Datenschutzrisiken rechtskonform bewältigen - Blog - Der Datenschutzbeauftragte

Datenschutzrisiken rechtskonform bewältigen

Die DSGVO (Datenschutzgrundverordnung) legt zum Teil andere Regeln und Kriterien und Herangehensweisen für die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen fest. Eine zentrale Rolle spielt der risikobasierte Ansatz, den die DSGVO vertritt.  International beschäftigen sich Aufsichtsbehörden und Normierungsgremien schon seit Jahren mit der Bewertung und dem Management von Risiko aus informationstechnischer und datenschutzrechtlicher Sicht. Für den deutschen Bereich ist dieser Ansatz ebenfalls nicht völlig neu.

Was genau ein Risiko ist, wird in der DSGVO nicht definiert. Allgemein geläufig ist aber die Definition, dass ein Risiko die Wahrscheinlichkeit eines Schadenseintritts, multipliziert mit der vermuteten Schadenshöhe ist. Beispiele für mögliche hohe Risiken liefert zwar nicht die DSGVO selbst, wohl aber findet man sie in den Erwägungsgründen zum Art. 35 DSGVO (https://dsgvo-gesetz.de/erwaegungsgruende/nr-75/). Denkbare Schadensrisiken sind danach die der Diskriminierung, des Identitätsdiebstahls oder -betrugs, das Risiko finanzieller Verluste, von Rufschädigungen, eines Verlusts der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten und vieles mehr. Gegen vorhandene Risiken muss der Verantwortliche unter Berücksichtigung der Höhe des Risikos und anderer Faktoren gemäß Art. 32 DSGVO angemessene technische oder organisatorische Schutzmaßnahmen implementieren, um die sichere Informationsverarbeitung zu gewährleisten, wie dies ähnlich bisher auch das BDSG in § 9 verlangte. Zudem ist unter bestimmten Umständen die bereits erwähnte Datenschutz-Folgeabschätzung nötig.

Die Risikoanalyse steht also im Mittelpunkt des risikobasierten Ansatzes der DSGVO bei der Bewertung des datenschutzrechtlichen Zustandes des Unternehmens und getroffener technischer oder organisatorischer Maßnahmen. Sie stellt fest, an welchen Stellen im Unternehmen die Gefahr von Datenschutzverletzungen besteht und leitet daraus Maßnahmen ab.

Die Aufgabe, bestehende Risiken zu erkennen und richtig zu bewerten, obliegt dem Datenverantwortlichen  und liegt damit letztlich in der Verantwortung der Unternehmensleitung. Auch Auftragsdatenverarbeiter sind zur Risikoanalyse verpflichtet. Die Verantwortung für Risiken soll keiner externen Stelle übergeben werden können.

Vom Verarbeitungsverzeichnis zur Risikobewältigung

Voraussetzung für eine gesetzeskonforme Handhabung von Datenschutzrisiken ist, sich einen Überblick über die im Unternehmen durchgeführten Datenverarbeitungsvorgänge zu verschaffen und sie in einem sogenannten Verarbeitungsverzeichnis zu dokumentieren. Dieses Verzeichnis wird dann zur Grundlage der weiteren Analysen und Aktivitäten.

Für jeden Verarbeitungsvorgang sollte dieses Verzeichnis einen Namen, seinen Zweck, interessierte Parteien und die verantwortliche Stelle benennen. Anschließend werden die bei den einzelnen Verarbeitungsprozessen entstehenden Risiken aufgelistet und eine Risikoanalyse durchgeführt. Am Ende wird die Höhe des Risikos bewertet. Dann werden gemäß Art. 32, Abs. 1 Gegenmaßnahmen definiert und umgesetzt.

Auch für die Meldepflicht an die Behörden ist übrigens das Ausmaß des Risikos einer erfolgten Datenschutzverletzung das entscheidende Kriterium: Laut Art 33 DSGVO ist eine Verletzung meldepflichtig, wenn ein Risiko für die Rechte und Freiheiten der Betroffenen besteht. Um diese Risiken richtig bewerten zu können muss der Verantwortliche die Verfahren und die mit ihnen verbundenen Risiken für die Verarbeitung personenbezogener Daten kennen. Anschließend muss er, falls erforderlich, eine Datenschutz-Folgeabschätzung (Art. 29 DSGVO) durchführen.

