Anzeige
Anzeige
Anzeige
Anzeige
Fotolia 95875128 Online
(Bild: ©ike - stock.adobe.com)
DSGVO Datenschutz Serie

Gut gewappnet gegen Datenmissbrauch

Im Mai tritt die EU-Datenschutzgrundverordnung in Kraft. Wir machen euch fit für die Neuerungen. Wie ihr das Risiko im Verarbeitungsprozess richtig bewertet.

Anzeige
Anzeige
Anzeige

Viele von euch fragen sich jetzt sicherlich, was zum Henker das nun wieder sein soll und wozu man das braucht. Eines vorweg: Diese Risikobewertung bedeutet nicht die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO, die unter bestimmten Voraussetzungen durchgeführt werden muss. Es geht vielmehr um einen grundlegenden Vorgang, den tatsächlich jedes datenverarbeitende Unternehmen durchführen sollte, eigentlich sogar muss.

Jeder Verarbeitungsvorgang ist im Ausgangspunkt mit Risiken für Rechte und Freiheiten von Betroffenen verbunden. Fremde können sich etwa der Daten bemächtigen und sie, sagen wir einfach mal, zweckentfremden. Aus diesem Grund sieht Art. 32 DSGVO vor, dass vom Verantwortlichen und vom Auftragsverarbeiter die Sicherheit der Verarbeitung gewährleistet werden muss. Dies geschieht mithilfe von technischen und organisatorischen Maßnahmen (sogenannte TOM). Bei der Bewertung dieser TOM folgt die DSGVO einem anderen Ansatz als das Bundesdatenschutzgesetz: Für die Beurteilung der TOM muss ab Mai 2018 auf die Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der natürlichen Person abgestellt werden. Es gilt also ein risikobasierter Ansatz. Das war allerdings auch heute schon ein wichtiger Aspekt.

Anzeige

Unmittelbar hieraus folgt, dass jedes Unternehmen die eigenen Verarbeitungstätigkeiten risikobasiert bewerten muss. Nur so können angemessene TOM bestimmt werden. Im Zweifel braucht ihr die Risikoanalyse auch, um den Aufsichtsbehörden gegenüber nachzuweisen, dass sich überhaupt jemand die nötigen Gedanken gemacht hat. Außerdem muss bei einem hohen Risiko gegebenenfalls eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchgeführt werden.

Wie funktioniert so ein Risk Assessment?

Eine datenschutzrechtliche Risikoanalyse ist im Grunde nicht schwer, man muss aber die Verarbeitungstätigkeiten im eigenen Haus überblicken können. Denn bewertet werden soll schließlich der jeweilige Verarbeitungsprozess. Hier sind Verarbeitungsverzeichnisse eine ausgesprochen hilfreiche Unterstützung. Wie ihr ein Verarbeitungsverzeichnis erstellt, erzählen wir euch deshalb in einem der nächsten Beiträge.

Zur Vorbereitung einer Risikobewertung sollten zwei wichtige Überlegungen angestellt und entschieden werden:

  • Woran soll die Risikobewertung ausgerichtet werden?
  • Mit welcher Methode sollen die Risiken beurteilt werden?

Beide Fragen sind schnell beantwortet: Eine rein datenschutzrechtliche Risikoermittlung könnt ihr gut an den Risiken für personenbezogene Daten gruppiert nach Verfahren ausrichten. Die Methode muss es letztlich ermöglichen, das Niveau von Datenschutzrisiken abzubilden.

Man kann es zum Beispiel auf folgende Formel runterbrechen:

Schwere der Auswirkung * Eintrittswahrscheinlichkeit = Risikohöhe

Die Risikobewertung folgt diesen Schritten

Damit man die Schwere der Auswirkung und die Eintrittswahrscheinlichkeit von Verletzungen beurteilen kann, muss man natürlich erst einmal wissen, über welche Daten und Verarbeitungsvorgänge man spricht, wie diese geschützt sind und welche Risikoquellen es gibt.

