Datenschutz-Folgenabschätzung - "secriso Methode"

von Experten bestätigt

10. September 2018

 

Die DSGVO verpflichtet den Verantwortlichen bei der Durchführung von Verarbeitungstätigkeiten, die ein erhöhtes Risiko für die Rechte und Freiheiten natürlicher Personen darstellen, eine sogenannte „Datenschutz-Folgenabschätzung“ durchzuführen.

​

Vorweg zum rechtlichen Hintergrund

 

Insbesondere bei der Einführung von neuen Technologien (z.B. künstliche Intelligenz) muss der Verantwortliche eine Abschätzung durchführen, ob hierbei in die Grundrechte des Betroffenen eingegriffen wird. Für ähnliche Verarbeitungstätigkeiten kann eine Datenschutz-Folgenabschätzung durchgeführt werden. Wenn der Verantwortliche zur Erkenntnis gelangt, dass die Verarbeitung ein hohes Risiko zur Folge hätte und er nicht über ausreichende Maßnahmen zur Eindämmung des Risikos verfügt, muss er die Aufsichtsbehörde (gem. Art 36 Abs 1 DSGVO) konsultieren. Wenn die Aufsichtsbehörde der Ansicht ist, dass das Risiko nicht ordnungsmäßig ermittelt oder eingedämmt wurde, unterbreitet sie dem Verantwortlichen innerhalb von acht Wochen eine Empfehlung. 

​

Die Datenschutz-Folgenabschätzung muss folgende Punkte gem. Art 35 Abs 7  DSGVO enthalten:

• eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;

• eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;

• eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen;

• die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen (einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren), durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird. Dabei werden den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen.

​

​

Grundsätzlich ist eine DSFA durchzuführen, wenn

• eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen mittels automatisierter Verarbeitung (Profiling) stattfindet, die als Grundlage für Entscheidungen mit Rechtswirkung dient oder die betroffene Person in ähnlicher Weise erheblich beeinträchtigt,

• eine umfangreiche Verarbeitung von besonderen Datenkategorien stattfindet oder die Verarbeitung von Daten zu strafrechtlichen Verurteilungen und Straftaten stattfindet oder

• eine systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche stattfindet.

 

Insbesondere sind die von der Aufsichtsbehörde veröffentlichte White- und Blacklist zu beachten und jeweils vor der Durchführung der Risikobewertung zu prüfen. Des Weiteren ist eine Verarbeitung durch mehrere Verantwortliche zu prüfen, wobei bei der Durchführung der DSFA sämtliche Verantwortliche einbezogen werden müssen. Die DSFA kann jedenfalls eine zusätzliche Sorgfaltsmaßnahme darstellen!

​

​

Soviel zu den Fakten, aber was bedeutet das für die Durchführung der DSFA?

 

Grundlegend kann man sagen, dass jede Verarbeitungstätigkeit auf ihre Kritikalität hin zu bewerten ist. Das bedeutet, dass eine Risikobewertung vorzunehmen ist. secriso Consulting hat sich mit dem Thema Risikobewertung und DSFA umfassend auseinandergesetzt. "Ziel war und ist es, die Risikobewertung bzw. DSFA so durchzuführen, dass der Verantwortliche auch einen echten Vorteil davon hat. Es soll erkennen, wo aus Risikosicht wesentlicher Handlungsbedarf besteht und er soll die Bewertung nicht nur durchführen, weil es die DSGVO so vorschreibt", so Thorsten Jost - Geschäftsführer der secriso Consulting GmbH.

​

​

Die "secriso Methode" bei der datenschutzrechtlichen Risikobewertung

 

Wie sieht nun das Vorgehen von secriso Consulting aus?

​

Schritt 1: Durchführung eines "Processing Impact Assessments" (PIA)

Mittels vorgegebenem Fragekatalog samt Kriterien und Schwellwerten werden kritische Verarbeitungstätigkeiten identifiziert. Dies ist zum Beispiel dann der Fall, wenn sensible Daten verarbeitet werden oder Daten in einem großen Umfang verarbeitet werden. Als Orientierung dient das WP 248 der Artikel 29 Datenschutzgruppe.

