Risikobewertung

Risikobewertung (Dokumentation im Verarbeitungsverzeichnis)

Die Besonderheit einer datenschutzrechtlichen Risikobeurteilung nach DSGVO liegt in der Ausrichtung auf die betroffene Person. So nennt z.B. Erwägungsgrund 75 einzelne Datenschutzrisiken aus Sicht des Betroffenen, insbesondere:

  • Diskriminierung
  • Identitätsdiebstahl oder -betrug
  • finanzieller Verlust
  • Rufschädigung
  • Verlust der Vertraulichkeit oder Kontrollmöglichkeit von Daten, die dem Berufsgeheimnis unterliegen, von Gesundheitsdaten, besonderen Daten nach Art. 9 DSGVO oder von Profiling-Daten (vgl. Art. 4 Nr. 4 DSGVO)

Hintergrundwissen: https://www.datenschutz-praxis.de/fachartikel/risikobeurteilung-nach-dsgvo-in-der-praxis/

Das Risiko ergibt sich aus den Komponenten: Wahrscheinlichkeit des Eintritts und dem Schweregrad des Schadens. Ziel ist es, jeden Vearbeitungsvorgang durch geeignete technisch-organisatorische Maßnahmen soweit zu kontrollieren, dass das Risiko im Normalbereich liegt. Sinnvoll ist es, in diesem Zusammenhang neben den datenschutzrechtlichen Risiken auch die Risiken der IT-Sicherheit zu berücksichtigen. Im Standarddatenschutzmodell (SDM) werden die klassischen Schutzziele der Informationssicherheit:  Vertraulichkeit, Integrität und Verfügbarkeit um die speziell datenschutzbezogenen Gewährleistungsziele: Datenminimierung, Transparenz, Intervenierbarkeit und Nichtverkettung ergänzt.

Schutzbedarf der Daten

"Der Schutzbedarf ergibt sich aus dem Risiko der Verarbeitungstätigkeit, bevor technische und organisatorische Maßnahmen bestimmt und umgesetzt wurden. Insofern gilt der folgende Zusammenhang zwischen Risiko(höhe), im Sinne eines Ausgangsrisikos, und Schutzbedarf(sstufe)". (StandardDatenschutzmodell V2.0b)

Für die Universität Erfurt gilt folgende Einteilung von Daten, Informationen, Dokumenten (Tabelle mit Beispielen folgt):

  • Vertraulichkeitsstufe V1: öffentlich: Daten sind zur Veröffentlichung bestimmt
  • Vertraulichkeitsstufe V2: intern: Daten sind nur universitätsintern von Relevanz
  • Vertraulichkeitsstufe V3: vertraulich: Daten, Informationen und Dokumente, die nur für bestimmte Personen(kreise) von Relevanz sind und/oder besonders schutzbedürftig gelten
  • Vertraulichkeitsstufe V4: streng vertraulich: Daten, Informationen und Dokumente, die begründet einer besonderen Geheimhaltung unterliegen.

Die Einteilung der Schutzkategorien nach StandardDatenschutzmodell V2.0b:

  • kein oder geringes Risiko der Verarbeitung: normaler Schutzbedarf für von der Verarbeitung betroffene Personen
  • normales Risiko der Verarbeitung: normaler Schutzbedarf für von der Verarbeitung betroffene Personen
  • hohes Risiko der Verarbeitung: hoher Schutzbedarf für von der Verarbeitung betroffene Personen

"Während der durch das Ausgangsrisiko definierte Schutzbedarf betroffener Personen bzgl. der Verarbeitungstätigkeit konstant bleibt, können die Risiken der Verarbeitung für die betroffenen Personen durch technische und organisatorische Maßnahmen verringert werden. Diese Maßnahmen verändern nicht den Schutzbedarf, sondern reduzieren das Risiko der Verarbeitungstätigkeit."

Aus Standarddatenschutzmodell V2.0b

Die norwegische Behörde zuständig für Forschung und Erziehung (Uninett) Education Network hat das Verfahren der Risikobwertung in einer Excel-Tabelle abgebildet.

Datenschutzfolgenabschätzung

Vor Einführung eines neuen, risikoreichen Verarbeitungsprozesses muß eine Datenschutzfolgenabschätzung (DSFA) durchgeführt werden. Die Notwendigkeit einer DSFA stellt der (innerbetriebliche) Verantwortliche anhand der ermittelten Risikostufe fest.

Hier kommen Vertreter aus allen Bereichen (Anwender, Verantwortliche, IT-Sicherheit, Datenschutz, Rechtsamt) zusammen und beurteilen und bewerten den Verarbeitungsvorgang und treffen Maßnahmen zur Eindämmung des Risikos.

Hilfreich unterstützend: Software PIA der französischen Aufsichtsbehörde CNIL

der BayLfD zur Datenschutzfolgenabschätzung (mit Fallstudien, Orientierungshilfen und Informtionen zur Methodik)