Datenschutz Verstehen – Schwellwertanalyse im Datenschutzrecht.
Kurze Einleitung:
Die Datenschutz-Folgenabschätzung (DSFA) ist ein in der europäischen Datenschutz-Grundverordnung (DSGVO) geregeltes Verfahren und fungiert als eine Art der Risikobeurteilung. Die Schwellenwertanalyse ist dabei als Bestandteil der DSFA nach Art. 35 DSGVO besonders relevant, wenn die Form der Verarbeitung voraussichtlich ein hohes Risiko für Rechte und Freiheiten natürlicher Personen darstellt und diese sich insbesondere auf die Verwendung neuer Technologien, die Art, den Umfang, die Umstände und Zwecke der Datenverarbeitung bezieht. Zudem ist die Schwellenwertanalyse notwendig für die Risikobewertung vor der Durchführung einer DSFA. Was eine Schwellenwertanalyse im Detail ist und wie genau diese aufgebaut ist, erfahren Sie in diesem Blogbeitrag.
Der Begriff der „Rechte und Freiheiten natürlicher Personen”
Als zentraler Begriff der DSGVO umfassen die „Rechte und Freiheiten natürlicher Personen“ alle Grundrechte, die durch das Datenschutzrecht zumindest mittelbar geschützt werden. Deren Ausgangspunkte sind das Grundrecht auf Schutz personenbezogener Daten nach Art. 8 der Charta der Grundrechte und die Grundfreiheiten der Europäischen Union (Grundrechtecharta – GrCh) und der Europäischen Menschenrechtskonvention (EMRK). Pauschal bezeichnet Datenschutz dabei den „Schutz von personenbezogenen Daten“. Er soll somit die Rechte eines Individuums in Bezug auf seine Daten schützen. Ziel der DSGVO ist in Bezug darauf nach Art. 1 Abs. 2 DSGVO der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz ihrer personenbezogenen Daten. Um diesen Schutz zu gewährleisten, gibt die DSGVO in Art. 5 mehrere Grundsätze der Verarbeitung vor, wie Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung und weitere. Dabei gibt bspw. der Grundsatz der Zweckbindung gem. Art. 5 Abs. 1 lit. b DSGVO vor, dass personenbezogene Daten für festgelegte eindeutige und legitime Zwecke erhoben werden müssen und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden dürfen. Darüber hinaus besitzen Betroffene einer Datenverarbeitung verschiedene Rechte in Bezug auf ihre personenbezogenen Daten, die in den Art. 12 ff. DSGVO geregelt sind, wie u.a. das Recht auf Berichtigung, Löschung oder das Widerspruchsrecht. In besonderem Maße dienen auch diese Betroffenenrechte dem Schutz der Rechte und Freiheiten natürlicher Personen.
Definition Risiko DSGVO
In der DSGVO ist der Begriff des Risikos nicht ausdrücklich definiert. Deshalb ist eine Begriffsherleitung aus den Erwägungsgründen (ErwGr.) 75 und 94 S. 2 DSGVO hilfreich. Demnach kann unter einem Risiko das Bestehen von Eintrittsmöglichkeiten verstanden werden, die Ereignisse betreffen, welche selbst einen Schaden bzw. eine ungerechtfertigte Beeinträchtigung von Rechten und Freiheiten natürlicher Personen darstellen oder die eine Herbeiführung von weiteren Schäden für eine oder mehrere natürliche Personen bewirken. Demgemäß kann ein einzelnes Schadensereignis das Entstehen weiterer Risiken fördern. Dabei können zwei Dimensionen unterschieden werden, die zusammen das Risiko bilden. Zum einen die Schadensschwere und zum anderen die Eintrittswahrscheinlichkeit des Schadensereignisses oder der Folgeschäden.
