Risikobasierter Ansatz – Datenschutz

Risikobasierter Ansatz – Datenschutz

Im DS-GVO gelten (unabhängig von den durch den Verantwortlichen und/oder Auftragsverarbeiter selbst gesteckten Zielen) als Ziele

  • die Einhaltung der DS-GVO im Allgemeinen und
  • die Reduzierung der Haftung beim Umgang mit personenbezogenen Daten im Besonderen auf das akzeptable Maß.

Risikobasierter Ansatz - Datenschutz

Risikobasierter Ansatz – Datenschutz

Als zu betrachtende Risiken resultiert daraus:

  • Einerseits das Risiko der Nichteinhaltung der DS-GVO, in erster Linie sanktioniert durch entsprechende Bußgeldvorschriften und
  • andererseits das Risiko auf Schadensersatz durch Verarbeitung personenbezogener Daten, die die Rechte und Freiheiten der Betroffenen nicht angemessen berücksichtigt.

ErwG 75 DS-GVO liefert konkrete Hinweise, welche Aspekte bei der Ermittlung der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten der Betroffenen zu berücksichtigen sind.

Nach ErwG 89 DS-GVO gehören zu den Verarbeitungsvorgängen, die aufgrund

  • ihrer Art,
  • ihres Umfangs,
  • ihrer Umstände und
  • ihrer Zwecke

wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen, insbesondere solche,

  • bei denen neue Technologien eingesetzt werden oder die neuartig sind und
  • bei denen der Verantwortliche noch keine Datenschutz-Folgenabschätzung durchgeführt hat
  • bzw. bei denen aufgrund der seit der ursprünglichen Verarbeitung vergangenen Zeit eine Datenschutz-Folgenabschätzung notwendig geworden ist.

Hat gem. Art. 35 Abs. 1 DS-GVO eine Form der Verarbeitung, insbesondere

  • bei Verwendung neuer Technologien,
  • aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung

voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.

 

Risiko – Eintritt des Risikos und Eintrittswahrscheinlichkeit – Risikobasierter Ansatz – Datenschutz

Zu den Risiken sind jeweils die Schwere der Folgen bei Eintritt des Risikos als auch die zu erwartende Eintrittswahrscheinlichkeit hierfür anzugeben.

Das Risiko sollte nach ErwG 76 DS-GVO anhand einer objektiven Bewertung beurteilt werden, bei der festgestellt wird, ob die Datenverarbeitung ein Risiko oder ein hohes Risiko birgt.

Bevor eine Verarbeitung personenbezogener Daten durchgeführt wird, ist unabhängig von der Frage, ob hierzu eine Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO durchzuführen ist oder nicht, zu prüfen, ob durch die geplante Verarbeitung voraussichtlich (!) ein hohes Risiko für die Rechte und Freiheiten der Betroffenen entstehen kann. Dies ist auch für bereits bestehende und noch nicht entsprechend überprüfte Verarbeitungen nach ErwG 89 DS-GVO im Laufe der Zeit zu prüfen. Erst nach dieser Abschätzung ist zu prüfen, welche technischen und organisatorischen Maßnahmen zu ergreifen sind, um die Schwere und/oder die Eintrittswahrscheinlichkeit des festgestellten Risikos eindämmen zu können, bis ein ausreichendes Schutzniveau besteht.

Schaden für die Rechte und Freiheiten natürlicher Personen. Nach ErwG 75 DS-GVO können die Risiken für die Rechte und Freiheiten natürlicher Personen – mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere – aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einem

  • physischen Schaden,
  • materiellen Schaden oder
  • immateriellen Schaden

führen könnte.

Nach Art. 82 Abs. 3 DS-GVO wird der Verantwortliche oder der Auftragsverarbeiter von seiner Haftung über eingetretene Schäden befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Ein solcher Nachweis dürfte jedoch nur möglich sein, wenn für die einzelnen Verarbeitungstätigkeiten (inkl. Planung) dokumentiert ist, dass einerseits die Vorschriften aus der DS-GVO berücksichtigt und andererseits angemessene technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten ergriffen wurden.

Der Europäische Datenschutzausschuss kann nach ErwG 77 DS-GVO Leitlinien für Verarbeitungsvorgänge ausgeben, bei denen davon auszugehen ist, dass sie kein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen, und angeben, welche Abhilfemaßnahmen in diesen Fällen ausreichend sein können.

