Risikobewertung

Risikobewertung (Dokumentation im Verarbeitungsverzeichnis)

Die Besonderheit einer datenschutzrechtlichen Risikobeurteilung nach DSGVO liegt in der Ausrichtung auf die betroffene Person. So nennt z.B. Erwägungsgrund 75 einzelne Datenschutzrisiken aus Sicht des Betroffenen, insbesondere:

  • Diskriminierung
  • Identitätsdiebstahl oder -betrug
  • finanzieller Verlust
  • Rufschädigung
  • Verlust der Vertraulichkeit oder Kontrollmöglichkeit von Daten, die dem Berufsgeheimnis unterliegen, von Gesundheitsdaten, besonderen Daten nach Art. 9 DSGVO oder von Profiling-Daten (vgl. Art. 4 Nr. 4 DSGVO)

Hintergrundwissen: https://www.datenschutz-praxis.de/fachartikel/risikobeurteilung-nach-dsgvo-in-der-praxis/

Das Risiko ergibt sich aus den Komponenten: Wahrscheinlichkeit des Eintritts und dem Schweregrad des Schadens. Ziel ist es, jeden Vearbeitungsvorgang durch geeignete technisch-organisatorische Maßnahmen soweit zu kontrollieren, dass das Risiko im Normalbereich liegt. Sinnvoll ist es, in diesem Zusammenhang neben den datenschutzrechtlichen Risiken auch die Risiken der IT-Sicherheit zu berücksichtigen.

Schutzbedarf der Daten (nach StandardDatenschutzmodell V2.0b)

"Der Schutzbedarf ergibt sich aus dem Risiko der Verarbeitungstätigkeit, bevor technische und organisatorische Maßnahmen bestimmt und umgesetzt wurden. Insofern gilt der folgende Zusammenhang zwischen Risiko(höhe), im Sinne eines Ausgangsrisikos, und Schutzbedarf(sstufe):

  • kein oder geringes Risiko der Verarbeitung: normaler Schutzbedarf für von der Verarbeitung betroffene Personen
  • normales Risiko der Verarbeitung: normaler Schutzbedarf für von der Verarbeitung betroffene Personen
  • hohes Risiko der Verarbeitung: hoher Schutzbedarf für von der Verarbeitung betroffene Personen

Während der durch das Ausgangsrisiko definierte Schutzbedarf betroffener Personen bzgl. der Verarbeitungstätigkeit konstant bleibt, können die Risiken der Verarbeitung für die betroffenen Personen durch technische und organisatorische Maßnahmen verringert werden. Diese Maßnahmen verändern nicht den Schutzbedarf, sondern reduzieren das Risiko der Verarbeitungstätigkeit."

Aus Standarddatenschutzmodell V2.0b

Datenschutzfolgenabschätzung

Vor Einführung eines neuen, risikoreichen Verarbeitungsprozesses muß eine Datenschutzfolgenabschätzung (DSFA) durchgeführt werden. Die Notwendigkeit einer DSFA stellt der (innerbetriebliche) Verantwortliche anhand der ermittelten Risikostufe fest.

Hier kommen Vertreter aus allen Bereichen (Anwender, Verantwortliche, IT-Sicherheit, Datenschutz, Rechtsamt) zusammen und beurteilen und bewerten den Verarbeitungsvorgang und treffen Maßnahmen zur Eindämmung des Risikos.

Hilfreich unterstützend: Software PIA der französischen Aufsichtsbehörde CNIL

der BayLfD zur Datenschutzfolgenabschätzung (mit Fallstudien, Orientierungshilfen und Informtionen zur Methodik)