Menü
Wer Risiken kennt, kann Risiken akzeptieren, mindern oder auch ganz verhindern.
Vorab: Dieser Themenbereich ist etwas länger geraten als die anderen Themen im Basiswissen. Warum ist das so?
Erstens: Die Risikoberücksichtigung ist eine konkrete gesetzliche Pflicht insbesondere aus Art. 35 DSGVO. Daher ist diese in jedem Fall zu erwähnen.
Zweitens: Die Risikoberücksichtigung ist darüber hinaus ein wertvolles und nützliches Instrument zur weiteren Bestimmung und Einrichtung von angemessenen Schutzmechanismen und zur nachweislichen Umsetzung von DSGVO-Anforderungen. Um diese Methode nutzen zu können, bedarf es etwas mehr Erklärung. Somit haben wir uns entschieden, hier etwas weiter auszuholen.
Falls Sie nur die Kurzfassung sehen möchten, springen Sie auf unser kleines Schaubild: Prozessdarstellung zur DSFA-Prüfung einfach
Die DSGVO verfolgt einem risikobasierten Ansatz. Faustregel: Je größer das Risiko für die Betroffenen, desto sorgfältiger sollten die Schutz- und Sicherheitsmaßnahmen erfolgen.
Schutz- und Sicherheitsmaßnahmen werden nicht nur getroffen, um eine Datenverarbeitung grundsätzlich zu schützen, sondern auch um ein erkanntes Risiko zu mindern oder ganz abzustellen. Dies dient dem Schutz der Daten.
Es leuchtet ein, dass ein Risiko nur dann vermindert, vermieden oder auch ausgelagert werden kann, wenn es Ihnen überhaupt bekannt ist. Hierzu dient insbesondere die Datenschutz-Folgenabschätzung (DSFA), welche bei Verarbeitungen mit hohem Risiko für die Betroffenen durchzuführen ist. Mittels der DSFA werden die Risiken der betreffenden Datenverarbeitung beschrieben und bewertet, um diesen dann durch entsprechende Maßnahmen zu begegnen. Ob eine DSFA durchzuführen ist, wird mittels der Schwellwertanalyse geprüft.
Im Folgenden geht es um so schöne Begriffe wie:
Okay, zugegeben, schwierige Begriffe zu Beginn – aber eben Pflicht für neue Verarbeitungen oder beim Einsatz neuer Technologien.
Die DSGVO verpflichtet den Verantwortlichen, die mit der Datenverarbeitung einhergehenden Risiken fortlaufend zu berücksichtigen. Die Durchführung einer Risikoanalyse ist eine wertvolle Entscheidungshilfe und ein ernstzunehmendes Nachweisdokument. Denn wie wollen Sie Risiken berücksichtigen, ohne diese vorher bewertet zu haben?
In Art. 24 Abs. 1 DSGVO findet sich folgende Vorgabe:
„Der Verantwortliche setzt unter Berücksichtigung der […] Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. […]“
Und noch an weitere Stelle wird die Berücksichtigung des Risikos vorgegeben:
Art. 32 Abs. 1 DSGVO – Unter Berücksichtigung […] der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten;
Die Datenschutz-Folgenabschätzung ist eine direkte Pflicht aus Art. 35 DSGVO. Besteht voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen, müssen Sie eine Datenschutzfolgenabschätzung (DSFA) vornehmen. Mittels der Schwellwertanalyse wird zuvor geprüft, ob ein hohes Risiko vorliegt und somit eine DSFA vorzunehmen ist. Hintergrund ist insbesondere die rasante Entwicklung immer neuer Technologien mit immer größeren Datenvolumen und immer gezielteren Datenauswertungsmöglichkeiten. Auch bei rechtmäßiger Verarbeitung personenbezogener Daten entstehen Risiken für die betroffenen Personen. Hinsichtlich aller (neuen) Verarbeitungstätigkeiten sind die von diesen ausgehenden Risiken zu prüfen.
Die DSGVO verpflichtet jeden Verantwortlichen dazu, genau dies für jede neue Verarbeitung zu prüfen. Die Frage, ob überhaupt eine DSFA durchzuführen ist oder nicht, wird mithilfe einer sogenannten Schwellwertanalyse ermittelt. Eine Schwellwertanalyse ist daher nichts anderes als eine grundsätzliche Risikoabwägung einer Verarbeitung, um festzustellen, ob die Verarbeitung aufgrund der Art, des Umfangs, der Umstände und ihrer Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.
Kopf hoch – Eine Schwellwertanalyse ist bei mehrmaliger Anwendung gar nicht so schwer!
