Schaden für die Rechte und Freiheiten natürlicher Personen quantifiziert werden?
Einstufung zur Schwere des Schadens
Ergreifen von geeigneten Präventionsmaßnahmen
TOMs: technische und organisatorische Maßnahmen

Risk Assessment Datenschutz

Risk Assessment Datenschutz – Der risikobasierte Ansatz

Das Risk Assessment Datenschutz stellt folgende Risiken in den Mittelpunkt:

Das Risiko der Nichteinhaltung der DS-GVO, in erster Linie sanktioniert durch entsprechende Bußgeldvorschriften.
Das Risiko auf Schadensersatz durch Verarbeitung personenbezogener Daten, die die Rechte und Freiheiten der Betroffenen nicht angemessen berücksichtigen.

ErwG 75 DS-GVO liefert konkrete Hinweise, welche Aspekte bei der Ermittlung der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten der Betroffenen zu berücksichtigen sind.

Ein risikobasierter Ansatz Datenschutz hat nach ErwG 89 DS-GVO Verarbeitungsvorgängen zu berücksichtigen, die aufgrund

ihrer Art,
ihres Umfangs,
ihrer Umstände und
ihrer Zwecke

wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen.

Zu diesen Verarbeitungsvorgängen zählen insbesondere solche,

bei denen neue Technologien eingesetzt werden oder die neuartig sind und
bei denen der Verantwortliche noch keine Datenschutz-Folgenabschätzung durchgeführt hat
bzw. bei denen aufgrund der seit der ursprünglichen Verarbeitung vergangenen Zeit eine Datenschutz-Folgenabschätzung notwendig geworden ist.

Ein risikobasierter Ansatz – Datenschutz umfasst nach Art. 35 Abs. 1 DS-GVO Verarbeitungsvorgänge, die insbesondere

bei Verwendung neuer Technologien,
aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung

voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben. In diesen Fällen hat der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchzuführen. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.

Risiko – Eintritt des Risikos und Eintrittswahrscheinlichkeit – Risk Assessment Datenschutz

Ein risikobasierter Ansatz – Datenschutz erfordert auch, daß zu den Risiken jeweils die Schwere der Folgen bei Eintritt des Risikos als auch die zu erwartende Eintrittswahrscheinlichkeit hierfür anzugeben sind.

Das Risiko sollte nach ErwG 76 DS-GVO anhand einer objektiven Bewertung beurteilt werden. Bei dieser Bewertung wird festgestellt, ob die Datenverarbeitung ein hohes Risiko birgt.

Bevor eine Verarbeitung personenbezogener Daten durchgeführt wird, ist unabhängig von der Frage, ob hierzu eine Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO durchzuführen ist oder nicht, zu prüfen, ob durch die geplante Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen entstehen kann.

Das Risk Assessment Datenschutz ist auch für bereits bestehende und noch nicht entsprechend überprüfte Verarbeitungen nach ErwG 89 DS-GVO im Laufe der Zeit durchzuführen. Erst nach dieser Abschätzung ist zu prüfen, welche technischen und organisatorischen Maßnahmen zu ergreifen sind, um die Schwere und/oder die Eintrittswahrscheinlichkeit des festgestellten Risikos eindämmen zu können. Ein risikobasierter Ansatz – Datenschutz erfordert die Überprüfung bis ein ausreichendes Schutzniveau sichergestellt ist.

Schaden für die Rechte und Freiheiten natürlicher Personen – Risk Assessment Datenschutz

Nach ErwG 75 DS-GVO können die Risiken für die Rechte und Freiheiten natürlicher Personen – mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere – aus einer Verarbeitung personenbezogener Daten hervorgehen. Diese Risiken können zu einem

physischen Schaden,
materiellen Schaden oder
immateriellen Schaden

führen.

Nach Art. 82 Abs. 3 DS-GVO wird der Verantwortliche oder der Auftragsverarbeiter von seiner Haftung über eingetretene Schäden befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Ein solcher Nachweis dürfte jedoch nur möglich sein, wenn für die einzelnen Verarbeitungstätigkeiten dokumentiert ist, dass einerseits die Vorschriften aus der DS-GVO berücksichtigt und andererseits angemessene technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten ergriffen wurden. Ein risikobasierter Ansatz – Datenschutz hat diese Dokumentation sicherzustellen.

Der Europäische Datenschutzausschuss kann nach ErwG 77 DS-GVO Leitlinien für Verarbeitungsvorgänge ausgeben. Dies wird zu Verarbeitungsvorgängen erfolgen, bei denen davon auszugehen ist, dass sie kein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen. Geplant ist auch, daß die notwendigen Abhilfemaßnahmen vorgegeben werden.