Für die Einstufung zur Schwere des Schadens bietet sich eine dreistufige Einteilung an, da in der DS-GVO nur unterschieden wird zwischen keinem Risiko, einem bestehenden (normalen bzw. durchschnittlich ausgeprägten) Risiko und einem hohen Risiko. Bei den etablierten Risikomanagementmethoden gibt es die Einstufung „kein Risiko“ nicht, da Risiko gemäß ISO/IEC 27000, Abschnitt 2.68, als „Auswirkung von Ungewissheit auf Ziele“ definiert ist. Bei keinem Risiko gibt es keine Ungewissheit. Insofern wird hier von geringem Risiko gesprochen, zumal ein Ausschluss eines Risikos eher selten postuliert werden kann.

Eintrittswahrscheinlichkeit – Risikobasierter Ansatz – Datenschutz

Nach ErwG 76 DS-GVO sollten Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Person in Bezug auf

  • die Art,
  • den Umfang,
  • die Umstände und
  • die Zwecke der Verarbeitung

bestimmt werden.

Auch für die Einstufung zur Eintrittswahrscheinlichkeit bietet sich aus Symmetriegründen eine dreistufige Einteilung an. Einerseits lassen sich Eintrittswahrscheinlichkeiten nur schwerlich quantitativ valide berechnen. Andererseits kann man jedoch ausreichend gut abschätzen, wie leicht es einem Angreifer fallen würde, unbefugt auf zu schützende Daten zuzugreifen und wie oft fahrlässig ein Verstoß unabsichtlich verursacht werden kann. Nach Art. 4 Nr. 12 DS-GVO ist bei einer Verletzung des Schutzes personenbezogener Daten sowohl die unrechtmäßige als auch die unbeabsichtigte Verletzung der Sicherheit und damit von Art. 32 DS-GVO zu betrachten. In drei Stufen lässt sich das erfahrungsgemäß gut abschätzen.

Ergreifen geeigneter Abhilfemaßnahmen – Risikobasierter Ansatz – Datenschutz

Weist ein festgestelltes Risiko für die Rechte und Freiheiten der Betroffenen einen hohen potenziellen Schaden auf oder eine hohe Eintrittswahrscheinlichkeit, ist das Ergreifen geeigneter Abhilfemaßnahmen notwendig.

Während nach Art. 30 Abs. 1 lit. g DS-GVO lediglich eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen für das Verzeichnis von Verarbeitungstätigkeiten gefordert ist, ist für die risikoadäquate Betrachtung eine spezifische Beschreibung der technischen und organisatorischen Maßnahmen erforderlich.

Dabei gilt: Je höher der Schutzbedarf der verarbeiteten personenbezogenen Daten ausfällt (wie für Daten nach Art. 9 Abs. 1 DS-GVO, sofern deren Verarbeitung umfangreich erfolgt, oder für Verarbeitungen zum Zweck des Profilings, sofern deren Verarbeitung systematisch und umfassend erfolgt) bzw. je höher ein Risiko für die Rechte und Freiheiten der Betroffenen ausfallen kann, desto präziser sind entsprechende technische und organisatorische Maßnahmen zu treffen.

Anleitungen, wie der Verantwortliche oder Auftragsverarbeiter geeignete Maßnahmen durchzuführen hat und wie die Einhaltung der Anforderungen nachzuweisen ist, insbesondere was die Ermittlung des mit der Verarbeitung verbundenen Risikos, dessen Abschätzung in Bezug auf Ursache, Art, Eintrittswahrscheinlichkeit und Schwere und die Festlegung bewährter Verfahren für dessen Eindämmung anbelangt, könnten gemäß ErwG 77 DS-GVO insbesondere in Form von

  • genehmigten Verhaltensregeln,
  • genehmigten Zertifizierungsverfahren,
  • Leitlinien des Europäischen Datenschutzausschusses nach Art. 70 Abs. 1 lit. d-m DS-GVO
  • oder Hinweisen eines Datenschutzbeauftragten

gegeben werden.

Zum Schutz der in Bezug auf die Verarbeitung personenbezogener Daten bestehenden Rechte und Freiheiten natürlicher Personen ist es nach ErwG 78 DS-GVO erforderlich, dass geeignete technische und organisatorische Maßnahmen getroffen werden, damit die Anforderungen der DS-GVO erfüllt werden. Um die Einhaltung der Vorgaben der DS-GVO nachweisen zu können, sollte der Verantwortliche interne Strategien festlegen und Maßnahmen ergreifen, die insbesondere den Grundsätzen des Datenschutzes durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) Genüge tun.

Tags:

Newsletter