Haben Sie eine kritische Verarbeitung vor, sollten Sie die einzelnen Punkte einer Schwellwertanalyse genau durchführen. Keine Sorge, wir haben Ihnen die erforderlichen Prüfschritte in einer Checkliste für eine Schwellwertanalyse zusammengetragen und hier etwas näher erläutert.
Schauen Sie nach, ob die Verarbeitung auf einer „Liste der Verarbeitungen nach Art. 35 DSGVO“ steht, auch „Muss-Liste“ oder „Positiv-Liste der Aufsichtsbehörden“ genannt.
Wenn Sie sich auf einer dieser Listen wiederfinden, ist in der Regel eine DSFA durchzuführen.
Eine DSFA ist i. d. R. erforderlich:
Haben Sie eine kritische Verarbeitung vor oder sind Sie sich nach der Durchführung der vorangegangenen Prüfschritte nicht sicher, führen Sie eine zusätzliche Risikoanalyse durch (siehe unten: „Wie kann ich ein Risiko bewerten?“). Wenn Ihre durchgeführte Risikoanalyse voraussichtlich KEIN hohes Risiko für die Rechte und Freiheiten von Personen ergibt, deren Daten Sie verarbeiten, dann brauchen Sie keine DSFA durchführen. Wenn Ihre durchgeführte Risikoanalyse voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Betroffenen hat, dann müssen Sie eine DSFA durchführen.
Wenn Sie die Prüfung – also eine Schwellwertanalyse – vorgenommen haben, kommen Sie entweder zu einem positiven oder negativen Ergebnis.
Ihre Datenverarbeitung wird voraussichtlich KEIN hohes Risiko für die Personen bedeuten, deren Daten Sie verarbeiten. Dann können Sie festhalten, dass Sie aufgrund des Ergebnisses keine DSFA durchführen müssen. Dies ist übrigens bei den allermeisten Verarbeitungen der Fall.
Ihre Datenverarbeitung kann voraussichtlich ein hohes Risiko für die Personen bedeuten, deren Daten Sie verarbeiten. In diesen Fall ist eine DSFA durchzuführen.
Für die allermeisten Verarbeitungen bedarf es keiner DSFA, die Prüfung und ggf. Begründung – DSFA erfoderlich/nicht erforderlich – sind entsprechend zu dokumentieren.
Eine Schwellwertanalyse dient auch der Abwägung und Behandlung von Risiken einer bestehenden Verarbeitung. Wenn sich die Form und Art einer Ihrer bestehenden Verarbeitungen grundlegend ändert – zum Beispiel durch den Einsatz neuer Software oder Technologie oder das Zusammenführen von Arbeitsprozessen oder Daten –, dann sollten Sie diese Verarbeitung so betrachten, als würde es sich um eine neue Verarbeitung handeln. Das bedeutet, dass Sie anhand der o. g. Schwellwertanalyse einmal grundsätzlich prüfen, ob eine DSFA durchzuführen ist.
Wenn Sie für bestehende Verarbeitungen aufgrund einer Schwellwertanalyse zu dem Ergebnis gekommen sind, dass eine DSFA nicht erforderlich ist, dann brauchen Sie auch keine DSFA durchführen. Das Ergebnis sollten Sie im Verzeichnis der Verarbeitungstätigkeiten (VVT) dokumentieren.
Leider macht es die DSGVO dem Verantwortlichen nicht unbedingt leicht, denn es findet sich kein konkret vorgegebener Prüfablauf im Gesetz. Es werden jedoch Mindestinhalte in Art. 35 Abs. 7 DSGVO bestimmt. Den Prozess müssen Sie daher eigenverantwortlich gestalten. Die Aufsichtsbehörden der Länder haben zur Unterstützung das Kurzpapier Nr. 5 zur DSFA herausgegeben, was einen Blick in jedem Fall lohnt. Darüber hinaus existieren verschiedene weitere Vorschläge. Wenn Sie einen Datenschutzbeauftragten haben, ist dessen Rat einzuholen. Wenn Sie keinen Datenschutzbeauftragten benannt haben, aber eine DSFA durchzuführen ist, löst dies nach §38 BDSG eine Pflicht zur Benennung aus.
Wir stellen Ihnen einen geeigneten Ablauf in vier Phasen kurz vor, um eine DSFA im Regelfall zu meistern.
Art. 35 Abs. 7 a DSGVO
Art. 35 Abs. 7 b, c DSGVO
Art. 35 Abs. 7d DSGVO
Art. 35 Abs. 11 DSGVO
Durch eine Betrachtung von Risiken und getroffenen Maßnahmen sollen die Schutzziele, auch Gewährleistungsziele genannt, aus der DSGVO umgesetzt werden. Wenn die getroffenen Maßnahmen ein angemessenes Niveau für die Sicherheit einer Verarbeitung erreichen, sollte keine ernsthafte Gefährdung mehr für den Betroffenen eintreten können.
