Risikobeurteilung bei Datenschutzvorfällen

Fachbeitrag

Unternehmen wurden bereits mit den ersten Datenschutzvorfällen konfrontiert, die nunmehr nach der DSGVO zu beurteilen sind. Bei der Frage, ob ein Vorfall meldepflichtig ist, spielt der Begriff des Risikos eine zentrale Rolle. Der folgende Beitrag beschäftigt sich mit der Risikoanalyse, die in einem solchen Fall durchgeführt werden muss.

Beispiel Datenschutzvorfall

Der Risikobegriff taucht in der Datenschutz-Grundverordnung an zahlreichen Stellen auf. Gerade bei der Frage der Meldepflicht eines Datenschutzvorfalls spielt die Bestimmung des Risikos eine wichtige Rolle. Kommt man zu dem Ergebnis, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, dann muss der Datenschutzvorfall gem. Art. 33 DSGVO binnen 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden. Besteht hingegen kein Risiko, dann genügt eine vollständige Dokumentation des Sachverhalts und der Prognoseentscheidung.

Das Gesetz fordert vom Verantwortlichen in diesem Zusammenhang aber noch mehr. Gem. Art. 34 DSGVO ist die betroffene Person von der Verletzung zu benachrichtigen, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat. Der Verantwortliche muss also nicht nur entscheiden, ob voraussichtlich ein Risiko besteht, sondern auch eine Prognoseentscheidung hinsichtlich der Höhe treffen.

Die Risikobeurteilung ist in vielen Fällen alles andere als einfach. Sie fordert die Berücksichtigung einer Vielzahl von Faktoren und möglichen Szenarien. Die Grundlage für die Risikobeurteilung ist zunächst eine genaue Beschreibung des zugrundliegenden Sachverhalts. Bei Datenpannen bietet es sich deshalb stets an, dass die Datenpanne in einem Formular umfassend und detailliert beschreiben wird. Steht der Sachverhalt fest, dann ist ein sauberes und methodisches Vorgehen gefragt. Dabei empfiehlt sich eine Orientierung an dem Kurzpapier der Datenschutzkonferenz zum Risikobegriff.

Phasen der Risikobeurteilung

Bei der Beurteilung sind nach dem Kurzpapier der Aufsichtsbehörden drei Phasen zu durchlaufen.

  1. Bestimmung möglicher Schäden
  2. Abschätzung von Eintrittswahrscheinlichkeit und Schwere möglicher Schäden
  3. Zuordnung zur Risikoabstufungen

1. Bestimmung möglicher Schäden

Im Rahmen der Risikoidentifikation sind zunächst mögliche Schäden für den Betroffenen zu bestimmen. Erwägungsgrund 85 enthält zahlreiche Beispiele für mögliche Schäden bei Datenschutzvorfällen. Dies können beispielsweise sein: Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste oder Rufschädigung. Sind bei einer Datenpanne Datensätze mit vollständigen Namen und Privatadressen abhandengekommen, dann ist ein Identitätsdiebstahl ein möglicher Schaden. Kommen hingegen Zahlungsdaten abhanden, so kann es zu finanziellen Verlusten kommen. Alle möglichen Schäden müssen in dieser Phase identifiziert werden. Die Wahrscheinlichkeit eines Eintritts und die Schwere des Schadens bleiben zunächst außen vor.

2. Abschätzung der Eintrittswahrscheinlichkeit und Schwere möglicher Schäden

In einem zweiten Schritt ist für die möglichen Schäden die jeweilige Eintrittswahrscheinlichkeit und Schwere möglicher Schäden zu bestimmen.