Bei der Risikoabschätzung unter Beachtung der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere sind die Rechte und Freiheiten natürlicher Personen von zentraler Bedeutung. Aus jeder Verarbeitung personenbezogener Daten können Risiken hervorgehen, die zu physischen, materiellen oder immateriellen Schäden führen können. Grundsätzlich bedarf die Verarbeitung von personenbezogenen Daten eine Rechtsgrundlage im Sinne des Art. 6 DSGVO. Schadensereignisse stellen z.B. unrechtmäßige Verarbeitungen oder Verarbeitungen, die nicht den Grundsätzen des Art. 5 DSGVO entsprechen, wie etwa ein Verstoß gegen das Prinzip der Richtigkeit gem. Art. 5 Abs. 1 lit. d DSGVO dar. Außerdem können durch Schadensereignisse zusätzliche Risiken wie etwa eine Diskriminierung natürlicher Personen entstehen, bspw. wenn eine Verarbeitung direkt zu einer Diskriminierung, einem Identitätsdiebstahl, einer Rufschädigung oder einer unbefugten Aufhebung der Pseudonymisierung führt. Risikoquellen für Schadensereignisse ergeben sich grundsätzlich aus internen oder externen menschlichen und nicht menschlichen Quellen, die eine eigen- oder fremdverantwortete Abweichung von der Verarbeitung verursachen. Als Beispiele für interne oder externe menschliche Risikoquellen lassen sich mangelhafte Datenschutz- oder IT-Sicherheitsmaßnahmen wie ungeschulte Mitarbeiterinnen und Mitarbeiter, fehlende Löschkonzepte oder Hackerangriffe identifizieren. Dahingegen sind unter internen oder externen nicht menschlichen Risikoquellen etwa Naturkatastrophen, Hardwaredefekte oder Software-Lücken zu verstehen.
Um die Eintrittswahrscheinlichkeit von Schäden bei der fehlerhaften Umsetzung von rechtlichen Vorgaben vorzubeugen und weitere Risiken im Unternehmen bezüglich verschiedenster Datenschutzverletzungen zu reduzieren oder zu vermeiden, ist es relevant, die Mitarbeiterinnen und Mitarbeiter rechtssicher im Datenschutz zu schulen. Eine Schulung, wie bspw. die der Mitarbeiterschule, kann dabei ein wichtiges Instrument zur Datenschutz-Optimierung darstellen.
Was ist eine Schwellwertanalyse?
Grundsätzlich ergibt sich eine Schwellwertanalyse (eng. „threshold analysis“) nicht direkt aus dem Gesetz. Sie ist eher als logische Folge aus Art. 35 Abs. 1, 3 und 4 DSGVO zu verstehen und kann als Risikoanalyse gewertet werden. Dabei wird vor einer DSFA ermittelt, ob die Durchführung dieser überhaupt notwendig ist. Dazu wird die bestehende Risikohöhe bestimmt. Bei einem hohen Risiko ist eine DSFA durchzuführen. Ein mögliches Risiko wird durch die Beurteilung der Eintrittswahrscheinlichkeit und der Schwere des Schadens eines Ereignisses festgelegt. Systematisch ist eine Schwellenwertanalyse vergleichbar mit der Schutzbedarfsanalyse aus der Informationssicherheit. Jedoch verfolgt diese einen anderen Fokus, wobei das Risiko für Rechte und Freiheiten von betroffenen natürlichen Personen gerade in Bezug auf dessen personenbezogene Daten im Mittelpunkt steht.
Wie die darauffolgende DSFA durchzuführen ist und weitere Hinweise zu dieser können Sie hier erfahren.
Vorgehen bei einer Risikoanalyse nach DSGVO
Eine Risikoanalyse besteht aus mehreren aufeinander aufbauenden Schritten, die im Folgenden näher erläutert werden:
Risikobeurteilung im Datenschutz
Als Erstes wird eine Risikobeurteilung durchgeführt, welcher eine konkrete Beschreibung des bestehenden Sachverhalts zugrunde liegen sollte. Dabei sind drei einzelne Schritte zu beachten:
1. Risikoidentifikation
Die Risikoidentifizierung sollte eine Beschreibung des möglichen Risikos samt der Quelle enthalten. Dabei sollte auf die Verarbeitungsgrundsätze nach Art. 5 DSGVO Bezug genommen werden. Grundsätzlich sind dabei folgende Fragestellungen zu klären:
- Welche Schäden können für die natürlichen Personen auf der Grundlage der zu verarbeitenden Daten bewirkt werden?
- Wodurch, d.h. durch welche Ereignisse, kann es zu dem Schaden kommen?
