.st0{fill:#FFFFFF;}

Risikoanalyse DSGVO 

 Oktober 22, 2020

By  Stephan Ilg

Risikoanalyse nach der DSGVO

Seit dem Inkrafttreten der europäischen Datenschutzgrundverordnung („DSGVO“) im Mai 2018 hat das Thema Datenschutz an Bedeutung gewonnen. Dabei schützt die DSGVO vor allem die Rechte der Verbraucher innerhalb der EU. 

Nicht nur Großkonzerne mussten interne Prozesse anpassen, sondern auch kleine und mittelständische Betriebe sowie Ein-Mann-Betriebe. Dabei stellt das Thema Datenschutz oftmals insbesondere für Ein-Mann-Unternehmen eine große Hürde dar.  

Das Wichtigste auf einen Blick

  • Eine Risikoanalyse ist die Beurteilung eines potenziellen Risikos für die Rechte und Freiheiten betroffener Personen durch eine fehlerhafte oder falsche Verarbeitung personenbezogener Daten 

  • Sie dient als vorbereitende Einschätzung der Bewertung darüber, ob eine Datenschutz-Folgenabschätzung erforderlich ist 

  • Ein Risiko das Bestehen der Möglichkeit des Eintritts eines Ereignisses, das selbst einen Schaden darstellt oder zu einem weiteren Schaden für eine oder mehrere natürliche Personen führen kann  
  • Eine Datenschutz-Risikoanalyse stützt sich zum einen auf die Eintrittswahrscheinlichkeit und zum andern die Schwere eines potenziellen Schadens 

    1. Was ist eine Risikoanalyse? 

    Eine Risikoanalyse im Sinne der DSGVO ist eine Beurteilung eines potenziellen Risikos für die Rechte und Freiheiten betroffener Personen durch eine fehlerhafte oder falsche Verarbeitung personenbezogener Daten.

    Eine solche Risikobewertung dient als vorbereitende Einschätzung der Beurteilung darüber, ob und wann ein Verarbeitungsprozess als risikoreich einzustufen ist, sodass gegebenenfalls eine Datenschutz-Folgenabschätzung erforderlich wird.

    Da jedes Unternehmen gesetzlich verpflichtet ist, personenbezogene Daten risikoangemessen zu schützen, erfolgt die Risikobestimmung individuell für jeden Verarbeitungsvorgang und ist bei Änderung der Umstände (z.B. Wechsel des Auftragsverarbeiters, Einsatz neuer Technologien) erneut vorzunehmen. Dabei ist das Risiko aus Sicht des Betroffenen zu bewerten. 

    Eine Risikoanalyse ist zudem relevant für die Bestimmung der Verantwortung des für die Datenverarbeitung Verantwortlichen nach Art. 24 Abs. 1 DSGVO, sowie die Ergreifung von Datenschutzmaßnahmen durch Technikgestaltung im Sinn des Art. 25 Abs. 1 DSGVO, die Gewährleistung der Sicherheit der Datenverarbeitung nach Art. 32 DSGVO, den Umgang mit Datenschutzverletzungen nach Art. 33, 34 DSGVO und eine womöglich erforderliche vorherige Konsultation der Aufsichtsbehörde nach Art. 36 DSGVO.  

     

    2. Was ist unter einem Risiko im Sinne der DSGVO zu verstehen? 

    Für die Erstellung und Implementierung eines Datenschutzkonzepts ist eine Risikoanalyse erforderlich. Aus diesem Grund ist es zunächst wichtig zu wissen, was unter einem Risiko für personenbezogene Daten zu verstehen ist. 

    In der Datenschutzgrundverordnung findet sich keine Definition des Risikobegriffs. Allerdings hat die Datenschutzkonferenz, als Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörde des Bundes und der Länder im Kurzpapier Nr. 18 den Begriff beschrieben.

    Dementsprechend ist ein Risiko „(…) das Bestehen der Möglichkeit des Eintritts eines Ereignisses, das selbst einen Schaden, einschließlich ungerechtfertigter Beeinträchtigung von Rechten und Freiheiten natürlicher Personen darstellt oder zu einem weiteren Schaden für eine oder mehrere natürliche Personen führen kann

    Aus dieser Erläuterung lässt sich darauf schließen, dass ein Risiko grundsätzlich zum einen aus der Schwere eines Schadens besteht und zum anderen der Eintrittswahrscheinlichkeit eines Schadensereignisses. Letztere können das Entstehen weiterer Risiken nach sich ziehen.  