Der Risikoprozess im Detail

Ein Prozess, der zur Konformität mit Art. 32 DSGVO führt, sollte folgendes Vorgehen berücksichtigen: Wichtig ist es, von Anfang an das oberste Management einzubinden und es regelmäßig über Risikobeurteilung und -behandlung zu informieren. Denn hier liegt müssen letztlich die Risiken getragen werden.  Bei kleinen und mittleren Unternehmen dürfte das nicht so schwierig sein, da hier die Wege meist organisatorisch eher kurz sind. Mit der Geschäftsleitung ist abzustimmen, welche Risiken als akzeptabel gelten sollen, so dass man ihnen nicht mit Maßnahmen entgegentritt. Anschließend gilt es, Verantwortliche festzulegen und Ressourcen zuzuweisen.

Um die datenschutzrechtlich relevanten Risiken zu erfassen, betrachtet man die einzelnen Verarbeitungsverfahren genauer, die zuvor im Verfahrensverzeichnis festgehalten wurden, Sie dürften mehr oder weniger den durchgeführten Geschäftsprozessen oder ihren Teilprozessen entsprechen. Gruppen ähnlicher Verfahren können gemeinsam bearbeitet werden. Dabei prüft man zunächst übergreifende Datenschutzrisiken und entwickelt hierfür Maßnahmen. Dann überlegt man, ob es für einzelne Verfahren in jeder Gruppe größere Risiken gibt und entwickelt ausschließlich für diese Verfahren zusätzliche, stärkere Gegenmaßnahmen.

Grundsätzlich sollten alle Risiken nach demselben Verfahren bewertet werden – welches auch immer das jeweilige Unternehmen wählt. Werden unterschiedliche Verfahren verwendet, ist möglicherweise eine saubere Kategorisierung der Risiken und ihre Vergleichbarkeit erschwert oder unmöglich, was am Ende wiederum den Nachweis der sicheren Informationsverarbeitung beeinträchtigen könnte.

Auf Grundlage der Schutzziele des Art. 32 – Verfügbarkeit/Belastbarkeit, Vertraulichkeit und Integrität – werden sodann einzelne Risken genau definiert, analysiert und nach ihrer Schwere bewertet. Anschließend tritt man den identifizierten ausreichend hohen Risiken durch entsprechende Maßnahmen entgegen. Mögliche Maßnahmen finden sich zum Beispiel in „ISO/IEC FDIS 29151:2016: Leitfaden für den Schutz personenbezogener Daten“ oder der BSI-Grundschutz. Beispielsweise könnte man Daten verschlüsseln oder pseudonymisieren, wenn das Risiko von Datenverlusten besteht oder den Zugang beschränken, wenn es ein Risiko unerlaubter Zugriffe gibt. Auch die Auslagerung an einen Dienstleister mit höherem Sicherheitsniveau kommt als Maßnahme in Betracht.

Diesen Kreislauf muss ein Unternehmen immer wieder durchlaufen, um kontinuierlich die Konformität zur DSGVO sicherzustellen. Der Risikoprozess folgt somit dem aus anderen Bereichen bekannten PDCA-Zyklus (Plan-Design-Control-Adjust).

Der recht aufwändige Prozess lässt sich gerade für kleine und mittelständische Unternehmen vereinfachen. Sie können die Anforderungen des Art. 32 auch erfüllen, indem sie nachweisen, dass sie von einschlägigen Verbänden oder Organisationen genehmigte Verhaltensregeln (Art. 40/41) einhalten oder entsprechende Zertifizierungen (Art. 42) erworben haben und aktuell halten. Das kann die Höhe eventueller Bußgelder positiv beeinflussen, verhindert aber nicht Prüfungen oder gegebenenfalls Sanktionen.

