Risiko-Beurteilung nach DSGVO in der Praxis
Das Thema „Risikomanagement“ ist im betrieblichen Alltag längst angekommen. Das gilt nicht nur für die Unternehmen, die von Gesetzes wegen dazu verpflichtetet sind (beispielsweise Aktiengesellschaften nach § 91 Abs. 2 Aktiengesetz oder Finanzdienstleister gemäß „Mindestanforderungen an das Risikomanagement“ der BaFin).
Mittlerweile ist Risikomanagement bei nahezu allen geschäftlichen Transaktionen erwarteter Standard. Man könnte also meinen, dass das Risikomanagement, das die DSGVO im Hinblick auf die Rechte und Freiheiten von betroffenen Personen fordert, keine besondere Herausforderung für die Unternehmenspraxis darstellt.
Schließlich greift die Grundverordnung bei der Beurteilung eines Risikos auf etablierte Elemente des Risikomanagements zurück, etwa auf die Eintrittswahrscheinlichkeit und Schwere.
Auch die Dokumentation von Risiken samt Abhilfemaßnahmen, wie sie z.B. die Datenschutz-Folgenabschätzung nach Artikel 35 Abs. 7 DSGVO vorschreibt, sollte im Rahmen eines professionellen Risikomanagements (z.B. nach ISO 27005) niemanden überraschen.
Ausrichtung auf den Betroffenen
Tatsächlich ist aber – trotz der grundsätzlichen Vergleichbarkeit der DSGVO-Vorgaben mit etablierten Best-Practice-Ansätzen im Risikomanagement – ein Umdenken oder jedenfalls eine Fokussierung der Blickrichtung erforderlich.
Denn die Besonderheit einer datenschutzrechtlichen Risikobeurteilung nach DSGVO liegt in der Ausrichtung auf die btroffene Person. Die Risikobeurteilung muss sozusagen durch dessen Brille erfolgen.
Dabei definiert die DSGVO zwar nicht, was unter einem (Betroffenen-)Risiko zu verstehen ist. Allerdings liefern die Erwägungsgründe dazu konkretere Hinweise. So nennt z.B. Erwägungsgrund 75 einzelne Datenschutzrisiken aus Sicht des Betroffenen, insbesondere:
- Diskriminierung
- Identitätsdiebstahl oder -betrug
- finanzieller Verlust
- Rufschädigung
- Verlust der Vertraulichkeit oder Kontrollmöglichkeit von Daten, die dem Berufsgeheimnis unterliegen, von Gesundheitsdaten, besonderen Daten nach Art. 9 DSGVO oder von Profiling-Daten (vgl. Art. 4 Nr. 4 DSGVO)
Von abstrakt zu konkret
Es ist aber nicht damit getan, abstrakt die Frage zu beantworten, ob aus der Verarbeitung (materielle oder immaterielle) Schäden für die Rechte und Freiheiten von Betroffenen resultieren können.
Vielmehr muss der Verantwortliche diese Frage – aus Betroffenensicht – (mindestens) auf die maßgeblichen Faktoren „Eintrittswahrscheinlichkeit“ und „Schwere (Auswirkung)“ herunterbrechen (vgl. Erwägungsgrund 84 und 90 sowie Working Paper 248 der Artikel-29-Gruppe für die Datenschutz-Folgenabschätzung, das der Europäische Datenschutzausschus als Nachfolger der Artikel-29-Gruppe in seiner ersten Sitzung am 25. Mai 2018 gebilligt hat).
Eintrittswahrscheinlichkeit aus Betroffenensicht
Ein Risiko ist zunächst einmal die Unsicherheit darüber, ob ein bestimmtes Ereignis eintritt oder nicht. Dementsprechend gilt es, im Rahmen der Risikobeurteilung als Erstes zu untersuchen, wie wahrscheinlich es ist, dass ein Ereignis (mit potenziell negativen Folgen) eintritt.
Dieser Frage kann man sich z.B. mithilfe von quantitativen Faktoren nähern. Dies ist etwa bei Versicherungen üblich, die über umfangreiche Statistiken im Hinblick auf eingetretene Schadensvorfälle verfügen und auf dieser Basis relativ genau die Wahrscheinlichkeit, dass ein bestimmter Fahrzeugtyp gestohlen wird, „vorhersagen“ können – jedenfalls statistisch.
Quantitative Bewertung reicht nicht
Die Beurteilung der Eintrittswahrscheinlichkeit von Betroffenenrisiken dagegen ist – basierend auf repräsentativen Zahlen oder Zeiträumen – schwierig.
