Zusammenfassung:
Die Umsetzung von Datenschutz-Folgenabschätzungen (vgl.: DSFA) mit einem standardisierten Vorgehensmodell ist Inhalt dieses Dokuments. Dieses Modell nimmt Anleihen an dem Standard Datenschutz Modell (vgl.: SDM), der ISO 31000 Normenreihe (vgl.: Risk Management) und der ISO 27000 Normenreihe (vgl.: Information Security). Vorgesehen ist die Erfassung und Erstbewertung der Risiken durch den jeweiligen Verantwortlichen der Verarbeitung. Erfasst wird das Risiko durch zwei qualitative Parameter – Eintrittswahrscheinlichkeit und Auswirkung. Diese ergeben einen grundlegenden Risikowert der zu bewertenden Verarbeitung. Das Ergebnis ist Basis für (Abhilfe-)Maßnahmen und richten sich an der betroffenen Risikokategorie aus. In einem letzten Schritt gilt es die Wirkung der erfolgten Maßnahmen zu kontrollieren und zu dokumentieren.
Anlass:
Anlass für dieses Dokument ist die Verordnung der Datenschutzbehörde (vgl.: DSB) vom 9.11.2018. Es handelt sich dabei um eine Verordnung über Verarbeitungsvorgänge, für die eine DSFA erforderlich ist. Grundlage für den Erlass ist Artikel 35 Absatz 4 der Datenschutz Grundverordnung (vgl.: DSGVO) und bezieht sich auf eine Liste der Arten von Verarbeitungsvorgängen für die verpflichtend eine DSFA erforderlich ist. Referenziert wird im Allgemeinen auf diesen Erlass durch die Bezeichnung DSFA-V. Umgangssprachlich wird diese Verordnung auch als Blacklist bezeichnet. Das Gegenstück dazu ist die DSFA Ausnahme Verordnung, welche auch als Whitelist bezeichnet werden kann.
Risiko:
Risiken lassen sich im betrieblichen Umfeld in fünf Kategorien gliedern. Die Kategorien sind, Strategisches Risiko, Marktrisiko, Finanzrisiko, Rechtliches Risiko und Leistungsrisiko. Risiken aus dem Datenschutz können in allen Kategorien auftreten. Bei einer Betrachtung nur der DSGVO und des Datenschutzgesetzes (vgl.: DSG), dann aber vor allem im Bereich der rechtlichen Risiken. Alle anderen Risikokategorien sind nur indirekt betroffen, oder zumindest in Abhängigkeiten des rechtlichen Risikos. Vor allem ist hier der strategische Bereich anzusprechen, da rechtlich bindende Vorgaben zum Beispiel laufend den strategischen Entscheidungsraum beeinflussen können.
Ein Unternehmen kann Risiken auf verschiedenen Arten aktiv begegnen. (Anm.: Eine passive Begegnung wäre das Verleugnen des vorhandenen Risikos.) Aktive Arten – Vorgehensweisen – sind, Vermeiden, Vermindern, Begrenzen, Überbinden und Selbst Tragen.
Im rechtlichen Zusammenhang finden sich vor allem die Vorgehensweisen Vermindern (zB.: Optimierung von Vertragsinhalten, wie Definition Gefahrenübergang, Haftung udgl.) und Überbinden (zB.: Haftpflichtversicherung, ein Anderer trägt das Risiko gegen Entgeltzahlung).