​

Zunächst werden sämtliche Verarbeitungstätigkeiten gegen die Whitelist geprüft. Hierbei kann rasch festgestellt werden, ob überhaupt eine DSFA rechtlich erforderlich ist. Wenn für die Verarbeitungstätigkeit die Kriterien der Whitelist anwendbar sind, so ist diese Verarbeitungstätigkeit von der DSFA befreit. Achtung: Bei der Whitelist nicht nur gegen die Bezeichnung der Verarbeitungstätigkeit prüfen, sondern auch die Detailvorgaben wie z.B. Speicher- und Löschfristen beachten.

​

Ist die Verarbeitungstätigkeit nicht auf der Whitelist, so ist im Anschluss zu prüfen, ob sie unter die Blacklist fällt (Anmerkung: derzeit ist die Blacklist noch nicht veröffentlicht). In diesem Fall, ist eine DSFA verpflichtend durchzuführen – wobei zu beachten ist, dass die Whitelist der Blacklist vorangeht, d.h. ist eine Datenverarbeitung lt. Whitelist von der DSFA-Pflicht bereit muss keine weitere Prüfung gegen die Blacklist erfolgen.

​

Schritt 2: Durchführung der DSFA zur Identifikation von Risiken für Rechte und Freiheiten von Betroffenen

Die DSFA wird nun für alle kritische Verarbeitungstätigkeiten durchgeführt, die mittels des PIA identifiziert wurden. Hierbei wird beurteilt, ob durch die konkreten Datenverarbeitungen physischen, materiellen oder immateriellen Schäden bei der betroffenen Person denkbar sind.

Die unterschiedlichen Schadensszenarien sind bereits vorgegeben (z.B. können gespeicherte Informationen über Mitarbeiter oder Kunden zu einer Rufschädigung führen, wenn diese versehentlich veröffentlicht werden).

Werden durch die DSFA Risiken identifiziert, so müssen diese durch Abhilfemaßnahmen gemildert und in der DSFA dokumentiert werden (technisch organisatorische Maßnahmen zum Schutz personenbezogener Daten). In unserem Beispiel wäre das eine sichere Speicherung der Daten und ein Zugriffsschutz, damit keine unbefugten Personen Einsicht in diese Informationen erlangt.

 

(Anmerkung: derzeit noch nicht veröffentlicht):

Ist die Verarbeitungstätigkeit nicht in der Whitelist, so ist im Anschluss zu prüfen, ob sie unter die Blacklist fällt. In diesem Fall, ist eine DSFA verpflichtend durchzuführen – wobei zu beachten ist, dass die Whitelist der Blacklist vorangeht.

​

 

Schritt 3: Durchführung einer Bedrohungs- und Schwachstellenanalyse

 

Im Fokus der Sicherheitsrisikobewertung stehen vor allem jene Assets (Unternehmenswerte), die in einzelnen Prozessen (Verarbeitungstätigkeiten) zum Einsatz kommen. Es werden Eintrittswahrscheinlichkeit und Schadenshöhe für Gefährdungen und Schwachstellen beurteilt. Dazu stehen wieder unterschiedlichste Gefährdungsszenarien zur Verfügung. Das Ergebnis wird mit dem Ergebnis der DSFA konsolidiert und führt zu einem qualitativ verwendbaren Gesamtrisiko pro Verarbeitungstätigkeit.

​

​Kann das Risiko nicht reduziert werden, muss die Datenschutzbehörde konsultiert werden!

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

Schritt 4: Risikobehandlung - Festlegung von Datensicherheitsmaßnahmen

Technische sowie organisatorische Maßnahmen werden festgelegt und dienen dem Schutz der personenbezogenen Daten in IT-Systemen und etwaigen physischen Ablagen. In weiterer Folge verlangt die Umsetzung der Datensicherheitsmaßnahmen eine laufende und regelmäßig wiederkehrende Betrachtung der Risiken und auch eine Betrachtung der Risiken bei Projekten, nicht zuletzt im Sinne eines kontinuierlichen Verbesserungsprozesses.

​

​