Vorgaben aus dem Datenschutz (vgl.: DSG, DSGVO) sehen vor, dass alle Systeme zu dokumentieren sind. Im Rahmen der Dokumentation und in weiterer Folge der Aufnahme in ein Verfahrensverzeichnis sind auch die betroffenen, beinhalteten, Daten zu kategorisieren. Über die Kategorisierung lässt sich in der Regel der Schutzbedarf ableiten.
Umfang der Analyse, als Inhalt des Verfahrensverzeichnisses, sollte im ersten Schritt der Kernprozess des Unternehmens und seiner Systeme sein. In einem weiteren Schritt alle anderen Prozesse und Systeme. Weil nur eine vollständige Dokumentation aller Systeme gewährleisten kann, dass auf Grundlage aller Informationen eine korrekte Umsetzung aus den Anforderungen der DSGVO erfolgen kann. (vgl.: Vollständigkeit der Dokumentation)
Der Ablauf einer Prüfung und Aufnahme in den Verzeichniskatalog mittels einer Checkliste empfiehlt sich. (Stichworte: Standardisierung, Nachvollziehbarkeit)
In weiterer Folge ist der Schutzbedarf und die Schutzanforderung abzuleiten und festzulegen. Eine Methode ist die der deutschen Datenschutzbehörden anhand des Standard Datenschutz Modells. Diese Methode wurde von den Landesdatenschutzbehörden und der Bundesdatenschutzbehörde aus Deutschland veröffentlicht. Sie entspricht einem defacto Standard. Die Grundlage bilden sieben Gewährleistungsziele, die eine Errichtung, Betrieb und Kontrolle eines Datenschutzmanagement Systems erlauben. Das Vorgehensmodell ist an das des IT Grundschutzes des BSI stark angelehnt.
Schritt 1 – Festellung abstrakter Schutzbedarf
Ermittlung des Schutzbedarfs anhand von Schutzbedarfsklassen nach Datenart
Daten ohne Schutzbedarf (Schutzklasse 0)
Daten ohne Personenbezug einschließlich wirksam anonymisierter Daten sowie Daten, die vom Betroffenen wirksam freigegeben, also zu uneingeschränkten Erhebung, Verarbeitung oder Nutzung veröffentlicht werden.
Beispiele:
- Synthetische erzeugte (Test-)Daten („Max Mustermann“)
- Wetterdaten
- Wirksam anonymisierte Daten (vgl.: Differential Pricacy)
- Wirksam freigegebene Daten (vgl.: Telefonbuch)
Datenarten mit normalem Schutzbedarf (Schutzbedarfsklasse 1)
Personenbezogene Daten (Merkmale mit denen eine Person eindeutig identfiziert und klassifiziert werden kann)
Beispiele:
- Name, Anschrift (ohne Kontext) – soweit nicht höherer Schutzbedarf gegeben ist.
- Staatsangehörigkeit (ohne Kontext), soweit nicht höherer Schutzbedarf gegeben ist.
- Telefonnummer einer natürlichen Person, soweit nicht höherer Schutzbedarf gegeben ist.
Datenarten mit hohem Schutzbedarf (Schutzbedarfsklasse 2)
Datenarten, die eine spezifische Aussagekraft hinsichtlich der Persönlichkeit und/ oder der Lebensumstände des Betroffenen haben. Die unbefugte Erhebung, Verarbeitung oder Nutzung solcher Daten kann einen rechtswidrigen Eingriff in das Recht auf informationelle Selbstbestimmung darstellen.
Beispiele:
- Name, Anschrift eines Vertragspartners – soweit nicht höherer Schutzbedarf gegeben ist.
- Geburtsdatum
- Kontext zu einem Vertragspartner (zB: Gegenstand einer vereinbarten Leistung)
- Religionszugehörigkeit
- Einfache Bewertung von eher geringer Bedeutung (zB: Ja/ Nein Entscheidung bei Einstufung udgl.)
