Die EU-Datenschutz-Grundverordnung (DSGVO) enthält einen breiten Pflichtenkatalog für den Verantwortlichen, den dieser erfüllen muss, um datenschutzkonform zu handeln. Ein Kriterium, das der Verantwortliche bei der Erfüllung dieser Pflichten berücksichtigen muss, ist das Risiko für die Rechte und Freiheiten der Betroffenen. Dieser Beitrag beschäftigt sich näher mit dem risikobasierten Ansatz in der DSGVO und mit den Anforderungen an den Verantwortlichen.
Der Inhalt im Überblick
Definition des Risikobegriffs
Im allgemeinen Sprachgebrauch wird der Begriff „Risiko“ als Ereignis mit möglicher negativer Auswirkung beschrieben. Die DSGVO hingegen schweigt zum Risikobegriff im datenschutzrechtlichen Kontext, es findet sich dort keine Definition.
Allerdings enthalten die Erwägungsgründe einige Beispiele für Datenschutzrisiken. Mögliche Datenschutzrisiken, die aus einer Datenverarbeitung resultieren und zu einem physischen, materiellen oder immateriellen Schaden führen können sind gem. Erwägungsgrund 75 beispielsweise: Diskriminierung, Identitätsdiebstahl oder finanzieller Verlust. Als Beispiele für Verarbeitung mit hohem Risiko werden in Erwägungsgrund 89 u.a. Verarbeitungen unter Einsatz neuer Technologien und neuartige Verarbeitungen ohne bisherige Durchführung einer Datenschutzfolgeabschätzung genannt.
Risikobasierter Ansatz
Der Risikobegriff taucht, trotz fehlender Definition, an zahlreichen Stellen in der DSGVO auf. So soll etwa bei der Auswahl der technischen und organisatorischen Maßnahmen die Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen berücksichtigt werden, Art. 32 DSGVO. Außerdem ist bei der Frage ob der Verantwortliche bei einer Datenschutzverletzung eine Meldung an die Aufsichtsbehörde abgeben muss entscheidend, ob die Verletzung zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, Art. 33 DSGVO.
Die DSGVO ordnet außerdem die Durchführung von bestimmten, besonderen Maßnahmen bei einem „voraussichtlich hohen Risiko“ für die persönlichen Rechte und Freiheiten natürlicher Personen an. Beispiele dafür sind die Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO und die Benachrichtigung des Betroffenen bei Datenschutzverletzungen gem. Art. 34 DSGVO.
Alle genannten und einige weitere Regelungen haben gemein, dass sie den Verantwortlichen zur Durchführung einer Risikoanalyse verpflichten. Der Verantwortliche soll mithilfe des Ergebnisses dieser Analyse entscheiden ob und wenn ja, welche Maßnahmen zum Schutz der Betroffenen zu treffen sind.
Anforderungen an den Verantwortlichen
Der risikobasierte Ansatz in der Datenschutz-Grundverordnung führt zu folgenden Anforderungen an den Verantwortlichen:
- Identifikation der mit der Verarbeitung verbundenen Risiken
- Risikoanalyse unter Berücksichtigung der Eintrittswahrscheinlichkeit und der Schwere der Folgen
- Einordnung ob es sich um ein Risiko oder ein hohes Risiko handelt
- Risikobehandlung durch entsprechende Maßnahmen
In einem ersten Schritt muss der Verantwortliche die Risiken der Datenverarbeitung identifizieren. Mögliche Risikoquellen können menschlicher oder nichtmenschlicher Natur sein. Zur Identifikation kann sich der Verantwortliche entsprechender Listen bedienen, in denen typische Risiken von bestimmten Verarbeitungen aufgeführt sind.
Anschließend ist eine Risikoanalyse durchzuführen, dafür werden die Eintrittswahrscheinlichkeiten und die möglichen Schäden der identifizierten Risiken evaluiert. Dieser Vorgang ermöglicht auch die Einordnung als Risiko oder als hohes Risiko. Das Ergebnis aus der Analyse bildet dann z.B. im Rahmen des Art. 32 DSGVO den Maßstab für die Wahl der technischen und organisatorischen Maßnahmen für die Sicherheit der Verarbeitung.
Im Rahmen der Risikobehandlung kann der Verantwortliche z.B. durch Pseudonymisierung oder Verschlüsselung ein vorhandenes Risiko reduzieren oder er kann – soweit ihm die technischen Möglichkeiten zur Reduzierung fehlen – das Risiko durch Outsourcing in Rechenzentren mit höheren Standards an einen Dritten übertragen.
Unterstützung durch den Datenschutzbeauftragten
Der risikobasierte Ansatz der Datenschutz-Grundverordnung ist für den Verantwortlichen mit einem nicht unerheblichen Aufwand verbunden. Bisher gibt es leider noch keine Leitlinien zum Risikomanagement von den Aufsichtsbehörden. Deshalb hilft es nur die oben genannten Schritte bei jeder Prüfung sorgsam abzuarbeiten. Hier kann der Datenschutzbeauftragte durch seine Erfahrung und Fachkunde eine wichtige Unterstützung sein.
Danke für Ihren Artikel. Hätten Sie eventuell noch einen Tipp, wo sich Listen oder ein Beispiel einer Liste mit möglichen Risiken bestimmter Verarbeitungen finden lassen?
Derzeit ist uns keine Übersicht bekannt. Es ist aber mit weiteren Publikationen der Aufsichtsbehörden oder der Artikel 29 Gruppe zu diesem Thema zu rechnen. Über wichtige Veröffentlichungen werden Sie in unserem Blog informiert.
Wurden die Listen der Datenverarbeitungsvorgänge gemäß Art. 35 Abs. 4 und 5 DSGVO erstellt und veröffentlicht?
Bisher gibt es nach unserer Kenntnis noch keine Positiv- bzw. Negativlisten von den Aufsichtsbehörden. Es ist aber damit zu rechnen, dass die Aufsichtsbehörden in naher Zukunft entsprechende Dokumente veröffentlichen.