Neueste Beiträge
- „Wir bringen PDFs zum Leben“ – Gespräch mit Matthias Neumayer, Geschäftsführer FragDasPDF / heyqq GmbH
- Entscheidung: Datenübermittlung in die USA verstößt nicht gegen den Datenschutz!
- Große Bedeutung für die Werbebranche – Interview
- Härting Rechtsanwälte erklären „TADPF in a nutshell (& to do’s)“
- Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework in Kraft getreten!
Archive
- Juni 2024
- März 2024
- Juli 2023
- April 2023
- März 2023
- Februar 2023
- Dezember 2022
- November 2022
- September 2022
- August 2022
- Juli 2022
- Juni 2022
- Mai 2022
- März 2022
- Januar 2022
- Dezember 2021
- November 2021
- Oktober 2021
- September 2021
- August 2021
- Juli 2021
- Juni 2021
- Mai 2021
- April 2021
- März 2021
- Februar 2021
- Januar 2021
- Dezember 2020
- November 2020
- Oktober 2020
- September 2020
- August 2020
- Juli 2020
- Juni 2020
- Mai 2020
- April 2020
- März 2020
- Februar 2020
- Januar 2020
- Dezember 2019
- November 2019
- Oktober 2019
- September 2019
- August 2019
- Juli 2019
- Juni 2019
- Mai 2019
- April 2019
- März 2019
- Februar 2019
- Januar 2019
- Dezember 2018
- November 2018
- Oktober 2018
- September 2018
- August 2018
- Juli 2018
- Juni 2018
- Mai 2018
- April 2018
- März 2018
- Februar 2018
- Januar 2018
- Dezember 2017
- November 2017
- Oktober 2017
- September 2017
- August 2017
- Juli 2017
- Juni 2017
- Mai 2017
- April 2017
- März 2017
- Februar 2017
- Januar 2017
- Dezember 2016
- November 2016
- Oktober 2016
- September 2016
- August 2016
- Juli 2016
- Juni 2016
- Mai 2016
- April 2016
- März 2016
- Februar 2016
- Januar 2016
- Dezember 2015
- November 2015
- Oktober 2015
- September 2015
- August 2015
- Juli 2015
- Juni 2015
- Mai 2015
- April 2015
- März 2015
- Februar 2015
- Januar 2015
- Dezember 2014
- November 2014
Eine wesentliche Neuerung der Datenschutz-Grundverordnung (DS-GVO) ist das Instrument der sog. Datenschutz-Folgenabschätzung (DSFA). Die DSFA ist ein wichtiger Bestandteil des neu eingeführten Konzepts des „risikoorientierten Ansatzes“ im Datenschutz, der sich durch die DS-GVO wie ein roter Faden zieht. Eine DSFA soll gerade bei Verarbeitungen von personenbezogenen Daten, bei denen ein hohes Risiko für die von der Verarbeitung betroffenen Personen besteht, bewirken, dass gezielt Maßnahmen gefunden werden können, die dieses Risiko eindämmen.
Somit dient der risikoorientierte Ansatz der DS-GVO letztendlich zur Auswahl der „richtigen“ (d. h. wirksamen und geeigneten) technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten. Dies bedeutet im Alltag für Verantwortliche, dass durch eine Auswahl passender Maßnahmen das Risiko der Rechte und Freiheiten für die einzelnen betroffenen Personen (z. B. Kunden, Nutzer, Beschäftigte) entscheidend reduziert bzw. eingedämmt werden kann. Die Notwendigkeit einer technischen oder organisatorischen Maßnahme hängt also somit vom „Risiko-Level“ ab, d. h. von der Höhe eines möglichen Schadens für die jeweilige Person, wenn es zu einem Eintritt des Risikos bei der Verarbeitung personenbezogener Daten kommt.
WAS GIBT ES FÜR RISIKOSTUFEN?
BESONDERHEITEN BEI KLEINEN UND MITTLEREN UNTERNEHMEN
Die DS-GVO legt ein besonderes Augenmerk auf kleine und mittlere Unternehmen. Dies wird auch durch den risikoorientierten Ansatz deutlich, der im Prinzip nichts anderes ausdrückt, als dass die technischen und organisatorischen Maßnahmen passend zum Verantwortlichen und dessen Verarbeitungen auszuwählen sind. Dabei wird die Art der unterschiedlichen Organisationen (z. B. Großkonzern, datengetriebene Unternehmen, Sportverein, Selbstständiger) besonders derart berücksichtigt, dass es eben keinen pauschalen verpflichtenden Maßnahmenkatalog gleichermaßen für alle gibt (z. B. wird der IT-Grundschutz kaum vom kleinen Angelverein umgesetzt werden müssen), es stattdessen aber (branchentypische) Methoden und Kataloge geben kann (z. B. Standardschutzmaßnahmen für niedergelassene Hausarztpraxen). Dadurch ist es letztendlich möglich, dass jeder Verantwortlicher mit diesen (auch finanziell) verhältnismäßigen Aufwand ein akzeptables Datenschutzniveau erreichen kann.