- Zugangsdaten zu einem Dienst – soweit nicht höherer Schutzbedarf gegeben ist.
- Kommunikationsinhalte einer Person (zB: Inhalt von Mail, Brief, Telefonat) soweit nicht höherer Schutzbedarf gegeben ist & Beachtung von TKG udgl.
- (genauer) Aufenthaltsort einer Person – soweit nicht höherer Schutzbedarf gegeben ist.
- Finanzdaten einer Person (zB: Kontostand, Kreditkartennummer, einzelne Zahlung)
- Verkehrsdaten der (Tele-)Kommunikation
Der Inhalt von Kommunikation und die Einstufung des Schutzbedarfes der selben obliegt dem Sender. Der Schutzbedarf kann von niedrig bis sehr hoch sein. Der Umstand, dass eine einzelne Äußerung vom Äußernden als besonders schutzbedürftig eingestuft wird oder objektiv (aus Sicht eines Dritten) besonders schutzbedürftig ist, sollte aber nicht dazu führen, dass jeder Kommunikationsinhalt als besonders schutzbedürftig gilt. Deshalb der Cloud-Nutzer, soweit nicht konkrete Informationen über den Schutzbedarf vorliegen (Beispiel: Ein Konferenzservice zwischen Rechtsanwalt und Mandant -> Schutzklasse 3), von Schutzbedarfsklasse 2 ausgehen können.
Daten mit besonders hohem Schutzbedarf (Schutzbedarfsklasse 3)
Datenarten, die eine erhebliche Aussagekraft hinsichtlich der Persönlichkeit und/ oder der Lebensumstände des Betroffenen haben. Die unbefugte Erhebung, Verarbeitung oder Nutzung solcher Daten kann einen schwerwiegenden rechtswidrigen Eingriff in das Recht auf auf informationelle Selbstbestimmung darstellen.
Als Datenarten in diesem Sinn werden auch Datenmehrheiten, insbesondere verkettete Daten (zB: Clustering, Profiling von Personen und Personengruppen), angesehen, aus denen sich ein neuer Informationsgehalt ergibt.
Beispiele:
- Daten, die einem Berufsgeheimnis unterliegen (zB: Kundendaten)
- Daten über Vorstrafen und Strafprozess relevante Daten (zB: Ermittlungsverfahren) einer Person
- Persönlichkeitsprofile, wie Bewegungsprofil, Kaufverhalten, mit erheblicher Aussagekraft hinsichtlich der Persönlichkeit des Betroffenen.
Datenarten mit extrem hohem Schutzbedarf (Schutzbedarfsklasse 3+)
Datenarten, die eine erhebliche Aussagekraft hinsichtlich der Persönlichkeit und/oder der Lebensumstände des Betroffenen haben. Die unbefugte Erhebung, Verarbeitung oder Nutzung dieser Daten kann zu einer für einer wesentlichen Beeinträchtigung von Leben, Gesundheit oder Freiheit des Betroffenen führen
Beispiele:
- Relevant im Bereich der öffentlichen Sicherheit.
Schritt 2 – Höherstufung
Der Schutzbedarf einer Datenverarbeitung kann sich aufgrund verschiedener Umstände erhöhen, soweit hierdurch die Gefahr einer stärkeren Beeinträchtigung der Persönlichkeitsrechte des Betroffenen eintritt. Der somit erhöhte Schutzbedarf kann, je nach Umfang des erreichten Schutzbedarfs, zur Einstufung in eine höhere Schutzbedarfsklasse führen. Umstände, die zur Höherstufung führen können, sind insbesondere:
- Verwendungskontext von Daten
- Verkettbarkeit von Daten
- Menge an Daten
Verwendungskontext von Daten: Der Verwendungskontext von Daten kann zu höherem Schutzbedarf führen, soweit damit eine (erheblich) erhöhte Aussagekraft der Daten hinsichtlich der Persönlichkeit des Betroffenen einhergeht.
