DSGVO: Wann besteht ein hohes Risiko für den Datenschutz?

Risikobewertung von zentraler Bedeutung im Datenschutz

Der notwendige Schutz für personenbezogene Daten nach DSGVO/GDPR ist eng verknüpft mit dem zu erwartenden Risiko für die Rechte und Freiheiten der betroffenen Person. Ist also ein hohes Risiko wahrscheinlich, müssen andere oder zusätzliche Maßnahmen für den Datenschutz ergriffen werden, als wenn nur ein geringes oder normales Risiko zu erwarten ist. Unternehmen müssen deshalb bei der Erstellung und Pflege ihres Datenschutzkonzeptes immer auch die Risiken für die personenbezogenen Daten einstufen.

Ein wichtiges Instrument ist die Datenschutz-Folgenabschätzung (DSFA, Artikel 35 DSGVO). Die Bedeutung der DSFA wird so erklärt:

• Damit die DSGVO in Fällen, in denen die Verarbeitungsvorgänge wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen, besser eingehalten wird, sollte der Verantwortliche für die Durchführung einer Datenschutz-Folgenabschätzung, mit der insbesondere die Ursache, Art, Besonderheit und Schwere dieses Risikos evaluiert werden, verantwortlich sein.
• Die Ergebnisse der Abschätzung sollten berücksichtigt werden, wenn darüber entschieden wird, welche geeigneten Maßnahmen ergriffen werden müssen, um nachzuweisen, dass die Verarbeitung der personenbezogenen Daten mit der DSGVO in Einklang steht.
• Geht aus einer Datenschutz-Folgenabschätzung hervor, dass Verarbeitungsvorgänge ein hohes Risiko bergen, das der Verantwortliche nicht durch geeignete Maßnahmen in Bezug auf verfügbare Technik und Implementierungskosten eindämmen kann, so sollte die Aufsichtsbehörde vor der Verarbeitung konsultiert werden.

Die Höhe der Risiken muss bestimmt werden

Neben der Datenschutz-Folgenabschätzung (Artikel 35 DSGVO) und der vorherigen Konsultation der Aufsichtsbehörde (Artikel 36 DSGVO) gibt es eine weitere Datenschutzmaßnahme, die bei einem hohen Risiko zu ergreifen ist: Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung, so will es Artikel 34 DSGVO (Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person).

Doch woher weiß man, ob Verarbeitungsvorgänge ein hohes Risiko bergen, wie es die Verordnung nennt? Die Erwägungsgründe zur Datenschutz-Grundverordnung besagen hierzu:

„Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Person sollten in Bezug auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung bestimmt werden. Das Risiko sollte anhand einer objektiven Bewertung beurteilt werden, bei der festgestellt wird, ob die Datenverarbeitung ein Risiko oder ein hohes Risiko birgt.“

Diese Erläuterung enthält aber keine Beschreibung von Methoden und Verfahren einer Risikoanalyse im Datenschutz. Die DSGVO sieht jedoch vor, dass der Europäische Datenschutzausschuss (European Data Protection Board, EDPB) „Leitlinien, Empfehlungen und bewährte Verfahren zu den Umständen bereitstellt, unter denen eine Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat“.

Unternehmen erhalten somit von den Aufsichtsbehörden für den Datenschutz Hinweise, wie sie ein hohes Risiko für den Datenschutz erkennen können, um dann Maßnahmen wie eine Datenschutz-Folgenabschätzung vorzusehen oder im Fall einer Datenschutzverletzung auch die Betroffenen zu informieren, zusätzlich zur zuständigen Aufsichtsbehörde.

Deutsche Aufsichtsbehörden nennen Kriterien

Die Datenschutzkonferenz, bestehend aus den Datenschutzbehörden des Bundes und der Länder, hat eine Kriterienliste veröffentlicht, die bei der Risikobewertung zu beachten ist. Dabei orientiert sich diese Liste an dem Arbeitspapier 248 Rev. 1 – Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 „wahrscheinlich ein hohes Risiko mit sich bringt“ –, das von der früheren Artikel 29 Datenschutzgruppe, der Vorläuferorganisation des EDPB, veröffentlicht wurde.

Unternehmen sollten also bei der Prüfung, ob ein hohes Datenschutzrisiko vorliegt, unter anderem betrachten,

• ob es sich um vertrauliche oder höchst persönliche Daten handelt,
• ob es Daten zu schutzbedürftigen Betroffenen (zum Beispiel Kinder) sind,
• ob eine Datenverarbeitung in großem Umfang stattfindet oder stattfinden soll,
• ob eine systematische Überwachung von Personen geplant ist,
• ob eine innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen geplant ist,
• ob es um Bewerten oder Einstufen (Scoring) von Personen oder ihrer Verhältnisse geht,
• ob ein Abgleichen oder Zusammenführen von Datensätzen vorliegt,
• ob es um eine Automatisierte Entscheidungsfindung geht, mit Rechtswirkung oder ähnlich bedeutsamer Wirkung,
• ob Betroffene an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung beziehungsweise Durchführung eines Vertrags gehindert werden.

In solchen Fällen kann die Verarbeitung der personenbezogenen Daten zu einem hohen Risiko für die Betroffenen führen, die zuvor genannten Datenschutzmaßnahmen wie die Datenschutz-Folgenabschätzung stehen dann an. Setzt ein Unternehmen diese nicht um, muss dies gut begründet und dokumentiert sein, insbesondere muss klar werden, warum das Risiko anders (also als nicht hoch) eingeschätzt wird.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!