WANN MUSS EINE DSFA DURCHGEFÜHRT WERDEN?
- Es wären grundsätzlich zwar technische und organisatorische Maßnahmen zur Risikoeindämmung denkbar, diese werden aber vom Verantwortlichen als zu teuer betrachtet und nicht umgesetzt. Daraus ergibt sich ein hohen (Rest-)Risiko mit der Verpflichtung einer DSFA durchzuführen.
- Die Form der Verarbeitung ist derart, dass technische und organisatorische Maßnahmen gar nicht so einsetzbar sind, dass von einer ausreichenden Risikoeindämmung ausgegangen werden kann bzw. der verlässliche Nachweis dazu auch nicht zu erbringen ist. In diesem Fällen findet Art. 35 DS-GVO direkt Anwendung mit der Folge der Durchführungspflicht einer DSFA.
SCHWELLWERTANALYSE ZUR DSFA MIT BEISPIEL
Um zu klären, ob ein mögliches, hohes Risiko vorliegt, das eine DSFA nach sich zieht, ist das Verhältnis zu anderen technischen Anforderungen der DS-GVO zu betrachten. Dazu nachfolgend ein (gewissermaßen überspitztes) Beispiel:
Ein Hausarzt zieht mit seiner Praxis in ein neu gebautes Haus. Das Gebäude hat allerdings noch keine „richtige“ Haustüre, da diese noch nicht lieferbar war und erst in zwei Wochen eingebaut werden kann. Nach dem Umzug sind zudem die Patientenakten in Papier nicht geschützt, da auch die Aufbewahrungsschränke noch nicht geliefert wurden. Diese Umstände haben zur Folge, dass die Patientenakten in einem frei zugänglichen Raum liegen. Als Schutzmaßnahme bringt der Arzt ein Pappschild am Eingang an, dass der Zutritt zu dem Haus strengstens verboten ist.
Im Sinne einer Risikobeurteilung nach DS-GVO wird in diesem Fall von einem hohen Risiko auszugehen sein, da die Eintrittswahrscheinlichkeit eines Diebstahls der Patientenakten maximal und der Schaden ebenfalls erheblich (ggf. gravierend) ist. Nach der DS-GVO gibt es nun zwei Möglichkeiten:
- Anwendung von Art.25 (Privacy by Design) und Art. 32 (Sicherheit der Verarbeitung) Das Risiko wird plausibel „mit einem scharfem Daumen“ abgeschätzt. Dazu werden mögliche Schadensszenarien verwendet, die von (im Datenschutz geübten) Personen durch Analyse der Verarbeitungssituationen als plausibel erachtet werden. Dieser Ansatz ist ähnlich zu dem Vorgehen nach § 9 BDSG (technische und organisatorische Maßnahmen). Nach Anwendung der Maßnahmen wird wieder plausibel abgeschätzt, ob ein nennenswertes Restrisiko vorhanden ist. Der Vorteil dieses Ansatzes ist, dass dieser sehr gut skaliert, d. h. für z. B. einen Hausarzt einfachere, weniger und günstigere Maßnahmen ausreichend sind als für einen Versicherungskonzern.
- Es wird eine Datenschutzfolgenabschätzung durchgeführt. Dazu ist meist ein Team aus Spezialisten (Informatiker, Juristen, Fachleute von Fachbereichen,…) notwendig, die eine sehr ausführliche und systematische Risiko-Beurteilung abgeben. Ein besonderes Augenmerk ist dabei auf mögliche Risiko-Quellen („Ursache“) zu legen. Das methodische Knowhow sowie der Zeit- und Kostenfaktor ist dabei nicht zu unterschätzen.
Beim oben aufgeführten Beispiel des Hausarztes würde dies bedeuten:
- Durch Anwendung des risikoorientierten Ansatzes nach Art. 25 und Art. 32 DS-GVO ergibt sich, dass eine stabile, abschließbare und einbruchshemmende Haustüre sowie sichere Aufbewahrungsschränke (und natürlich viele weitere Anforderungen wie z.B. Rollen-/Rechtekonzepte in der Arztsoftware, Schutz der Arbeitsplatzrechner, Diskretionsbereiche oder das richtige Löschen von alten Daten) notwendig sind.
- Die Durchführung einer DSFA würde das gleiche Ergebnis ergeben.