Strategische Risikobehandlung durch Vermeiden würde einem Ausstieg aus dem Geschäftsfeld gleichkommen. Das ist aber meist durch den Geschäftszweck nicht möglich, denn das Risiko wohnt dem gewählten Geschäftszweck selbst inne. Strategische Verminderung durch Ausbau von Kompetenzen in dem Risikofeld – somit eine Steigerung des sorgsamen Umgangs mit personenbezogenen Daten (vgl.: pbD) – ist in diesem Rahmen die anstrebenswerte Vorgehensweise, um das strategische Risiko in den Griff zu bekommen. Die Umsetzung kann in der Form als technische/ organisatorische Maßnahme (vgl.: TOM – Art. 32 DSGVO) erfolgen. Eine weitere Art einem strategischen Risiko zu begegnen ist die, das Risiko selbst zu tragen. Das heisst aber auch, dass dieses Risiko, und seine möglichen Auswirkungen, durch entsprechende Reserven im Eigenkapital dargestellt werden sollte. Mit dem Eigenkapital soll Vorsorge getroffen werden, um im Anlassfall Strafen zahlen, den Übergang in einen geordneten Betrieb, Wiederherstellung der öffentlichen Wahrnehmung und vieles mehr, umsetzen zu können.
Risiken im Rahmen der Leistungserbringung stellen den größten Bereich dar, weil hier die meisten Schnittstellen zu pbD vorhanden sind. Jede Schnittstelle kann als eigenes Gefahrenpotential gesehen werden, da über sie kontrolliert, oder auch unkontrolliert pbD abfliessen können. Vermindern des Leistungsgrisikos lässt sich über ein Outsourcing, im Fall der DSGVO eine Auftragsverarbeitung (vgl.: AV), darstellen. Verminderung des Leistungsrisikos kann mit Schaffung von Redundanzen gefunden werden. Redundanzen erhöhen aber auch gleichzeitig die Gefahr von Datenschutzverletzung, weil sie genauso die Anzahl der Schnittstellen vervielfältigen. Eine weitere Verminderung kann durch Einschränkung des Zugriffes mittels eines durchgängigen Rollen- und Rechteschemas erfolgen. Ein Überbinden des Risiko in der Leistungserbringung kann zum Beispiel über eine Betriebsunterbrechungsversicherung erreicht werden.
Klassifizierung von Risiken:
Um Risiken zu bewerten und in weiterer Folge mit sich selbst und anderen zu vergleichen braucht es ein einheitliches Bewertungsschema. Dieses Schema sollte für jeden Verantwortlichen, der es anwendet, nachvollziehbar und verständlich sein. Im Rahmen der DSFA wird ein Schema aus fünf Stufen angewendet, das analog zu dem der Schulnoten ist.
Die fünf Stufen und eine Extrastufe sind, Vernachlässigbar (1), Eingeschränkt (2), Möglich (3), Signifikant (4), Maximal (5) und Extrastufe Unzutreffend (0). Je geringer die Eintrittswahrscheinlichkeit ist desto niedriger ist der Wert des Risikos. Der beste Wert ist somit Null, bezeichnet als Unzutreffend. Eine weitere Risikobetrachtung braucht dann nicht zu erfolgen, weil eine Grundbedingung nicht erfüllt wird. Mit steigendem Risiko steigt auch die Einstufung.
Die Klassifizierung von Risiken durch den Verantwortlichen erfolgt aus zwei Perspektiven. Das heisst jedes Risiko kann in einer fünf mal fünf Matrix dargestellt werden. Die Perspektiven sind die Eintrittswahrscheinlichkeit des Risikos und die Auswirkungen auf den Betroffenen. Die Anzahl der möglichen Betroffenen und die Auswirkungen daraus sind nicht Inhalt. Zusammenfassung und Aggregation von Risiken auf Prozess- und Unternehmensebene erfolgt in einem eigenen, weiteren, Schritt im Anschluss.
Bei einer Aggregation von Risiken zu einem Verfahren wird der Parameter Eintrittswahrscheinlichkeit mit UND Bedingungen mit dem Maximalwert unter allen betroffenen Eintrittswahrscheinlichkeiten zusammengefasst. Bei ODER Bedingungen wird das Produkt aller betroffenen Eintrittswahrscheinlichkeiten herangezogen. Das Produkt kann aber auch nur den Maximalwert von fünf annehmen. Alle Werte darüber werden verworfen und mit fünf ersetzt.
