Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Fit für die DSGVO finden Sie jetzt hier
Ratgeber
31. Mai 2017

Datenschutz-Grundverordnung: So bestimmen Sie ein Risiko

DP+
Datenschutz-Grundverordnung: So bestimmen Sie ein Risiko
Bild: cybrain / iStock / Thinkstock
0,00 (0)
Von der subjektiven zur objektiven Bewertung
Der Begriff des Risikos ist ein zentraler Baustein in der Datenschutz-Grundverordnung (DSGVO). Doch wie lässt sich eigentlich das Risiko konkret bestimmen? Eine Möglichkeit: Nutzen Sie eine Risikomatrix.

Liest man die Grundverordnung durch, stößt man immer wieder auf den Begriff des Risikos. Suchen Sie nach Häufigkeit, dann ergeben sich 68 Treffer – es lohnt sich also, einen genauen Blick darauf zu werfen.

Risikobewertung ist meist subjektiv

Mit Risiken gehen die meisten von uns jeden Tag um – beim Weg zur Arbeit, beim Lottospielen (positive Risiken heißen Chancen) oder bei der Wahl des Urlaubsorts. Allen Risiken dürfte gemein sein, dass wir ihre Höhe oft völlig falsch einschätzen:

  • Beim Lottospielen überschätzen wir unsere Chancen.
  • Beim Autofahren unterschätzen wir die Gefahren.

Dies passiert auch deswegen, weil unsere Risikobewertung subjektiv ist.

Bei der DSGVO müssen Risiken objektiv bestimmt werden

Die DSGVO ist hier präziser und fordert mit Erwägungsgrund 76 objektive Kriterien, um festzustellen, ob ein Risiko oder ein hohes Risiko vorliegt. Dies dürfte einer der wichtigsten Erwägungsgründe der Grundverordnung sein. Denn eine Risikobewertung „nach Bauchgefühl“ oder „Erfahrung“ ist allein nicht ausreichend.

Risikoorientierter Ansatz

Technische und organisatorische Maßnahmen gehören zum Datenschutz wie die Butter auf das Brot. Die zentrale Frage dabei ist, wie sich denn geeignete, d.h. wirksame und vollständige Maßnahmen für eine konkrete Verarbeitungstätigkeit auswählen lassen.

Nachdem der Checklistenansatz des Bundesdatenschutzgesetzes (BDSG) – zum Glück – nicht in die Grundverordnung aufgenommen wurde, müssen andere Ansätze her. Diese Ansätze müssen laut Datenschutz-Grundverordnung die Risiken für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten berücksichtigen.

Sämtliche zentralen Artikel des technischen Datenschutzes beinhalten das Risiko als wichtigstes Element:

  • Artikel 24 (Datenschutzkonforme Verarbeitung),
  • Artikel 25 (Datenschutz durch Technikgestaltung),
  • Artikel 32 (Sicherheit der Verarbeitung),
  • Artikel 35 (Datenschutz-Folgenabschätzung) sowie
  • Artikel 33/34 („Datenpannen“)

Bestimmung des Risikos

Wie lässt sich denn nun aber genau das Risiko „berechnen“? Wieder hilft hier Erwägungsgrund 76 weiter: Faktoren wie Eintrittswahrscheinlichkeit und Schaden sind zu berücksichtigen, und zwar bei Art, Umfang, Umständen und Zweck der Verarbeitung.

Wer sich mit Informationssicherheit auskennt, dem dürften im Hinterkopf die Glöckchen klingeln – als deutliches „Vorsicht!“, dass der Datenschutz nicht zu einseitig betrachtet wird. Unternehmen ermitteln manchmal das Risiko als monetären Wert (meist wenn es um Verfügbarkeit von Systemen und den Wert von IT-Technik geht). Dann schätzen sie den Schaden ab und multiplizieren ihn mit einem mathematischen Wahrscheinlichkeitswert.

Im Datenschutz dürfte dies nur sehr selten zum Ziel führen. Und die Grundverordnung definiert ein Risiko auch nicht so. Dennoch gilt es, mit den Begriffen „Schaden“ und „Eintrittswahrscheinlichkeit“ umzugehen.

Risikomatrix als eine Möglichkeit

Eine Möglichkeit kann folgender Ansatz sein: Eine Skala mit vier Ausprägungen – vernachlässigbar, begrenzt, wesentlich, maximal – definiert den Schaden und die Eintrittswahrscheinlichkeit. Eine Risikomatrix bildet dann das Zusammenwirken aller Ausprägungen ab.

DSGVO: mögliche RisikomatrixWas ist ein Schaden?