Erster Schritt: Einbindung des Top-Management

Die Ergebnisse der Risikoanalyse selbst sollten der Geschäftsführung berichtet werden. Die Art und Weise der nachfolgenden Risikobehandlung muss häufig ohnehin auf dieser Ebene entschieden werden.

Zweiter Schritt: Festlegung der Verantwortlichkeiten

Wie heißt es so schön: Wenn alle für etwas verantwortlich sind, ist es am Ende niemand! Deshalb sollte ein Projektteam eingesetzt und mit den erforderlichen Kompetenzen und Ressourcen ausgestattet werden.

Dritter Schritt: Internen und externen Kontext festlegen

Die Risikobewertung findet nicht in einem luftleeren Raum statt, sondern muss sich an den bestehenden datenschutzrechtlichen Anforderungen ausrichten. Zu berücksichtigen sind etwa die gesetzlichen Normen und Gerichtsentscheidungen.

Vierter Schritt: Anwendungsbereich festlegen

Hier wird entschieden, was überhaupt der Gegenstand des Risk Assessment sein soll. In unserem Fall sind dies die Verarbeitungsprozesse im eigenen Unternehmen.

Fünfter Schritt: Identifikation der Datenschutzrisiken

In einem datenschutzrechtlichen Risk Assessment gilt es vor allem die möglichen Risiken für die Verfügbarkeit, Vertraulichkeit und Integrität zu identifizieren. Das kann auf unterschiedliche Weise erfolgen; zum Beispiel durch Audits im Interviewformat oder als Brainstorming.

Sechster Schritt: Risikoanalyse

In diesem Schritt werden zunächst die bereits bestehenden Sicherheitsmaßnahmen festgehalten. Danach werden die Bedrohungen und Risikoquellen ermittelt und eine Aufstellung der Auswirkungen von Verletzungen der Datenschutzziele gefertigt. Schließlich gilt es, die Schwere dieser Auswirkungen für die Betroffenen einzuschätzen und die Eintrittswahrscheinlichkeit zu bewerten. Auswirkungen und Eintrittswahrscheinlichkeit müssen verschiedenen Niveaus zugeordnet werden, etwa:  

1. vernachlässigbar,

2. eingeschränkt,

3. signifikant und

4. maximal.

Mehr ist für eine Risikoanalyse im Grunde nicht erforderlich.

Siebter Schritt: Risikobewertung

Der Analyse folgt die Risikobewertung im engeren Sinne. Dabei werden Risikoklassen definiert, zum Beispiel hohes Risiko, Risiko und geringes Risiko. Die Zuordnung erfolgt über das Produkt der Eintrittswahrscheinlichkeit und Schwere der Auswirkungen. Ist beides vernachlässigbar, ergibt sich zum Beispiel das Produkt 1 (geringes Risiko); sind Eintrittswahrscheinlichkeit und Auswirkungen maximal, ist das Produkt 16 (hohes Risiko).

Achter Schritt: Bewältigung der Datenschutzrisiken

Sind diese Risiken analysiert und bewertet, können sie auch bewältigt werden, etwa dadurch, dass für risikoreiche Verarbeitungsvorgänge zusätzliche technische Sicherheitsmaßnahmen implementiert werden und damit die Eintrittswahrscheinlichkeit gesenkt wird.

Georg Fechner und Jann Cornels sind Anwälte der Kanzlei Fechner. Das Team setzt seine inhaltlichen Schwerpunkte vor allem im Medienrecht, Werberecht und im Schutz geistigen Eigentums, sowie im Datenschutz- und App-Recht. Die Anwälte schreiben im Wechsel für LEAD.

Die Datenschutzgrundverordnung tritt im kommenden Mai in Kraft, die Umsetzung der E-Privacy-Verordnung wird in diesem Kontext nach wie vor heiß diskutiert. Die vierteilige W&V-Serie erklärt alle relevanten Fakten zum wohl beherrschenden Thema des Werbejahres 2018.

Teilen
Jederzeit top informiert

Die wichtigsten LEAD Nachrichten per Messenger oder Newsletter

Anzeige
Anzeige
Verlagsangebot
Das könnte dich auch interessieren
Anzeige
Anzeige