Bei hohem Risiko bei der Verarbeitung personanbezogener Daten: Datenschutz-Folgenabschätzung

In Fällen, in denen ein besonders hohes Risiko besteht, dass Rechte und Freiheiten von Personen verletzt werden, fordert Art. 35 DSGVO eine Datenschutz-Folgenabschätzung. Die Verwendung moderner IT-Technologien für die Verarbeitung personenbezogener Daten (Artikel 35, Abs. 1, Satz 1) spricht in der Regel, entsprechend hohe Risiken vorausgesetzt, für die Notwendigkeit einer Datenschutz-Folgeabschätzung. Das verdeutlicht die besondere Relevanz des Themas für Unternehmen, die innovative Marketing- oder analytische Technologien nutzen.

Insbesondere ist die Datenschutz-Folgeabschätzung laut Art. 35, Abs. 3 Buchstabe a) dann nötig, wenn systematisch und umfassend persönliche Aspekte natürlicher Personen mittels automatisierter Verarbeitung einschließlich Profiling bewertet werden, sofern diese Bewertungen Grundlagen für Entscheidungen sind, die Rechtswirkungen gegenüber natürlichen Personen entfalten oder diese ähnlich erheblich beeinträchtigen. Weiter  fordert Buchstabe b) derselben Bestimmung eine Datenschutz-Folgenabschätzung, wenn umfangreiche Mengen personenbezogener Daten der in Art. 9, Abs.1 DSGVO genannten Kategorien (Daten, aus denen die „rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen,“ genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person)  oder strafrechtsrelevante Daten verarbeitet werden. Schließlich ist eine Datenschutz-Folgenabschätzung erforderlich, wenn es sich um eine systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche (Art. 35, Abs. 3, Buchstabe c) handelt.

Unter einer Datenschutz-Folgenabschätzung versteht die DSGVO dabei eine vorgezogene Risikoanalyse, die bereits vor Beginn der kritischen Verarbeitung personenbezogener Daten erfolgt.

Auch für die Folgeabschätzung bildet das Verarbeitungsverzeichnis die Grundlage der Arbeit, allerdings erfordert sie eine weitaus detailliertere Vorgehensweise als die bloße Risikoanalyse: Nötig ist eine Betrachtung jedes einzelnen Prozessschritts, der dafür eingesetzten IT-Systeme sowie anderer Assets, die dafür verwendet werden. Ob man den gesamten Informationsfluss als Datenflussdiagramm oder textlich als Tabelle darstellt, ist nicht festgelegt.

Anschließend müssen die Risiken jedes einzelnen Schrittes für die Rechte und Freiheiten der Betroffenen, wie sie die DSGVO in Art. 5 beschreibt, evaluiert werden. Nur wenn alle Rechte unbeeinträchtigt bleiben, ist von einer Compliance zur DSGVO auszugehen. Dies ist für jedes einzelne Recht nachzuweisen. Unterliegen alle oder einige Rechte einer Beeinträchtigung, muss dafür Abhilfe geschaffen werden. Bei Technikeinsatz sind zudem die Regeln des Art. 25 DSGVO (datenschutzfreundliche Gestaltung und Voreinstellungen) zu beachten, sonst besteht keine Compliance. Nur umgesetzte Maßnahmen sichern diese.

Die abgeschlossene Datenschutz-Folgenabschätzung wird in einem Bericht festgehalten, der den Regeln von Art. 35, Abs. 7 DSGVO folgt. Er muss alle geplanten Verarbeitungsvorgänge und deren Zweck sowie unter Umständen die berechtigten Interessen, die diesen Zweck rechtfertigen, enthalten. Weiter beschreibt der Bericht, warum die geplanten Verarbeitungsschritte für den angegebenen Zweck notwendig und verhältnismäßig sind, bewertet die Risiken für Rechte und Freiheiten der betroffenen Personen und benennt die Abhilfemaßnahmen, Sicherheitsvorkehrungen oder Garantien, durch die der Schutz der Daten der betroffenen Personen sichergestellt wird.

Bei der Konsultation der Aufsichtsbehörden, die in einigen Fällen notwendig ist, muss dieser Bericht um weitere Angaben ergänzt werden.

Die Aufsichtsbehörden planen im Übrigen einerseits Listen mit Verarbeitungen, bei denen auf jeden Fall eine Datenschutz-Folgenabschätzung durchzuführen ist und andererseits solche, die Verarbeitungen enthalten, bei denen das garantiert nicht erforderlich ist (Black-/Whitelisting). Derzeit gibt es aber diese Listen noch nicht. Unternehmen können sich allerdings auch freiwillig dafür entscheiden, eine Datenschutz-Folgeabschätzung durchzuführen.