Risk Assessment Datenschutz – Einstufung zur Schwere des Schadens

Für die Einstufung zur Schwere des Schadens bietet sich eine dreistufige Einteilung an, da in der DS-GVO nur unterschieden wird zwischen keinem Risiko, einem bestehenden (normalen bzw. durchschnittlich ausgeprägten) Risiko und einem hohen Risiko. Bei den etablierten Risikomanagementmethoden gibt es die Einstufung „kein Risiko“ nicht, da Risiko gemäß ISO/IEC 27000, Abschnitt 2.68, als „Auswirkung von Ungewissheit auf Ziele“ definiert ist. Bei keinem Risiko gibt es keine Ungewissheit. Insofern wird hier von geringem Risiko gesprochen, zumal ein Ausschluss eines Risikos eher selten postuliert werden kann.

Eintrittswahrscheinlichkeit – Risk Assessment Datenschutz

Nach ErwG 76 DS-GVO sollten Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Person in Bezug auf

die Art,
den Umfang,
die Umstände und
die Zwecke der Verarbeitung

bestimmt werden.

Das Risk Assessment Datenschutz sollte für die Einstufung zur Eintrittswahrscheinlichkeit -aus Gründen der Symmetrie- auf einer dreistufigen Einteilung basieren. Einerseits lassen sich Eintrittswahrscheinlichkeiten nur schwerlich quantitativ berechnen. Andererseits kann man jedoch ausreichend gut abschätzen, wie leicht es einem Angreifer fallen würde, unbefugt auf zu schützende Daten zuzugreifen und wie oft fahrlässig ein Verstoß unabsichtlich verursacht werden kann.

Nach Art. 4 Nr. 12 DS-GVO ist bei einer Verletzung des Schutzes personenbezogener Daten sowohl die unrechtmäßige als auch die unbeabsichtigte Verletzung der Sicherheit und damit von Art. 32 DS-GVO zu betrachten. In drei Stufen lässt sich dies in der Praxis gut abschätzen.

Ergreifen geeigneter Präventionsmaßnahmen – Risk Assessment Datenschutz

Weist ein festgestelltes Risiko für die Rechte und Freiheiten der Betroffenen einen hohen potenziellen Schaden auf oder eine hohe Eintrittswahrscheinlichkeit, ist das Ergreifen geeigneter Abhilfemaßnahmen notwendig.

Während nach Art. 30 Abs. 1 lit. g DS-GVO lediglich eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen für das Verzeichnis von Verarbeitungstätigkeiten gefordert ist, ist für die risikoadäquate Betrachtung eine spezifische Beschreibung der technischen und organisatorischen Maßnahmen erforderlich.

Dabei gilt: Je höher der Schutzbedarf der verarbeiteten personenbezogenen Daten ausfällt (wie für Daten nach Art. 9 Abs. 1 DS-GVO, desto präziser sind entsprechende technische und organisatorische Maßnahmen zu treffen. Dies wird dann der Fall sein, wenn eine umfangreiche Verarbeitung erfolgt oder Verarbeitungen zum Zweck des Profilings durchgeführt werden. Gemäß ErwG 77 DS-GVO könnte dies durch

genehmigte Verhaltensregeln,
genehmigte Zertifizierungsverfahren,
Leitlinien des Europäischen Datenschutzausschusses nach Art. 70 Abs. 1 lit. d-m DS-GVO
oder Hinweise des Datenschutzbeauftragten

erfolgen.

Risk Assessment Datenschutz: TOMs

Zum Schutz der in Bezug auf die Verarbeitung personenbezogener Daten bestehenden Rechte und Freiheiten natürlicher Personen ist es nach ErwG 78 DS-GVO erforderlich, dass geeignete technische und organisatorische Maßnahmen (TOMs) getroffen werden, damit die Anforderungen der DS-GVO erfüllt werden.

Um die Einhaltung der Vorgaben der DS-GVO nachweisen zu können, sollte der Verantwortliche interne Strategien festlegen und Maßnahmen ergreifen, welche

die Grundsätze des Datenschutzes durch Technik (data protection by design) und
die Anforderungen an datenschutzfreundliche Voreinstellungen (data protection by default)

erfüllen.

Name	Borlabs Cookie
Anbieter	Eigentümer dieser Website, Impressum
Zweck	Speichert die Einstellungen der Besucher, die in der Cookie Box von Borlabs Cookie ausgewählt wurden.
Cookie Name	borlabs-cookie
Cookie Laufzeit	1 Jahr

Name	phpSession-Cookie
Anbieter	Eigentümer dieser Website
Zweck	Um einem Benutzer während der Nutzung zusammengehörige Anfragen zuordnen zu können.
Datenschutzerklärung	https://sp-unternehmerforum.de/datenschutz-sp-recht/
Host(s)	sp-unternehmerforum.de
Cookie Name	PHPSESSID
Cookie Laufzeit	1 Jahr