Auf der einen Seite scheinen Datenschutzvorfälle zwar an der Tagesordnung zu sein. Man denke nur an die diversen Hacking-Angriffe auf soziale, Business- und Spiele-Netzwerke, bei denen Kriminelle Millionen von teils sensiblen Daten entwendet und zum Verkauf angeboten haben, oder an die diversen Angriffswellen durch „Ransomware“ (Verschlüsselungstrojaner).
Andererseits lassen sich daraus für die jeweilige Verarbeitung von personenbezogenen Daten selten Rückschlüsse auf die konkrete Eintrittswahrscheinlichkeit solcher Risiken ziehen.
Stattdessen: qualitative Bewertung und Kriterien
Um die Eintrittswahrscheinlichkeit von Betroffenenrisiken zu beurteilen, ist es daher oftmals unvermeidlich, qualitative Faktoren heranzuziehen.
Das bezieht sich nicht nur auf die Bewertung der Eintrittswahrscheinlichkeit (z.B. im Sinne von „hoch“), sondern auch auf die Bewertungskriterien selbst. Denn andernfalls lässt sich eine in der Praxis handhabbare, aber doch hinreichend konkrete Risikobeurteilung kaum gewährleisten, v.a. wenn diese nicht ausschließlich durch den Datenschutzbeauftragten erfolgen soll.
Dabei lässt sich die Eintrittswahrscheinlichkeit z.B. auf folgende weitere Faktoren herunterbrechen:
- Missbrauchsinteresse: Wie hoch ist das Interesse unbefugter Dritter, die betroffenen Daten zu löschen, zu manipulieren und/oder sonst bestimmungswidrig zu nutzen, z.B. für einen Identitätsbetrug?
- Aufwand, um den Schaden herbeizuführen: Wie hoch ist der erforderliche Aufwand für unbefugte Dritte, um ein Schadensereignis zu verursachen, z.B. in Form der Überwindung von technischen Barrieren durch Ausspähen von Zugangsberechtigungen?
- Entdeckungsrisiko: Wie hoch ist das Risiko für unbefugte Dritte, dass der Missbrauch entdeckt wird, z.B. aufgrund der Protokollierung sämtlicher Zugriffe auf eine IT-Anwendung?
- Verarbeitungshäufigkeit: Wie häufig findet eine Verarbeitung der betroffenen Daten statt, bei der ein Missbrauch oder eine sonstige Beeinträchtigung möglich ist, z.B. täglich mehrfache Übertragung von sensiblen Daten per FTP oder E-Mail?
Diese Faktoren lassen sich nach vorher festgelegten Stufen bewerten, etwa nach „gering“, „mittel“ und „hoch“.
Grundlage für die Stufen kann z.B. ein Schutzstufenkonzept sein oder Vorgaben aus dem Risikomanagement. Weist man den Bewertungsstufen Punktwerte zu („gering“ = 1, „mittel“ = 2, „hoch“ = 3), so lässt sich daraus im Hinblick auf die Eintrittswahrscheinlichkeit z.B. durch den Mittelwert aller Bewertungen ein Gesamtwert bestimmen.
Schwere des Risikos (Auswirkung) aus Betroffenensicht
Für die Schwere, also die Auswirkungen eines Betroffenenrisikos, ist es – ebenso wie bei der Eintrittswahrscheinlichkeit – empfehlenswert, auf qualitativ bewertbare Kriterien abzustellen.
Dafür bieten sich in der Gesamtschau der Einflussfaktoren, die die Datenschutz-Grundverordnung und die Erwägungsgründe nennen, folgende Dimensionen an:
- Gesundheitliche Auswirkungen: Auswirkungen, die das physische oder psychische Wohlbefinden des Betroffenen negativ beeinflussen. Dazu zählen z.B. Irritationen und milder Stress, leichte und zeitlich begrenzte physische oder psychische Belastungen bis hin zu dauerhaften oder schweren physischen oder psychischen Einschränkungen und Schäden, z.B. Depressionen aufgrund der Preisgabe von Daten aus der Intimsphäre des Betroffenen (etwa stigmatisierende Gesundheitsdaten).
- Finanzielle Auswirkungen: Darunter fallen solche Auswirkungen, die zu finanziellen Nachteilen des Betroffenen führen. Dazu gehören z.B. Verweigerung des Zugangs zu Leistungen/Verträgen, Zusatzkosten, geringe materielle Schäden bis hin zum Missbrauch von Geldern, den Verlust des Arbeitsplatzes, finanzielle Not, z.B. irreversible Schäden auf Basis von Identitätsdiebstahl/-betrug.