Bei der Bestimmung der Eintrittswahrscheinlichkeit sind zahlreiche Faktoren zu berücksichtigen. Werden z.B. Daten nur gegenüber einem sehr geringen Personenkreis offenbart, dann kann dies bei bestimmten Schäden für eine geringere Eintrittswahrscheinlichkeit sprechen. Auch zu berücksichtigen ist, wie lange ein Vorfall andauerte und wann konkrete Gegenmaßnahmen getroffen wurden. Bekommt ein Empfänger unbeabsichtigt personenbezogene Daten per E-Mail und der Absender weißt ihn hierauf hin, dann weiß der Empfänger um das Aufdeckungsrisiko, wenn er die Daten unrechtmäßig weiterverwendet. Dies verringert nach allgemeiner Lebenserfahrung den Eintritt eines Schadens. Werden hingegen Daten im Internet veröffentlicht, dann weiß ein Empfänger um das geringere Aufdeckungsrisiko, die Hemmschwelle für einen Identitätsdiebstahl ist geringer und damit steigt auch die Eintrittswahrscheinlichkeit für einen Schaden.

Bei der Bestimmung der Schwere des Schadens gibt es ebenfalls eine Fülle von Kriterien, die zu berücksichtigen sind. So ist die Schwere regelmäßig höher, wenn als besonders sensibel eingestufte Daten betroffen sind. Dazu gehören die in Art. 9 DSGVO genannten Daten. Auch die Betroffenenkategorie kann sich auf die Schwere des Schadens auswirken. Sind etwa Daten von Kindern betroffen, dann handelt es sich um Personen, die besonders schützenswert sind. Besondere Bedeutung kommt schließlich auch der Anzahl der betroffenen Personen und der Merkmale innerhalb eines Datensatzes zu.

3. Zuordnung zur Risikoabstufungen

Sind die vorstehend beschriebenen Phasen durchlaufen worden, dann ist nun die Zuordnung des Risikos zu den verschiedenen Risikoabstufungen vorzunehmen. Es gibt drei Risikobereiche: „geringes Risiko“, „Risiko“ und „hohes Risiko“.

Sind Schwere und Eintrittswahrscheinlichkeit eines Schadens sehr groß, dann liegt auch ein hohes Risiko für den Betroffenen vor. Wird das Risiko bei einer Datenpanne als „hoch“ bewertet, dann ist nicht nur eine Meldung an die Aufsichtsbehörde, sondern auch eine Benachrichtigung der Betroffenen erforderlich.

Ist hingegen sowohl die Eintrittswahrscheinlichkeit, als auch die Schwere eines Schadens, als sehr gering einzustufen, dann liegt im Ergebnis ein geringes Risiko vor. Dies kann im Einzelfall bedeuten, dass weder eine Meldepflicht gegenüber der Behörde, noch eine Benachrichtigungspflicht gegenüber den Betroffenen besteht. Die im Kurzpapier der Aufsichtsbehörden dargestellte Risikomatrix kann bei der Einordnung helfen. Problematisch sind dabei insbesondere die Grenzfälle zwischen den verschiedenen Abstufungen.

Große Herausforderung für den Verantwortlichen

In vielen Fällen wird der Verantwortliche bei Datenpannen Schwierigkeiten bei der Risikobeurteilung haben. Natürlich gibt es eindeutige Fälle, aber oftmals wird gerade die Entscheidung darüber, ob ein Risiko „hoch“ ist oder nicht schwer zu treffen sein. Für mehr Sicherheit bei der Einordnung ist es deshalb zwingend erforderlich, dass die oben genannten Phasen durchlaufen werden.

Kommt man zu dem Ergebnis, dass bei einer Verletzung des Schutzes personenbezogener Daten kein Risiko besteht, dann ist der zugrundliegende Sachverhalt und datenschutzrechtliche Beurteilung inklusive der Risikobeurteilung gem. Art. 33 Abs.5 DSGVO vollständig zu dokumentieren. Nur so kann eine Aufsichtsbehörde im Bedarfsfall nachvollziehen, auf welcher Grundlage diese Prognoseentscheidung getroffen wurde. Die Risikobeurteilung ist dabei nur ein kleiner Teil in einem großen Prozess, der mit der Kenntnisnahme von einer Datenpanne beginnt und mit der Meldung bzw. Nichtmeldung des Vorfalls endet.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Datenschutz-Grundverordnung (DSGVO)

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.