    Mögliche Schadensereignisse sind beispielsweise unrechtmäßige Verarbeitungstätigkeiten oder Verarbeitungen, die nicht den Grundsätzen der DSGVO aus Art. 5 entsprechen und einen Verstoß gegen das Grundrecht auf Datenschutz darstellen. Daraus könnten unter Umständen weitere Risiken, wie beispielsweise eine Diskriminierung der betroffenen Person folgen 

    Schäden können sich zum einen aus der geplanten Verarbeitung selbst ergeben oder durch eigenverantwortliche oder fremdverursachte (bspw. durch technische Fehlfunktionen, Einwirkung durch unberechtigte Personen) Abweichung von der geplanten Datenverarbeitung. 

    Dabei können Risiken für Rechte und Freiheiten natürlicher Personen mit verschiedener Eintrittswahrscheinlichkeit und Schwere, aus einer Verarbeitung personenbezogener Daten resultieren, die zu einem physischen, materiellen oder immateriellen Schaden führen könnte.  Unter immateriellen Schäden sind alle Grundrechtsverletzungen der betroffenen Person zu verstehen.  

    3. Wann ist von einem Risiko auszugehen? 

    Mögliche Datenschutzrisiken die zu solchen Schäden für personenbezogene Daten führen können birgt beispielsweise eine Datenverarbeitung, die zu einer Diskriminierung, einem Identitätsdiebstahl oder Identitätsbetrug, finanziellen Verlusten, einer Rufschädigung oder einem Vertrauensverlust bei einem Berufsgeheimnisträger führt. 

    Ein erhöhtes Risikopotenzial birgt auch die Verarbeitung personenbezogener Daten besonderer Kategorien nach Art. 9 DSGVO, die besonders sensibel sind. Auch Verarbeitungen die zu einer unbefugten Aufhebung einer Pseudonymisierung führen oder andere beachtliche wirtschaftliche oder gesellschaftliche Nachteile herbeiführen könnensind risikobehaftet. 

    Ein Schaden ist somit immer wahrscheinlich, wenn die betroffene Person infolge einer Datenverarbeitung, um ihre Rechte und Freiheiten gebracht oder daran gehindert werden könnte, die sie betreffenden Daten zu kontrollieren. 

    Die Aufsichtsbehörden haben eine Liste (sog. Blacklistmit weiteren maßgeblichen Kriterien veröffentlicht, die mit entsprechend hohen Risiken verbunden sein können 

    Wird bei einer Risikoanalyse zur Erstellung eines Datenschutzkonzepts im Sinne der DSGVO festgestellt, dass solche Kriterien bei den stattfindenden oder geplanten Verarbeitungstätigkeiten im Zusammenhang mit personenbezogenen Daten zutreffen, ist ein Risiko zu erwarten. Je mehr dieser Kriterien vorliegen, desto wahrscheinlicher ist ein hohes Risiko.  

     

    4. Wie ist eine Datenschutz-Risikoanalyseaufgebaut? 

    Eine Datenschutz-Risikoanalyse stützt sich zum einen auf die Eintrittswahrscheinlichkeit und zum andern die Schwere des potenziellen Schadens, sodass anhand dieser Kriterien aus der Sicht der Betroffenen, systematisch potenzielle Risiken aufgespürt, beurteilt und dokumentiert werden müssen.

    Das datenschutzrechtliche Risikomanagement hebt sich von einer gewöhnlichen Risikoanalyse insbesondere dadurch ab, dass bei ihrer Durchführung die Sicht der betroffenen Personen eingenommen werden muss.  

    Als Grundlage einer Risikobeurteilung dient eine konkrete Beschreibung eines zugrundeliegenden Sachverhalts, für den eine Risikobeurteilung erfolgen soll.   

    Bei der Bewertung eines Risikos sind im Voraus die Risikoquellen zu identifizieren. Das bedeutet, dass zunächst erkannt werden muss, welcher Schaden durch welches Ereignis eintreffen kann und durch welche Handlungen bzw. Umstände dieses Ereignis herbeigeführt wird. Auf der einen Seite müssen die negativen Folgen betrachtet werden, die aus der geplanten Verarbeitung resultieren können.