- Soziale Auswirkungen: Darunter lassen sich solche Auswirkungen verstehen, die negativen Einfluss auf die soziale bzw. gesellschaftliche Stellung des Betroffenen nehmen. Dazu zählen z.B. Verlust der Kontrolle über das soziale Fremdbild, gesellschaftlicher Reputationsverlust, Rufschädigung, Verleumdung, Ausgrenzung, Diskriminierung, (Cyber-)Mobbing, z.B. aufgrund von Bekanntwerden strafrechtlicher Ermittlungen oder Preisgabe von Daten aus der Intimsphäre des Betroffenen.
- Auswirkungen auf informationelles Selbstbestimmungsrecht: Das sind Auswirkungen, die sich in anderer Weise negativ auf den Betroffenen und dessen Rechte und Freiheiten auswirken. Dazu zählen z.B. Belästigung durch Verwendung von Daten zu (unzulässigen) Werbezwecken, unzulässige Profilbildung, Verlust der Kontrolle über eigene Daten und Verlust der Vertraulichkeit im Mandatsverhältnis.
Auch diese Faktoren sind entsprechend den betriebsintern festgelegten Bewertungsstufen zu gewichten. Dabei lässt sich – bei Vergabe von Punktwerten je Bewertungsstufe – auch bei der Schwere, etwa per Mittelwert, ein Gesamtwert „Auswirkung“ ermitteln.
Je nach Verarbeitungssituation kann es sich zusätzlich anbieten, die oben genannten Kriterien unterschiedlich stark zu gewichten. So lassen sich das Kriterium „gesundheitliche Auswirkungen“ mit einem Faktor von 1,5 und das Kriterium „finanzielle Auswirkungen“ mit einem Faktor von 1,25 gewichten, um den potenziell schwerwiegenderen Konsequenzen Rechnung zu tragen.
Abhilfemaßnahmen: Risiken minimieren und neu bewerten |
---|
Im Rahmen des „klassischen“ Risikomanagements kommt in Betracht, Risiken zu akzeptieren. Unter datenschutzrechtlicher Perspektive ist die Risikoakzeptanz indessen nur dann eine Option, wenn es sich bei dem Risiko nicht um einen möglichen Gesetzesverstoß handelt, sprich der Verantwortliche alle DSGVO-Vorgaben trotz der erkannten Bedrohungslage (nachweislich) umsetzt.
Dies kann etwa nach Art. 36 Abs. 1 DSGVO bedeuten, die Aufsichtsbehörde im Rahmen einer Datenschutz-Folgenabschätzung vor der Verarbeitung zu konsultieren. Typischerweise werden sich die Abhilfemaßnahmen bei einem erkannten Risiko darauf konzentrieren, dieses zu minimieren, insbesondere durch die Auswahl und Umsetzung geeigneter (zusätzlicher bzw. spezieller) technischer und organisatorischer Maßnahmen (TOMs). Entsprechend den Maßnahmen ist dabei die Risikobewertung anzupassen, etwa im Hinblick auf den Aufwand, einen Schaden im Rahmen der Eintrittswahrscheinlichkeit herbeizuführen. Lassen sich die Risiken nicht beherrschen, muss der Verantwortliche die Verarbeitung im Zweifel unterlassen. |
Gesamtrisiko (Risikomatrix)
Das Gesamtrisiko, d.h. die Verortung des Risikos in einer Risikomatrix, ergibt sich aus der Addition oder Multiplikation der zuvor ermittelten Bewertungsstufen für die beiden Faktoren „Eintrittswahrscheinlichkeit“ und „Auswirkung“.
Bei drei Bewertungsstufen („gering“, „mittel“, „hoch“) und einer Multiplikation der Faktoren, d.h. „Eintrittswahrscheinlichkeit x Schwere (Auswirkung)“ folgt daraus die Gesamtrisikomatrix inklusive exemplarischer Verortung eines Risikos.
Zusammenfassung
Vieles aus dem „klassischen“ Risikomanagement findet sich dem Wesen nach in der DSGVO wieder. Wichtig ist aus datenschutzrechtlicher Sicht, die Risiken aus der Perspektive des Betroffenen zu hinterfragen. Das gilt v.a. für die Faktoren „Eintrittswahrscheinlichkeit“ und „Schwere (Auswirkung)“.
Dazu eignen sich das Herunterbrechen auf bewertbare Kriterien und die Gewichtung anhand qualitativer Bewertungen. Das erlaubt es auch Nicht-Experten (etwa Fachabteilungen im Unternehmen), nachvollziehbare und angemessene datenschutzrechtliche Risikobeurteilungen vorzunehmen.