Ziel dieses 18. Kurzpapieres der Datenschutzkonferenz ist es, das Risiko im Kontext der DS-GVO zu definieren und aufzuzeigen, wie Risiken für die Rechte und Freiheiten natürlicher Personen bestimmt und in Bezug auf ihre Rechtsfolgen bewertet werden können. Die Eindämmung von Risiken durch Ergreifen geeigneter technischer und organisatorischer Maßnahmen ist nicht Gegenstand des Papiers.
RECHTE UND FREIHEITEN NATÜRLICHER PERSONEN
„Rechte und Freiheiten natürlicher Personen“ ist ein zentraler Begriff in der DS-GVO. Ziel der DS-GVO ist es gem. Art. 1 Abs. 2 DS-GVO, die Grundrechte und Grundfreiheiten natürlicher Personen zu schützen. In besonderem Maße dienen auch die in Art. 5 DS-GVO normierten Grundsätze für die Verarbeitung personenbezogener Daten sowie die Vorschriften über die Betroffenenrechte (Art. 12 ff. DS-GVO) diesem Schutz.
RISIKO NACH DER DSGVO
Der Begriff des Risikos ist in der DS-GVO nicht ausdrücklich definiert. Aus den ErwGr. 75 und 94 Satz 2 DS-GVO kann folgende Definition hergeleitet werden:
Ein Risiko im Sinne der DS-GVO ist das Bestehen der Möglichkeit des Eintritts eines Ereignisses, das selbst einen Schaden (einschließlich unge-rechtfertigter Beeinträchtigung von Rechten und Freiheiten natürlicher Personen) darstellt oder zu einem weiteren Schaden für eine oder mehrere natürliche Personen führen kann. Es hat zwei Dimensionen: Erstens die Schwere des Schadens und zweitens die Wahrscheinlichkeit, dass das Ereignis und die Folgeschäden ein-treten.
RISIKEN UND RECHTSFOLGEN
Die DS-GVO verwendet die Unterscheidungen „Risi-ko“ und „hohes Risiko“ (z. B. ErwGr. 76). Daneben wird die Formulierung „voraussichtlich nicht zu ei-nem Risiko“ führend verwendet (Art. 27 Abs. 2 lit. a und Art. 33 Abs. 1 DS-GVO). Da es vollständig risiko-lose Verarbeitungen nicht geben kann, wird die Formulierung „nicht zu einem Risiko“ von ihrem Sinn und Zweck ausgehend als „nur zu einem gerin-gen Risiko“ führend verstanden. Ziel der Risikobeur-teilung ist es daher, die Risiken nach den Abstufun-gen „geringes Risiko“, „Risiko“ und „hohes Risiko“ zu bestimmen.
Das Risiko mit Blick auf Rechtsfolgen unter der DS-GVO ist relevant insbesondere bei:
- Verantwortung des für die Verarbeitung Ver-antwortlichen (Art. 24 Abs. 1 DS-GVO)
- Datenschutz durch Technikgestaltung (Art. 25 Abs. 1 DS-GVO)
- Sicherheit der Verarbeitung (Art. 32 DS-GVO)
- Umgang mit einer Verletzung des Schutzes personenbezogener Daten (Artt. 33, 34 DS-GVO)
- Datenschutz-Folgenabschätzung und vorherige Konsultation (Artt. 35, 36 DS-GVO)
RISIKOBEURTEILUNG
Zur Risikobeurteilung sind die im Folgenden be-schriebenen Phasen zu durchlaufen:
1. Risikoidentifikation
2. Abschätzung von Eintrittswahrscheinlichkeit und Schwere möglicher Schäden
3. Zuordnung zu Risikoabstufungen
Grundlage einer Risikobeurteilung muss eine konkrete Beschreibung des zugrunde gelegten Sachverhalts sein, für den das Risiko abgeschätzt werden soll.