Es sind stets die Risiken zu betrachten, welche für die Rechte und Freiheiten natürlicher Personen eintreten (könnten). An dieser Stelle ist es wichtig zu erwähnen, dass es bei der Risikobetrachtung nicht um Ihre eigenen Unternehmensrisiken geht, sondern immer um die Risiken für betroffene Personen, deren Daten Sie verarbeiten. Das können Kunden, Beschäftigte, Aushilfen, Lieferanten, Dienstleister etc. sein. Nachfolgend sind einige mögliche Risiken aufgeführt, die die Rechte und Freiheiten einer Person beeinträchtigen können und aus denen ein konkreter Schaden entstehen kann. Auch gibt die DSK in ihrer Arbeitshilfe Nr. 18 an, was unter einem "Risiko für die Rechte und Freiheiten natürlicher Personen (DSK)" verstanden werden kann.
Weitere Risiken (oder auch Schadenskategorien) sind möglich.
In der DSGVO sind vier grundlegende Schutzziele genannt. Dies sind Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit. Die Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit sind feste Begriffe aus der IT-Sicherheit.
Generell soll keine unbefugte Person an die Daten herankommen, auch dann nicht, wenn die Daten gerade übertragen werden oder versehentlich weitergeleitet wurden. Pseudonymisieren, Verschlüsseln, Abschließen sind wichtige Bausteine, um Vertraulichkeit zu erreichen.
Die Daten sollen aktuell und richtig und vor einer Manipulierung geschützt sein.
Wenn die Daten benötigt werden, dann sollen sie auch zuverlässig zur Verfügung stehen. Auch sollen die Daten vor Verlust und Zerstörung geschützt sein. Und falls es dann doch passiert ist – wie schnell können die Daten wiederhergestellt werden?
Wie gut funktioniert die Datensicherheit bei hoher Belastung der IT-Umgebung? Auch auf den Menschen übertragen: Wie gut kann Datenschutz auch bei hoher Arbeitsbelastung und Stress noch eingehalten werden?
Weitere Gewährleistungsziele im Datenschutz gemäß dem Standard-Datenschutzmodell (SDM), die für eine Risikobetrachtung angewendet werden können, sollen hier einmal erwähnt werden.
Nur die Daten sollen verarbeitet werden, die erforderlich sind, um den jeweiligen Zweck zu erreichen. Das bedeutet, dass Daten nicht unnötig erhoben und gesammelt werden sollen oder für alle verfügbar sind. Auch eine frühzeitige Pseudonymisierung von personenbezogenen Daten trägt bereits wesentlich zur Datenminimierung bei.
Die Verarbeitung soll nachvollziehbar sein und durch die betroffene Person überprüft werden können.
Die Daten sollen nicht einfach mit anderen Datenerhebungen zusammengeführt werden können und nicht zu anderen Zwecken genutzt werden.
Die betroffene Person soll ihre Rechte tatsächlich auch wahrnehmen können. Dies erfordert Maßnahmen, um die Ausübung von Rechten zu ermöglichen.
Risiken gibt es viele im Leben. Da wir uns um den Datenschutz kümmern, müssen wir die Frage konkretisieren: „Wie können Sie ein Risiko für eine betroffene Person bei der Verarbeitung der Daten dieser Person sichtbar machen, besser einschätzen und angemessene Schutzmaßnahmen bestimmen?“
Bereits eine einfache Risikoanalyse kann Ihnen dabei helfen, erforderliche Maßnahmen zu treffen, um ein bestehendes Risiko nachvollziehbar abzusenken. Sie stellt damit ein wertvolles Instrument zur Umsetzung der DSGVO-Vorgaben dar.
Das Risiko wird identifiziert. Anhand der Schutzziele werden mögliche Schäden identifiziert.
Das Risiko wird abgeschätzt. Wie hoch ist die Eintrittswahrscheinlichkeit und wie schwer ist der mögliche Schaden?
Bestimmen des Risikos-Grades. Das Ergebnis aus Schritt 2 wird in einer Risikomatrix dargestellt. Dadurch erfolgt die Zuordnung zu Risikoabstufungen.
Eine Risikoanalyse Ihrer Verarbeitungen können Sie grundsätzlich selbst durchführen. Eine Arbeitshilfe zur Risikobetrachtung stellen wir zukünftig noch bereit. Die Klassifizierung eines Risikogrades hilft bei der Beurteilung von Schutzmaßnahmen, so dass Risiken gemindert werden können.