- Durch welche Handlungen und Umstände kann es zum Eintritt dieser Ereignisse kommen (sog. Risikoquellen)?
a) Schäden für natürliche Personen
Bspw. physischer, materieller oder immaterieller Art durch negative Folgen der geplanten Verarbeitung oder von Abweichungen von der geplanten Verarbeitung, ungerechtfertigte Verarbeitung personenbezogener Daten, z.B. wenn eine Einwilligung oder eine gesetzliche Grundlage nach Art. 6 DSGVO fehlt und alle denkbaren negativen Folgen der Datenverarbeitung für die Rechte und Freiheiten natürlicher Personen i.S.d. Schadenskategorien nach ErwGr. 75 DSGVO:
- Diskriminierung,
- Identitätsdiebstahl,
- finanzieller Verlust, z.B. durch Betrug,
- Rufschädigung,
- wirtschaftliche oder gesellschaftliche Nachteile,
- Erschwerung der Rechtsausübung und Verhinderung der Kontrolle durch betroffene Personen,
- Ausschluss oder Einschränkung der Ausübung von Rechten und Freiheiten,
- Profilerstellung oder -nutzung durch Bewertung persönlicher Aspekte,
- körperliche Schäden infolge von Handlungen auf der Grundlage fehlerhafter oder offengelegter Daten.
b) Ereignisse, die zu Schäden führen können:
Bspw. vorliegend bei der Nichteinhaltung der Datenschutzgrundsätze nach Art. 5 Abs. 1 DSGVO sowie der Nichtgewährung der Betroffenenrechte nach Art. 12 ff. DSGVO, insbesondere:
- Unbefugte oder unrechtmäßige Verarbeitung,
- Verarbeitung wider Treu und Glauben,
- intransparente Verarbeitung aus Sicht der Betroffenen,
- Unbefugte Offenlegung von und Zugang zu Daten,
- Unbeabsichtigter Verlust, Zerstörung oder Schädigung von Daten,
- Verweigerung der Betroffenenrechte,
- Verwendung der Daten durch den Verantwortlichen zu inkompatiblen Zwecken,
- Verarbeitung nicht vorhergesehener Daten, nicht richtiger Daten oder über die Speicherfrist hinaus.
Außerdem können sich Schäden bereits aus der Verarbeitung selbst ergeben, die dann auch das Schadensereignis darstellt.
c) Risikoquellen
Risikoquellen sind zunächst in der Sphäre des Verantwortlichen oder des Auftragsverarbeiters und der von diesen durchgeführten Verarbeitungen zu finden. Hierbei können Personen bewusst oder unbeabsichtigt den für die Verarbeitung vorgesehenen Rahmen überschreiten (z.B. wenn die eigentliche Zweckbindung von Kundendaten erweitert wird, um weitere Verarbeitungen zu verwirklichen). Außerdem können Mitarbeiterinnen und Mitarbeiter vorsätzlich gegen Anweisungen zum Umgang mit personenbezogenen Daten verstoßen oder in Verfolgung eigener Interessen unbefugt handeln. Auch sind externe Risikoquellen durch unbefugte Dritte wie Hacker zu berücksichtigen, aber auch staatliche Stellen, die sich unbefugt Zugang verschaffen können. Zudem sind auch Kommunikationspartner, Dienstleister oder Hersteller als potenzielle Risikoquellen zu beachten, da mit diesen häufig personenbezogene Daten ausgetauscht werden, bspw. bei verwendeter Software, die für die Verarbeitung personenbezogener Daten eingesetzt wird. Technische Fehlfunktionen und äußere Einflüsse, z.B. durch höhere Gewalt, sollten schließlich auch nicht außer Acht gelassen werden.
