Risk Assessment Datenschutz
Risk Assessment Datenschutz: Im DS-GVO gelten (unabhängig von den durch den Verantwortlichen und/oder Auftragsverarbeiter selbst gesteckten Zielen) als Mindestziele
- die Einhaltung der DS-GVO im Allgemeinen und
- die Reduzierung der Haftung beim Umgang mit personenbezogenen Daten im Besonderen auf das akzeptable Maß.
Für die Durchführung des Risk Assessment Datenschutz (risikobasierter Ansatz – Datenschutz) erhalten Sie mit diesem Informationsblog 6 Praxishinweise zu folgenden Punkten:
- Welche Risiken stehen im Fokus des Risk Assessments Datenschutz?
- Ermittlung des Risikos und der Eintrittswahrscheinlichkeit
- Wie kann der Schaden für die Rechte und Freiheiten natürlicher Personen quantifiziert werden?
- Einstufung zur Schwere des Schadens
- Ergreifen von geeigneten Präventionsmaßnahmen
- TOMs: technische und organisatorische Maßnahmen
Risk Assessment Datenschutz – Der risikobasierte Ansatz
Das Risk Assessment Datenschutz stellt folgende Risiken in den Mittelpunkt:
- Das Risiko der Nichteinhaltung der DS-GVO, in erster Linie sanktioniert durch entsprechende Bußgeldvorschriften.
- Das Risiko auf Schadensersatz durch Verarbeitung personenbezogener Daten, die die Rechte und Freiheiten der Betroffenen nicht angemessen berücksichtigen.
ErwG 75 DS-GVO liefert konkrete Hinweise, welche Aspekte bei der Ermittlung der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten der Betroffenen zu berücksichtigen sind.
Ein risikobasierter Ansatz Datenschutz hat nach ErwG 89 DS-GVO Verarbeitungsvorgängen zu berücksichtigen, die aufgrund
- ihrer Art,
- ihres Umfangs,
- ihrer Umstände und
- ihrer Zwecke
wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen.
Zu diesen Verarbeitungsvorgängen zählen insbesondere solche,
- bei denen neue Technologien eingesetzt werden oder die neuartig sind und
- bei denen der Verantwortliche noch keine Datenschutz-Folgenabschätzung durchgeführt hat
- bzw. bei denen aufgrund der seit der ursprünglichen Verarbeitung vergangenen Zeit eine Datenschutz-Folgenabschätzung notwendig geworden ist.
Ein risikobasierter Ansatz – Datenschutz umfasst nach Art. 35 Abs. 1 DS-GVO Verarbeitungsvorgänge, die insbesondere
- bei Verwendung neuer Technologien,
- aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung
voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben. In diesen Fällen hat der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchzuführen. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.
Risiko – Eintritt des Risikos und Eintrittswahrscheinlichkeit – Risk Assessment Datenschutz
Ein risikobasierter Ansatz – Datenschutz erfordert auch, daß zu den Risiken jeweils die Schwere der Folgen bei Eintritt des Risikos als auch die zu erwartende Eintrittswahrscheinlichkeit hierfür anzugeben sind.
Das Risiko sollte nach ErwG 76 DS-GVO anhand einer objektiven Bewertung beurteilt werden. Bei dieser Bewertung wird festgestellt, ob die Datenverarbeitung ein hohes Risiko birgt.
Bevor eine Verarbeitung personenbezogener Daten durchgeführt wird, ist unabhängig von der Frage, ob hierzu eine Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO durchzuführen ist oder nicht, zu prüfen, ob durch die geplante Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen entstehen kann.
Das Risk Assessment Datenschutz ist auch für bereits bestehende und noch nicht entsprechend überprüfte Verarbeitungen nach ErwG 89 DS-GVO im Laufe der Zeit durchzuführen. Erst nach dieser Abschätzung ist zu prüfen, welche technischen und organisatorischen Maßnahmen zu ergreifen sind, um die Schwere und/oder die Eintrittswahrscheinlichkeit des festgestellten Risikos eindämmen zu können. Ein risikobasierter Ansatz – Datenschutz erfordert die Überprüfung bis ein ausreichendes Schutzniveau sichergestellt ist.
Schaden für die Rechte und Freiheiten natürlicher Personen – Risk Assessment Datenschutz
Nach ErwG 75 DS-GVO können die Risiken für die Rechte und Freiheiten natürlicher Personen – mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere – aus einer Verarbeitung personenbezogener Daten hervorgehen. Diese Risiken können zu einem
- physischen Schaden,
- materiellen Schaden oder
- immateriellen Schaden
führen.