Ist von der Schwere eines Schadens die Rede, dann stellt sich die Frage, was die Grundverordnung darunter versteht. Auch hier helfen die Erwägungsgründe weiter, konkret Erwägungsgrund 75. Demnach kann eine Verarbeitung personenbezogener Daten zu physischen, materiellen und immateriellen Schäden führen.

Hilfreich ist auch, dass der Erwägungsgrund gleich einige konkrete Beispiele nennt (Auszug):

  • Diskriminierung
  • Identitätsdiebstahl
  • finanzieller Verlust
  • Rufschädigung
  • Hinderung der Kontrolle über eigene Daten
  • Profilbildung mit Standortdaten

Ein Risiko, das aus einem Schaden resultiert, ist demnach ein in die Zukunft gerichtetes Ereignis, dessen Eintreten ungewiss ist und deswegen abgeschätzt werden muss.

Eintrittswahrscheinlichkeit und Risikoquelle

Um ein Risiko zu bestimmen, muss ein Verantwortlicher neben dem Schaden auch die Eintrittswahrscheinlichkeit abschätzen. Helfen können hier

  • die Art der Verarbeitung (z.B. Cloud Computing),
  • der Umfang (z.B. Exponierungsgrad bei sehr „lukrativen“ Daten),
  • die Umstände (z.B. beim internationalen Datenverkehr) sowie
  • der Zweck der Verarbeitung (z.B. Big-Data-Wünsche von Positionsdaten).

Eine Eintrittswahrscheinlichkeit lässt sich nur dann plausibel schätzen, wenn die Frage nach dem „Angreifer“ gestellt wird. Da „Angreifer“ auch Mitarbeiter und Abteilungen eines legitim arbeitenden Unternehmens sein können, die schlicht aus Unwissenheit falsch handeln, empfiehlt sich der entkriminalisierte Begriff „Risikoquelle“.

Risiken reduzieren durch technische und organisatorische Maßnahmen

Ist für eine konkrete Verarbeitungstätigkeit nun das Risiko nach der Datenschutz-Grundverordnung ermittelt, dann lassen sich endlich zielgerichtet die technischen und organisatorischen Maßnahmen (TOMs) auswählen.

Gerade unter Berücksichtigung der spezifischen Risikoquelle ist es nun möglich, wirksame und vollständige Maßnahmen umzusetzen und sie auch der Datenschutzaufsicht plausibel zu erklären – ein deutlicher Zugewinn im Vergleich zu der Anlage zu § 9 BDSG. Sie hat es leider meist nicht geschafft (von Ausnahmen abgesehen), dieses Ziel zu erreichen.

Fazit: Deutliche Verbesserung gegenüber BDSG

Der risikoorientierte Ansatz bei der Auswahl der technischen und organisatorischen Maßnahmen stellt eine deutliche Verbesserung des technischen Datenschutzes dar.

Die Angst, damit ein geringeres Datenschutzniveau als bisher zu erreichen, dürfte rein akademischer Natur sein. Denn eine ausdrückliche Bestimmung der risikoerzeugenden Faktoren in der Praxis macht erst eine geeignete Auswahl der TOMs möglich.

Achtung: Risikobegriff vollständig umsetzen!

Verantwortliche müssen aber aufpassen, dass sie nicht aus Gründen des „Trennungsschmerzes“ den Risikobegriff der Grundverordnung entweder gar nicht oder nur implizit umsetzen. Dies bedeutet, dass entweder unbeirrt an dem maßnahmenzentrierten Ansatz des § 9 BDSG festgehalten wird. Oder ein Verantwortlicher meint, schon allein die Bewertung der Sensibilität von Daten mittels Schutzkategorien auf einer Skala 0 bis 4 sei eine Risikobeurteilung.

Auf diese Weise steigt das Compliance-Risiko des Verantwortlichen – als Gegenstück zum Datenschutz-Risiko des Betroffenen. Denn so droht z.B. ein Bußgeld, weil der Verantwortliche seine Rechenschaftspflicht nach Artikel 5 Abs. 2 DSGVO verfehlt.

Andreas Sachs

Andreas Sachs
+

Weiterlesen mit DP+

Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?

Weiterlesen mit DP+
Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Kein Stress mit Juristen- und Admin-Deutsch
Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.
Sparen Sie sich langes Suchen
Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.
Verfasst von
DP
Andreas Sachs
Andreas Sachs ist Vizepräsident des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA). Darüber hinaus leitet er das Referat Technischer Datenschutz und IT-Sicherheit beim BayLDA.
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.