Wie Informationssicherheit einen wichtigen Beitrag zum Datenschutz leistet

Die Sicherheit der Informationsverarbeitung gemäß Art. 32 DSGVO umfasst Integrität, Verfügbarkeit, Belastbarkeit und Vertraulichkeit ausschließlich personenbezogener Daten. Die Informationssicherheit im Allgemeinen bezieht sich demgegenüber auf alle im Unternehmen gehandhabten Daten, nicht nur die personenbezogenen. Personenbezogene Daten sind, anders ausgedrückt, nur eine Teilmenge der Daten, die im Unternehmen im Idealfall informationssicher verarbeitet werden. Der informationssichere Umgang mit den personenbezogenen Daten ist daher ein Teil der allgemeinen Informationssicherheit.

Außer für die personenbezogenen Daten, für die die DSGVO gilt, gibt es keine gesetzlichen Bestimmungen, die Informationssicherheit verlangen. Allerdings haben Unternehmen ein eigenes Interesse, Informationssicherheit herzustellen, beispielsweise um ihr Kern-Know-how zu schützen. Zudem sind durchaus Haftung und Schadenersatz aus allgemeinen Gesetzen, beispielsweise vertrags- oder handelsrechtlichen Bestimmungen denkbar, wenn die Informationssicherheit mangelhaft ist.  Bei Unternehmen, die Informationssicherheit realisiert haben, spricht vieles dafür, dass sie auch die datenschutzrechtlichen Anforderungen an die sichere Verarbeitung personenbezogener Daten, wie sie Art. 32 DSGVO formuliert, erfüllen.

Datenschutz seinerseits umfasst allerdings mehr als nur den informationssicheren Umgang mit personenbezogenen Daten. Der informationssichere Umgang mit diesen Daten ist also auch nur eine Teilmenge des gesamten Datenschutzes. Zu letzterem gehören nämlich beispielsweise auch Kriterien wie Transparenz, Zweckbindung oder Datensparsamkeit, die sich allein durch Maßnahmen der Informationssicherheit nicht realisieren lassen.

Unterstützung durch DSMS und Dienstleister angeraten

Um die Qualität und die Prozesse des betrieblichen Datenschutzes insgesamt, einschließlich seiner die Informationssicherheit betreffenden Komponenten, vollständig zu beurteilen, zu dokumentieren und aufrecht zu erhalten, reicht ein Informationssicherheitsmanagementsystem, wie es viele Unternehmen bereits nutzen, deshalb wohl eher nicht aus. Hier helfen DSMS (Datenschutzmanagementsysteme), die die Anforderungen der DSGVO einschließlich der sicheren Informationsverarbeitung komplett abbilden, gegebenenfalls ergänzt durch die Unterstützung qualifizierter Berater.

Zwar können interne und externe Datenschutzbeauftragte die Datenschutz-Folgeabschätzung nicht selbst übernehmen, sondern nur überwachen. Dennoch dürfte der Rat eines qualifizierten Datenschutzbeauftragten dafür sorgen, dass keine Risken übersehen werden, dass das Unternehmen oder die Organisation die Schwere der unterschiedlichen Risiken richtig einschätzt und schließlich, dass es die richtigen Gegenmaßnahmen wählt.

Schließlich sind gerade externe Datenschutzbeauftragte durch ihre Tätigkeit bestens mit den unterschiedlichen Risikoformen und Best Practises zu ihrer Abwehr vertraut, weil sie die Datenschutzpraxis vieler Unternehmen aus unterschiedlichen Branchen im Detail kennen. Mit anderen Worten: Ein qualifizierter Datenschutzbeauftragter hilft durch seinen Rat dabei, dass die arbeitsintensive und detailreiche Datenschutz-Folgenabschätzung tatsächlich zu dem gewünschten Ergebnis, nämlich der Compliance mit der DSGVO, führt.

0 Kommentare

Hinterlassen Sie ein Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

© 2018 Der Datenschutzbeauftragte - Memex consulting GmBH

Log in with your credentials

Forgot your details?