Natürlich haben Sie das. Täglich identifizieren wir unbewusst Risiken in unseren Handlungen und wägen sie ab. Wenn ich freihändig und mit geschlossenen Augen die Treppe hinuntergehe, ist das Risiko für einen Schädelbasisbruch ungleich höher als wenn ich mit Bedacht und einer Hand am Geländer den Abstieg wage.
Aber Sie wissen ja was ich meine, sonst würden Sie nicht einen Datenschutz-Blog lesen. Es geht um die Risikobetrachtung im Datenschutz. Also die Überlegungen, welche Risiken eine Verarbeitung für die Rechte und Freiheiten der betroffenen Person birgt.
Da wird auch schon klar, dass die im Informationssicherheits-Management gebräuchlichen Kriterien nur sehr bedingt anwendbar sind. Dort werden IT- und Organisations-Risiken und ihre Auswirkungen auf das Unternehmen betrachtet. Im Datenschutz interessiert das herzlich wenig.
Wer sagt denn was von Risiken im Datenschutz?
Die DSGVO. Nachfolgend nur ein paar konkrete Stellen, wo die Verpflichtung zur Betrachtung der Risiken von Verarbeitungen direkt erwähnt ist:
In Art. 24 steht da geschrieben:
„Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, […]“
Art. 32 DSGVO legt nach:
„Unter Berücksichtigung […] der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten
Schlussfolgerung: Wenn ich das Risiko nicht betrachte, kann ich nicht sagen, was „geeignete“ Maßnahmen und ein „dem Risiko angemessenes Schutzniveau“ sind.
In Art. 39 DSGVO trifft’s dann auch noch die Datenschutzbeauftragten:
„[…] Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, […]“
Wie sieht nun in der Praxis häufig die Einschätzung von Risiken bei Verarbeitungen aus?
Die "Daumenpeilung"
Wenn zu einer Verarbeitung überhaupt so etwas wie eine Risiko-Einschätzung zu finden ist, dann hat man es meistens mit einem sehr engagierten Verantwortlichen zu tun, der Datenschutz nicht ausschließlich als lästige Pflicht betrachtet. Aber das ist eher die Ausnahme.
Wenn dann auch noch eine erste Prüfung auf DSFA-Pflicht durchgeführt und zur Verarbeitung dokumentiert wurde, hat meist ein guter Datenschutzbeauftragter seine Finger im Spiel.
Beispiel:
Hat man nun ausschließlich Verarbeitungen mit niedrigem oder mittlerem Schutzbedarf (was in der Praxis nicht so ungewöhnlich ist), dann sollte diese Einschätzung zumindest halbwegs nachvollziehbar sein.
ULD Beispiel aus der Vorlage Word-Formular: 03_Verarbeitungsdokumentation.docx, https://www.datenschutzzentrum.de/dokumentation/:
Geht es aber in die Bereiche von Verarbeitungen mit hohem oder sehr hohem Schutzbedarf, also wo z.B. sensible Daten aus dem Bereich des Art. 9 DSGVO verarbeitet werden, dann reicht die „Daumenpeilung“-Methode nicht mehr aus.
Und wenn es in die DSFA-Pflicht geht, dann kann man sich anhand des Planspiels der BayLDA zur DSFA ungefähr vorstellen, was sich eine Aufsichtsbehörde an Nachvollziehbarkeit und Detailgrad in einer Risikobetrachtung (nach ISO 31000) erwartet.
ISO 31000… WTF?!
Einen internationalen Standard heranzuziehen hat natürlich den Vorteil, dass man „genormt“ vorgehen kann. Der Nachteil: enorm zeitaufwändig.
Die gute Nachricht: es gibt keine Vorgabe, wie eine Risiko-Betrachtung durchgeführt werden muss.
Die schlechte Nachricht: sie muss trotzdem eine Methodik aufweisen und nachvollziehbar sein.
In Literatur und Standards findet man eine Vielzahl von unterschiedlichen Definitionen zu den einzelnen Schritten des Risiko-Prozesses. Im Groben sind diese:
1. Risikoidentifikation
2. Risikoanalyse
3. Risikobewertung
4. Risikobehandlung
Es muss (zumindest im Rahmen einer DSFA) also eine nachvollziehbare Methodik zur Datenschutz Risiko-Betrachtung her, die nicht gleich in einen zertifizierbaren Standard ausufert, aber trotzdem gut nachvollziehbar ist.
Im Teil 2 der Artikel-Serie widme ich mich dem Thema „Risiko-Identifikation“. Wie gehe ich es als KMU an, ohne meine Organisation komplett zu überfordern?
Hier geht es zu Teil 3,
hier geht es zu Teil 2 der Artikel-Reihe.
Werbung in eigener Sache:
Wenn Sie keine Lust haben, auf die weiteren Artikel zu warten, schauen Sie doch mal bei www.datenschutzdocs.de vorbei.