2. Bestimmung der Eintrittswahrscheinlichkeit und der Schwere möglicher Schäden
Ein weiterer Teil der Risikobeurteilung ist, dass für jeden möglichen Schaden die Eintrittswahrscheinlichkeit und Schadensschwere abgeschätzt werden, da diese sich nur in ganz wenigen Ausnahmefällen mathematisch bestimmen lassen. Jedoch verlangt ErwGr. 76 DSGVO, dass ein Risiko anhand objektiver Kriterien zu beurteilen ist. Dies ist insbesondere bei immateriellen Schäden, wie z.B. einer Rufschädigung zu beachten. Einzustufen ist dabei, wie schwerwiegend die möglichen negativen Folgen für die Lebensführung der betroffenen Personen sind. Zur Bemessung des Risikos ist eine Abstufung der Ausprägungen von Schwere und Eintrittswahrscheinlichkeit eines möglichen Schadens auf einer Skala hilfreich, wobei dies in vier Ausprägungen darzustellen ist. Zur Differenzierung könnten jeweils folgende Abstufungen verwendet werden: geringfügig, überschaubar, substanziell und groß. Die Zuordnung zu den einzelnen Stufen ist dabei zu begründen.
a) Eintrittswahrscheinlichkeit
Die Eintrittswahrscheinlichkeit eines Risikos beschreibt, mit welcher Wahrscheinlichkeit ein bestimmtes Ereignis, das einen Schaden darstellt, eintritt und mit welcher weiteren Wahrscheinlichkeit es zu Folgeschäden kommen kann. Bspw. ist bei einem Schadensereignis, wie etwa der ungewollten Offenlegung der sexuellen Orientierung einer Person, zum einen die Eintrittswahrscheinlichkeit der Offenlegung an sich als auch der daraus resultierenden weiteren Schäden einzuschätzen. Die Eintrittswahrscheinlichkeiten der einzelnen Möglichkeiten, die zu einer solchen Offenlegung führen können, sind zu summieren. Dazu gehören unter anderem unzureichende Vorkehrungen des Verantwortlichen, der sorglose Umgang von Beschäftigten mit entsprechenden Informationen, technische Fehlfunktionen oder auch die Ausspähung durch Dritte.
b) Mögliche Schadensschwere
Die Schwere eines möglichen Schadens muss i.S.d. ErwGr. 76 DSGVO in jedem Einzelfall insbesondere unter Berücksichtigung von Art, Umfang, Umständen und Zwecken der Verarbeitung bestimmt werden. Wesentliche Faktoren sind dabei:
- Die Verarbeitung besonders geschützter Daten im Sinne von Art. 9 und 10 DSGVO,
- die Verarbeitung von Daten schützenswerter Personengruppen (z.B. Kinder, Beschäftigte etc.),
- die Verarbeitung nicht veränderbarer und eindeutig identifizierenden Daten wie z.B. eindeutigen Personenkennzahlen im Vergleich zu pseudonymisierten Daten,
- die automatisierte Verarbeitungen, die eine systematische und umfassende Bewertung persönlicher Aspekte (z.B. Profiling) beinhalten und auf deren Grundlage dann Entscheidungen mit erheblichen Rechtswirkungen für betroffene Personen getroffen werden (vgl. Art. 35 Abs. 3 lit. a DSGVO),
- wenn ein Schaden nicht oder kaum reversibel ist,
- die betroffene Person nur wenige oder beschränkte Möglichkeiten hat, die Verarbeitung selbst zu prüfen oder gerichtlich prüfen zu lassen oder von der Verarbeitung gar keine Kenntnis hat und
- wenn die Verarbeitung eine systematische Überwachung ermöglicht.
3. Zuordnung zur Risikoabstufung
Im Anschluss an die Bestimmung der Eintrittswahrscheinlichkeit und der Schwere möglicher Schäden müssen diese den einzelnen Risikoabstufungen zugeordnet werden. Das Ziel dabei ist, die Risiken nach den Abstufungen „geringes Risiko“, „Risiko“ und „hohes Risiko“ zu bestimmen. In der DSGVO wird nicht näher definiert, wie dies konkret erfolgen soll. Deshalb besteht grundsätzlich ein gewisser Spielraum für verschiedene Darstellungsmodelle. Das Gesamtrisiko der Verarbeitung ist grundsätzlich anhand der höchsten Risikoklasse der Einzelrisiken anzunehmen.