Beispiel: Die Verwendung des Namens in einem (allgemeinen) Telefonbuch begründet regelmäßig keine gesteigerte Aussagekraft, die Verwendung in der Kundenliste durchaus, unter Umständen sogar erheblich.
Beispiele für schutzbedarfserhöhende Verwendungskontexte sind:
Datenart: Name, Anschrift
Verwendungskontext: Täterlichtbild („Ladendieb“), Beschäftigtenscreening, Personalakte
Verkettbarkeit von Daten: Die Verkettbarkeit von Daten, d. h. die Möglichkeit, Daten mit anderen Daten zu verknüpfen und dadurch neue Aussagen zu gewinnen, kann zu höherem Schutzbedarf führen, soweit mit der Verkettung eine (erheblich) erhöhte Aussagekraft der Daten hinsichtlich der Persönlichkeit des Betroffenen einhergeht. Dies gilt auch dann, wenn ein Datum mit anderen Daten derselben oder einer niedrigeren Schutzbedarfsklasse verknüpft wird.
Beispiel: Die Verknüpfung von Daten über den Kauf von Produkten (Schutzbedarfsklasse 2) und ggf. weiterer Daten derselben oder anderer Art, etwa Aufenthaltsort (Schutzbedarfsklasse 2), kann je nach Anzahl der Daten zu einem genauen Persönlichkeitsprofil führen. Ein solches Persönlichkeitsprofil kann in Schutzbedarfsklasse 3 einzustufen sein.
Ein Beispiel für die schutzbedarfserhöhende Verkettbarkeit von Daten sind: Aufenthaltsortdaten, die konkret zu einem Bewegungsprofil zusammengeführt werden können (die Zusammenführung ist in der konkreten Situation möglich und naheliegend).
Menge von Daten: Schon aufgrund der schieren Menge an Daten kann ein gesteigertes Interesse an unbefugter Verarbeitung und Nutzung der Daten bestehen, so dass eine höhere Gefahr der unbefugten Verarbeitung und Nutzung auch in Bezug auf jedes einzelne Datum besteht.
Beispiel: Die Speicherung einer großen Menge an Kreditkartendaten an einer Stelle kann diese Daten zu einem lohnenden Angriffsziel für Kriminelle machen, so dass die Wahrscheinlichkeit eines Angriffs steigt. Damit steigt die Gefährdung für alle dort gespeicherten Kreditkartendaten.
Ein Beispiel für die schutzbedarfserhöhende Zusammenfassung von Daten ist: Sammlung großer Mengen an Finanzdaten, wie Bank- und Kreditkartendaten
Schritt 3 – Herabstufung
Der Schutzbedarf einer Datenverarbeitung kann sich verringern, soweit aufgrund der Umstände des konkreten Falles oder bestimmter Maßnahmen die Gefahr einer unbefugten Verarbeitung oder der Aussagewert der Daten vermindert werden.
Beispiel: Bei (wirksamer) Pseudonymisierung der Daten wird der Aussagewert für jeden, der die Zuordnungsregel nicht kennt, wesentlich herabgesetzt. Umstände, die zur Herabstufung führen können, sind insbesondere:
- veränderter Informationsgehalt und Verwendungskontext
- Verschlüsselung von Daten
- Pseudonymisierung von Daten
- Freigabe von Daten
Verschlüsselung und Pseudonymisierung von Daten sind zugleich Maßnahmen, die auch zur Sicherheit von personenbezogener Daten eingesetzt werden – Datenschutz und Datensicherheit. Sowohl Verschlüsselung als auch Pseudonymisierung haben damit eine doppelte Bedeutung: Sie beeinflussen den Schutzbedarf von Daten. Somit haben Daten einen geringeren Schutzbedarf, wenn sie vom Auftraggeber verschlüsselt zur Verfügung gestellt werden. Unabhängig davon gehört die Verschlüsselung zu den Maßnahmen, die vom Auftragsdatenverarbeiter zum Schutz der Daten gegen Zugriff Unbefugter eingesetzt werden können.