Nach Art. 82 Abs. 3 DS-GVO wird der Verantwortliche oder der Auftragsverarbeiter von seiner Haftung über eingetretene Schäden befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Ein solcher Nachweis dürfte jedoch nur möglich sein, wenn für die einzelnen Verarbeitungstätigkeiten dokumentiert ist, dass einerseits die Vorschriften aus der DS-GVO berücksichtigt und andererseits angemessene technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten ergriffen wurden. Ein risikobasierter Ansatz – Datenschutz hat diese Dokumentation sicherzustellen.
Der Europäische Datenschutzausschuss kann nach ErwG 77 DS-GVO Leitlinien für Verarbeitungsvorgänge ausgeben. Dies wird zu Verarbeitungsvorgängen erfolgen, bei denen davon auszugehen ist, dass sie kein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen. Geplant ist auch, daß die notwendigen Abhilfemaßnahmen vorgegeben werden.
Risk Assessment Datenschutz – Einstufung zur Schwere des Schadens
Für die Einstufung zur Schwere des Schadens bietet sich eine dreistufige Einteilung an, da in der DS-GVO nur unterschieden wird zwischen keinem Risiko, einem bestehenden (normalen bzw. durchschnittlich ausgeprägten) Risiko und einem hohen Risiko. Bei den etablierten Risikomanagementmethoden gibt es die Einstufung „kein Risiko“ nicht, da Risiko gemäß ISO/IEC 27000, Abschnitt 2.68, als „Auswirkung von Ungewissheit auf Ziele“ definiert ist. Bei keinem Risiko gibt es keine Ungewissheit. Insofern wird hier von geringem Risiko gesprochen, zumal ein Ausschluss eines Risikos eher selten postuliert werden kann.
Eintrittswahrscheinlichkeit – Risk Assessment Datenschutz
Nach ErwG 76 DS-GVO sollten Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Person in Bezug auf
- die Art,
- den Umfang,
- die Umstände und
- die Zwecke der Verarbeitung
bestimmt werden.
Das Risk Assessment Datenschutz sollte für die Einstufung zur Eintrittswahrscheinlichkeit -aus Gründen der Symmetrie- auf einer dreistufigen Einteilung basieren. Einerseits lassen sich Eintrittswahrscheinlichkeiten nur schwerlich quantitativ berechnen. Andererseits kann man jedoch ausreichend gut abschätzen, wie leicht es einem Angreifer fallen würde, unbefugt auf zu schützende Daten zuzugreifen und wie oft fahrlässig ein Verstoß unabsichtlich verursacht werden kann.
Nach Art. 4 Nr. 12 DS-GVO ist bei einer Verletzung des Schutzes personenbezogener Daten sowohl die unrechtmäßige als auch die unbeabsichtigte Verletzung der Sicherheit und damit von Art. 32 DS-GVO zu betrachten. In drei Stufen lässt sich dies in der Praxis gut abschätzen.
Ergreifen geeigneter Präventionsmaßnahmen – Risk Assessment Datenschutz
Weist ein festgestelltes Risiko für die Rechte und Freiheiten der Betroffenen einen hohen potenziellen Schaden auf oder eine hohe Eintrittswahrscheinlichkeit, ist das Ergreifen geeigneter Abhilfemaßnahmen notwendig.
Während nach Art. 30 Abs. 1 lit. g DS-GVO lediglich eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen für das Verzeichnis von Verarbeitungstätigkeiten gefordert ist, ist für die risikoadäquate Betrachtung eine spezifische Beschreibung der technischen und organisatorischen Maßnahmen erforderlich.
Dabei gilt: Je höher der Schutzbedarf der verarbeiteten personenbezogenen Daten ausfällt (wie für Daten nach Art. 9 Abs. 1 DS-GVO, desto präziser sind entsprechende technische und organisatorische Maßnahmen zu treffen. Dies wird dann der Fall sein, wenn eine umfangreiche Verarbeitung erfolgt oder Verarbeitungen zum Zweck des Profilings durchgeführt werden. Gemäß ErwG 77 DS-GVO könnte dies durch
- genehmigte Verhaltensregeln,
- genehmigte Zertifizierungsverfahren,
- Leitlinien des Europäischen Datenschutzausschusses nach Art. 70 Abs. 1 lit. d-m DS-GVO
- oder Hinweise des Datenschutzbeauftragten
erfolgen.
Risk Assessment Datenschutz: TOMs
Zum Schutz der in Bezug auf die Verarbeitung personenbezogener Daten bestehenden Rechte und Freiheiten natürlicher Personen ist es nach ErwG 78 DS-GVO erforderlich, dass geeignete technische und organisatorische Maßnahmen (TOMs) getroffen werden, damit die Anforderungen der DS-GVO erfüllt werden.
Um die Einhaltung der Vorgaben der DS-GVO nachweisen zu können, sollte der Verantwortliche interne Strategien festlegen und Maßnahmen ergreifen, welche
- die Grundsätze des Datenschutzes durch Technik (data protection by design) und
- die Anforderungen an datenschutzfreundliche Voreinstellungen (data protection by default)
erfüllen.