Bei Aggregation von Risiken zu einem Verfahren wird der Parameter Auswirkungen mit UND Bedingungen mit dem Maximalwert aller betroffenen Eintrittswahrscheinlichkeiten dargestellt. Bei ODER Bedingungen wird die Summe gebildet, die aber auch nicht über den Wert fünf steigen kann. Alle Werte darüber werden verworfen und mit fünf ersetzt.
Die unterschiedliche Behandlung der beiden Parameter bei ODER Bedingungen ist im Wesen der Parameter begründet.
Modus:
In einem ersten Schritt der Risikobewertung ist die dem Risiko zu Grunde liegende Verarbeitung zu beschreiben. Aus dieser sollte auch der Zweck der Verarbeitung eindeutig hervorgehen. In der Regel ist ein Verweis auf den entsprechenden Eintrag im Verfahrensverzeichnis (VVZ) ausreichend. Die Zuordnung eines erkannten Risikos muss die Eintrittswahrscheinlichkeit beinhalten, inklusive einer Begründung. Wie auch die möglichen Auswirkungen auf den Betroffenen inklusive einer Begründung. Daraus berechnet sich ein Risikowert in einer fünf mal fünf Risikomatrix.
Darauf folgend sind Abhilfemaßnahmen zur Behandlung des Risikos zu bestimmen. Diese beinhalten zumindest, die Kategorie der Risikominimierung, Begründung für die Auswahl der Risikobehandlung und eine Dokumentation der Maßnahmen.
Als Wirkungskontrolle erfolgt in einem nächsten Schritt die Risikobewertung erneut unter Berücksichtigung der getroffenen Maßnahmen. Diese enthält die Eintrittswahrscheinlichkeit, die Auswirkungen und den neuen Risikowert. Das Ergebnis ist, ob in weiterer Folge die Konsultation der DSB notwendig ist, oder nicht. (Anm.: Nur wenn die Risikobewertung nicht durch Maßnahmen gesenkt werden kann ist im Anlassfall eine Konsultation der DSB notwendig.)
Berechnung:
Risikoparameter werden miteinander multipliziert und das Produkt entspricht dem Risikowert. Der Risikowert kann einen Wert von null bis 25 annehmen (vgl.: Intervall). Eine Aggregation, um vor allem eine unternehmensweite Sicht zu erlagen, erfolgt in zwei Schritten. Zuerst werden alle Risiken einer Verarbeitung zusammengefasst. Diese Zusammenfassung unterscheidet in Risiken, die miteinander auftreten, oder alleine auftreten. Haben Risiken Abhängigkeiten untereinander, dann werden diese mit einer UND Bedingung verknüpft. Alle anderen Risiken werden mit einer ODER Bedingung verknüpft. Verknüpft werden nur die gleichen Parameter auf der selben Ebene. Eine Verknüpfung erfolgt in einem ersten Schritt auf horizontaler Ebene und eine Konsolidierung erfolgt dann schrittweise vertikal. Grundlage dazu ist die Ableitung eines Angriffbaumes. Das Ergebnis ist dann auch wieder eine fünf mal fünf Matrix, die eine logische Konsistenz zwischen bewerteten Einzelrisiken auf Systemebene und aggregierten Risiken auf Prozess- und Unternehmensebene gewährleistet.
Beispiel
Bei diesem Beispiel handelt es sich um die Problematik, wenn ein handelsübliche Diktaphone ohne Passwortschutz im medizinischen Bereich zum Einsatz kommt. Dieses Diktaphone kann verloren werden. Ein Verlust hat zur Folge, dass die Vertraulichkeit der pbD nicht mehr gewährleistet werden kann. Eine Gegenmaßnahme ist der Einsatz des Mobiltelefones, das über aktivierten Passwortschutz und Dateiverschlüsselung verfügt.