Bei der Fragestellung, ob eine DSFA durchzuführen ist (also ein hohes Risiko vorhanden sein könnte), muss zuerst (evtl. in mehreren Iterationen) der risikoorientierte Ansatz nach Art. 25/ Art. 32 DS-GVO umgesetzt werden. Standardmaßnahmen sind daher zwangsläufig durchzuführen. Nach Anwendung dieses Ansatzes wird das Restrisiko ermittelt, das die Grundlage für eine DSFA nach DS-GVO bildet.
WO FINDET MAN DIE BLACKLIST (MUSS-LISTEN) ZUR DSFA-ENTSCHEIDUNG?
Gemäß Art. 35 Abs. 4 DSGVO veröffentlichen die Aufsichtsbehörden Listen mit Verarbeitungstätigkeiten, bei denen verpflichtend eine DSFA durchzuführen ist. Das BayLDA hat bislang von einer Veröffentlichung einer rein bayerischen Liste abgesehen, sondern die Abstimmung der deutschen Aufsichtsbehörden (im Rahmen der Datenschutzkonferenz) aktiv begleitet.
Die Blacklist kann hier eingesehen werden!
Die Systematik der Blacklist wurde an das Abstraktionsniveau der Muss-Beispiele nach Art. 35. Abs. 3 DS-GVO angelehnt. Durch dieses mittlere Abstraktionsniveau kann – so die Idee – eine branchenunabhängigere und aktuellere Muss-Liste den Verantwortlichen zur Verfügung gestellt werden. Zu beachten ist: Sollte eine Verarbeitungstätigkeit nicht auf dieser Liste enthalten sein, so ergibt sich daraus nicht zwingend eine Nicht-Ausführung einer DSFA. Gerade bei dem Einsatz von innovativen Technologien ist daher eine individuelle Risikobeurteilung durchzuführen.
GIBT ES AUCH EINE WHITELIST (BRAUCH-NICHT-LISTE)?
Gemäß Artikel 35 Abs. 5 DS-GVO können von den Aufsichtsbehörden Listen veröffentlicht werden, die Verarbeitungsvorgänge ohne Verpflichtung einer DSFA enthalten. Die deutschen Aufsichtsbehörden haben sich momentan gegen eine solche Liste ausgesprochen. Das BayLDA wird das europäische Abstimmungsverfahren beobachten und ggf. im Herbst 2018 eigene Nicht-Muss-Listen (die nicht im Widerspruch zur europäischen Auslegung der DS-GVO stehen dürfen) veröffentlichen.
WIE KANN EINE DSFA DURCHGEFÜHRT WERDEN?
Darauf aufbauend sieht das BayLDA momentan folgende Methoden, sofern richtig angewendet, für eine DSFA als geeignet an:
- ISO 29134 mit Risikobetrachtung entsprechend der Grundsätze nach Art. 5 Abs. 1 DSGVO sowie Betroffenenrechte
- Standarddatenschutzmodell (SDM) (Version 1.1) mit Risikomodellierung nach DS-GVO (siehe DSK-Kurzpapier Nr.18) sowie geeigneter IT-Sicherheitsbetrachtung
Eine Anwendungshilfe zur Umsetzung einer DSFA nach Datenschutzgrundverordnung ist momentan von Seiten des BayLDA in Vorbereitung.
GIBT ES BEISPIELE ZUR UMSETZUNG EINER DSFA?
Die deutschen Aufsichtsbehörden haben im Rahmen eines Planspiels im Sommer 2017 sowohl das SDM als auch eine Interpretation der ISO 29134 für ein fiktives Szenario angewendet. Die Arbeitsergebnisse dieses Workshops finden sich hier zum Download:
ISO 29134
Standard-Datenschutzmodell
Anmerkung: Gerade der Umfang der Beschreibung der Systemzusammenhänge als auch die Modellierung der Datenflüsse waren bei dem ISO29134-Szenario (aus Zeitgründen und weil die Methode im Vordergrund stand) sehr knapp gehalten. Bei einer Anwendung der ISO 29134 würde das BayLDA im Allgemeinen deutlich umfangreichere Systembeschreibungen erwarten.
Ähnliche Artikel
Richtige E-Mail...
Im vergangenen Monat überprüfte das Bayerische Landesamt für Datenschutzaufsicht...
- By Martin Henfling
- Datenschutz
Datenschutzerklärung für...
Der Anteil von Nutzern, die heutzutage lieber mit dem Smartphone oder Tablet im Internet...
- By Ingo Kaiser
- Datenschutz
Datenschutz und WhatsApp? Wo...
Der Smartphone-Messenger Anbieter WhatsApp steht immer wieder in der Kritik, es mit dem...
- By Ingo Kaiser
- Datenschutz