RISIKOIDENTIFIKATION
Zur Identifikation von Datenschutzrisiken bietet es sich an, von folgenden Fragen auszugehen:
a. Welche Schäden können für die natürlichen Personen auf der Grundlage der zu verarbeitenden Daten bewirkt werden?
b. Wodurch, d. h. durch welche Ereignisse kann es zu dem Schaden kommen?
c. Durch welche Handlungen und Umstände kann es zum Eintritt dieser Ereignisse kommen?
ABSCHÄTZUNG VON EINTRITTSWAHRSCHEINLICHKEIT UND SCHÄDEN
Die Eintrittswahrscheinlichkeit eines Risikos beschreibt, mit welcher Wahrscheinlichkeit ein bestimmtes Ereignis (das selbst auch ein Schaden sein kann) eintritt und mit welcher weiteren Wahrscheinlichkeit es zu Folgeschäden kommen kann.
Handelt es sich zum Beispiel bei dem Schadensereignis um die ungewollte Offenlegung der sexuellen Orientierung einer Person, so ist die Wahrscheinlichkeit sowohl dieser Offenlegung, als auch der hieraus resultierenden weiteren Schäden einzuschätzen.
Die Wahrscheinlichkeiten der verschiedenen Wege, die zu einer solchen Offenlegung führen können, summieren sich hierbei. Im genannten Beispiel
Risiko für die Rechte und Freiheiten natürlicher Personen gehören unzureichende Vorkehrungen des Verantwortlichen, sorgloser Umgang von Beschäftigten unter seiner direkten Verantwortung mit der Information, technische Fehlfunktionen oder Ausspähung durch Dritte zu den zu betrachtenden Wegen. Die Schwere eines möglichen Schadens muss in jedem Einzelfall insbesondere unter Berücksichtigung von Art, Umfang, Umständen und Zwecken der Verarbeitung bestimmt werden (ErwGr. 76).
EINDÄMMUNG DES RISIKOS
Im Wege der Datenschutz-Folgeabschätzung oder – falls voraussichtlich kein hohes Risiko vorliegt – in einem vereinfachten Verfahren sind als nächster Schritt die Maßnahmen zur angemessenen Eindämmung der Risiken zu ermitteln.
Grundsätzlich ist das Risiko einer Verarbeitung mittels Abhilfemaßnahmen einzudämmen. Oft wird dies mit dem Stand der Technik entsprechenden technischen und organisatorischen Maßnahmen (TOMs) zu erreichen sein, die geeignet sind, die Rechte und Freiheiten der betroffenen natürlichen Personen angemessen zu gewährleisten, indem die Eintrittswahrscheinlichkeit und/oder die Schwere des möglichen Schadens eingedämmt werden. Dazu gehören auch Maßnahmen zur Eindämmung unerwünschter Ereignisse (z. B. Angriffe von Cyberkriminellen), wie die klassischen Security-Maßnahmen aus der Informationssicherheit, die jedoch im Hin-blick auf den Schutz der betroffenen Personen und nicht der Verantwortlichen zu bewerten sind.
RESTRISIKO
Das nach Umsetzung dieser Maßnahmen verblei-bende Risiko wird als Restrisiko bezeichnet. Wenn dieses Restrisiko als hoch einzustufen ist, besteht die Pflicht zur vorherigen Konsultation gemäß Art. 36 DS-GVO.
Der Verantwortliche muss genau prüfen (und gem. Art. 5 Abs. 2 DS-GVO als Nachweis für die Erfüllung der Anforderungen der DS-GVO dokumentiert haben), ob er alle ihm nach dem Grundsatz der Verhältnismäßigkeit möglichen Maßnahmen zur Eindämmung des Risikos ergriffen hat, bevor er mit einer Verarbeitung beginnt. Nach Umsetzung der Abhilfemaßnahmen müssen diese auf ihre Wirksamkeit getestet und kontinuierlich überwacht werden. Möglicherweise zeigt sich bei der Umsetzung der Maßnahmen, dass weitere Risiken bestehen, die ebenfalls zu behandeln sind.