Informationsgehalt und Verwendungskontext
Daten können aufgrund ihres Informationsgehaltes und ihres Verwendungskontextes eine geringere Aussagekraft hinsichtlich der Persönlichkeit des Betroffenen und seiner Verhältnisse haben, als sie der abstrakten Einstufung der Datenart nach entspricht.
Verschlüsselung von Daten
Verschlüsselung von Daten ist das Verändern personenbezogener Daten derart, dass ohne Entschlüsselung die Kenntnisnahme des Inhalts der Daten nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist.
Freigabe von Daten
Schutzbedürftige Daten können vom Betroffenen zur Erhebung, Verarbeitung und Nutzung freigegeben werden. In diesem Fall hat der Betroffene den Schutzbedarf herabgesetzt. Die Daten können sogar frei verfügbar werden und den Schutzbedarf auf Schutzbedarfsklasse 0 herabsetzen.
Beispiel: Veröffentlichung in einem frei zugänglichen Verzeichnis, wie Telefonbuch
Schutzanforderungsklassen
Die Schutzanforderungsklassen beschreiben die Anforderungen, die für Datenverarbeitungsvorgänge der korrespondierenden Schutzbedarfsklasse zu erfüllen sind. Eine Schutzanforderungsklasse 0 ist nicht zu beschreiben, da insoweit keine datenschutz-rechtlichen Anforderungen bestehen. Auf die Beschreibung einer Schutzanforderungsklasse 3+ wird verzichtet, da sich die Anforderungen, die meist sehr einzelfallbezogen sind und idR nicht in den Verfügungsbereich fallen (Stichwort öffentliche Sicherheit)
Schutzanforderungsklasse 1
Der Auftragsdatenverarbeiter muss durch risikoangemessene technische und organisatorische Maßnahmen gewährleisten, dass die Daten nicht unbefugt verarbeitet oder genutzt werden.
Die Maßnahmen müssen geeignet sein, um im Regelfall solche Vorgänge aufgrund technischer oder organisatorischer Fehler einschließlich Bedienfehlern, oder fahrlässiger Handlungen Dritter auszuschließen. Gegen vorsätzliche Eingriffe ist ein Mindestschutz vorzusehen, der diese erschwert.
Schutzanforderungsklasse 2
Der Auftragsdatenverarbeiter muss durch risikoangemessene technische und organisatorische Maßnahmen gewährleisten, dass die Daten nicht unbefugt verarbeitet oder genutzt werden.
Die Maßnahmen müssen geeignet sein, um im Regelfall solche Vorgänge aufgrund technischer oder organisatorischer Fehler einschließlich Bedienfehlern, oder fahrlässiger Handlungen durch den Auftragsdatenverarbeiter und seine Mitarbeiter oder Dritte (andere Nutzer, sonstige Dritte) auszuschließen. Gegen vorsätzliche Eingriffe ist ein Schutz vorzusehen, der zu erwartende Eingriffe hinreichend sicher ausschließt. Dazu gehören insbesondere ein hinreichender Schutz gegen bekannte Angriffsszenarien sowie Maßnahmen, durch die Eingriffe im Regelfall (nachträglich) festgestellt werden können.
Schutzanforderungsklasse 3
Der Auftragsdatenverarbeiter muss durch risikoangemessene technische und organisatorische Maßnahmen nach dem Stand der Technik gewährleisten, dass die Daten nicht unbefugt verarbeitet oder genutzt werden.
Die Maßnahmen müssen nach dem Stand der Technik geeignet sein, um solche Vorgänge aufgrund technischer oder organisatorischer Fehler einschließlich Bedienfehlern, oder fahrlässiger oder vorsätzlicher Handlungen durch den Auftragsdatenverarbeiter und seine Mitarbeiter oder Dritte (andere Nutzer, sonstige Dritte) hinreichend sicher auszuschließen. Dazu gehören insbesondere ein hinreichender Schutz gegen bekannte Angriffsszenarien sowie Verfahren zur Erkennung von Missbräuchen.