    Auf der anderen Seite sind die negativen Folgen für den Fall zu betrachten, dass von einer geplanten Verarbeitung abgewichen wird, beispielsweise wenn vorgesehene Prozesse eingeschränkt sind, ganz ausfallen oder eine unbeabsichtigte oder vorsätzliche und unbefugte Datenveränderung erfolgt.

    Auch Abweichungen können eine unrechtmäßige oder eine die Datenschutzgrundsätze verletzende Verarbeitung zur Folge haben.

    Dabei ist auch in Betracht zu ziehen, ob und gegebenenfalls welche Personen ein Interesse daran haben könnten die Verarbeitungsvorgänge und die darin verarbeiteten Daten in unzulässiger Art und Weise zu nutzen, welche Beweggründe sie dazu antreiben und welches Ziel sie damit verfolgen. 

    Auf Grundlage dieser Daten kann die entsprechende Eintrittswahrscheinlichkeit eines Schadens ermittelt werden. 

    Im Anschluss müssen die Eintrittswahrscheinlichkeit dieses schädigenden Ereignisses und die Schwere potenzieller Schäden beurteilt werden. Diese lassen sich selten mathematisch erfassen. Sie sind vielmehr in Bezug auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung anhand einer objektiven Bewertung zu beurteilen. 

    Abschließend ist eine Einordnung in eine Risikostufe vorzunehmen. Dies kann beispielsweise in einer Risikomatrix erfolgen, wie die Datenschutzkonferenz es im Kurzpapier Nr. 18 beispielhaft darstellt. Darin kann das Risiko als geringfügiggering oder hoch eingestuft werden. 

    Anhand dieser Vorgehensweise wird das Ausgangsrisiko einer Datenverarbeitung unter Berücksichtigung der Umstände der Verarbeitung im Einzelfall bestimmt.  

    5. Wie können Datenschutzrisiken bewältigt werden? 

    Im Anschluss an die Risikoanalyse sind Abhilfemaßnahmen zu ergreifen, um die ermittelten Risiken angemessen einzudämmen. Dafür werden oftmals technisch-organisatorische Maßnahmen ergriffen, die geeignet sind, Rechte und Freiheiten betroffener Personen datenschutzkonform und risikoangemessen zu schützen, in dem durch technische und organisatorische Vorkehrungen die Eintrittswahrscheinlichkeit sowie die Schwere eines potenziellen Schadens eingedämmt wird. (Link Artikel Sicherheit der Verarbeitung Art. 32 DSGVO) 

    Nach Umsetzung der Abhilfemaßnahmen sind diese auf Ihre Effektivität hin zu untersuchen und zu überwachen. Es besteht stets die Möglichkeit, dass sich im Zuge der Umsetzung dieser Maßnahmen weitere Risiken herausstellen, die ebenfalls eingedämmt werden müssen.  

    Der Verantwortliche ist verpflichtet  vor der Datenverarbeitung, genauestens zu prüfen, ob er alle ihm zur Verfügung stehenden und dem Verhältnismäßigkeitsgrundsatz entsprechend möglichen Maßnahmen ergriffen hat, um das bestehende Risiko einzudämmen.  

    Sofern nach der Umsetzung sogenannter Abhilfemaßnahmen ein Restrisiko verbleibt das hoch einzustufen ist, bleibt der verantwortliche Datenverarbeiter verpflichtet entsprechend Art. 36 DSGVO vor Beginn der geplanten Verarbeitung die Aufsichtsbehörde zu konsultieren.  


    6. Fazit

    Zu erwartende Risiken für die Rechte und Freiheiten natürlicher Personen spielen offensichtlich eine entscheidende Rolle für die Erstellung und Implementierung eines Datenschutzkonzeptes nach der DSGVO. 

    Aus diesem Grund sollten Verantwortliche bei der Verarbeitung personenbezogener Daten in Ihrem Unternehmen dem damit verbundenen Risiko umfassend Rechnung tragen und interne Geschäftsprozesse risikoangemessen gestalten.

    Auch wenn mittlerweile Hinweise der Aufsichtsbehörden, Anleitungen und andere Hilfestellungen sowie Leitlinien des Europäischen Datenschutzausschusses (European Data Protection Board, EDPB) zur Verfügung gestellt werden, empfiehlt es sich einen Datenschutzbeauftragten mit der Durchführung von Datenschutzrisikomanagementmaßnahmen im eigenen Unternehmen zu beauftragen. 

    Subscribe to our newsletter now!