Risikomatrix
Im Anschluss an die Risikobeurteilung erfolgt die Erstellung einer Risikomatrix. Bei Abschätzung des Risikos einer Verarbeitung kann in Bezug auf die Eintrittswahrscheinlichkeit und die Schwere des möglichen Schadens die folgende Matrix als Beispiel dienen:
Dabei ist eine Unterteilung in vier Schadensklassen und vier Klassen für die Eintrittswahrscheinlichkeit sinnvoll (bspw. geringfügig, überschaubar, substanziell und groß). Jedoch kann die genaue Anzahl der Risikoklassen selbst bestimmt werden (mindestens drei bspw. geringes, mittleres und hohes Risiko). Außerdem ist es hilfreich, diesen klassische Zahlenwerte zu hinterlegen (z.B. 5, 10, 15, 20), um sie in eine mögliche Berechnung einzubeziehen. Das daraus abzuschätzende Risiko sollte im Anschluss mit dem individuellen Risikoakzeptanzniveau des Unternehmens verglichen werden. Das festgelegte Risikoakzeptanzniveau kann z.B. bei einem Schwellenwert von < 5 zu dem Ergebnis führen, dass keine weiteren Maßnahmen vorgenommen werden müssen. Es können bei der Abschätzung des Risikos anhand der Matrix auch Fälle eintreten, in denen der Eintritt des Schadens relativ wahrscheinlich ist oder der potenzielle Schaden besonders schwer wiegen würde. Für diesen Fall sind die in den Feldern der Matrix hinterlegten Farben von Bedeutung. Diese machen deutlich, dass in Grenzfällen eine Einzelfallbetrachtung notwendig ist.
Risikoeindämmung
Als nächster Schritt sind Maßnahmen zur angemessenen Eindämmung der bestehenden Risiken zu ermitteln. Die Minimierung des Risikos kann umgesetzt werden, indem Vorkehrungen getroffen werden, die entweder den Schaden oder die Eintrittswahrscheinlichkeit verringern. Dies wird mit dem Stand der Technik entsprechenden technischen und organisatorischen Maßnahmen (TOMs) gewährleistet, die geeignet sind, die Rechte und Freiheiten der betroffenen natürlichen Personen angemessen zu schützen. Auch sollten regelmäßige Überwachung der möglichen Risiken stattfinden und ein entsprechender Risikobericht angefertigt werden. Bspw. gehören Security-Maßnahmen aus der Informationssicherheit dazu, die Hackerangriffe minimieren. Auch kann ein Risiko eliminiert werden, indem der Eintritt eines Schadensereignisses komplett vermieden wird. Außerdem kann das Risiko auf Dritte, wie etwa Versicherungen oder externe Datenschutzbeauftragte, übertragen werden. Externe Datenschutzbeauftragte können auch dabei behilflich sein, Risikoquellen zu identifizieren oder zu minimieren.
Restrisiko
Nach der Umsetzung von Eindämmungsmaßnahmen kann ein gewisses Risiko verbleiben, das als Restrisiko bezeichnet wird. Wenn dieses Restrisiko als hoch einzustufen ist, besteht die Pflicht zur vorherigen Konsultation gem. Art. 36 DSGVO. Das heißt, dass der Verantwortliche vor einer Verarbeitung konkret prüfen muss und gem. Art. 5 Abs. 2 DSGVO als Nachweis für die Erfüllung der Anforderungen der DSGVO dokumentieren muss, ob er alle ihm nach dem Grundsatz der Verhältnismäßigkeit möglichen Maßnahmen zur Eindämmung des Risikos ergriffen hat. Außerdem müssen die getroffenen Eindämmungsmaßnahmen auf ihre Wirksamkeit getestet und kontinuierlich überwacht werden, da auch bei der Umsetzung der Maßnahmen weitere Risiken entstehen oder entdeckt werden können, die dann ebenfalls berücksichtigt werden müssen.
Die objektive Ermittlung und Beurteilung des Risikos einer Verarbeitung personenbezogener Daten sind zur Feststellung und Gewährleistung eines wirksamen Schutzes von Rechte und Freiheiten natürlicher Personen erforderlich. Deshalb unterstützen unsere zertifizierten Branchenexperten Sie gerne bei der datenschutzrechtlichen Optimierung Ihres Unternehmens und begleiten Sie bei den einzelnen Prozessen und der Umsetzung. Hierzu können Sie ganz einfach einen kostenfreien Beratungstermin buchen.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.