DSGVO – Risiko und Beurteilung von Datenschutzfällen

Die Verantwortlichen, welche die Pflichten der DSGVO erfüllen müssen, stehen überdies vor großen Anforderungen. Um mit dem großen Pflichtkatalog auch datenschutzkonform zu handeln, sowie die Rechte und die Freiheiten der Betroffenen zu realisieren, ist diesbezüglich auch ein großes Risiko vorhanden, hier mit einer falschen oder fehlenden Vorgehensweise große Geldbußen zu erhalten.

 

Welches Risiko gibt es beim Handling zur DSGVO?

Das Wort „Risiko“ ist zu definieren als ein Ereignis mit möglicher negativer Auswirkung.

Der Begriff „Risiko“ taucht dementsprechend an zahlreichen Stellen in der DSGVO auf.

Genannte Beispiele für die Verarbeitung mit Risiko lt. DSGVO:

 

Erwägungsgrund 75:

  • Diskriminierung
  • Identitätsdiebstahl
  • Finanzieller Verlust

Erwägungsgrund 89:

  • Verarbeitungen unter Einsatz neuer Technologien
  • neuartige Verarbeitungen ohne bisherige Durchführung einer Datenschutzfolgeabschätzung

TOM Artikel 32 DSGVO:

  • Bei der Auswahl der technischen und organisatorischen Maßnahmen soll die Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen berücksichtigt werden

Artikel 33 DSGVO:

  • Bei der Frage, ob der Verantwortliche bei einer Datenschutzverletzung eine Meldung an die Aufsichtsbehörde abgeben muss, ist entscheidend. Führt die Verletzung zu einem Risiko für die Rechte und Freiheiten natürlicher Personen?

Datenschutz-Folgenabschätzung Artikel 35:

  • Hier ordnet die DSGVO die Durchführung von bestimmten, besonderen Maßnahmen bei einem „voraussichtlich hohen Risiko“ für die persönlichen Rechte und Freiheiten natürlicher Personen an.

Benachrichtigung des Betroffenen bei Datenschutzverletzungen Artikel 34 DSGVO:

  • Auch hier ordnet die DSGVO die Durchführung von bestimmten, besonderen Maßnahmen bei einem „voraussichtlich hohen Risiko“ für die persönlichen Rechte und Freiheiten natürlicher Personen an.

 

Welche Anforderungen haben hierdurch die Verantwortlichen:

Die Anforderungen verpflichten den Verantwortlichen zur Durchführung einer Risikoanalyse. Der Verantwortliche hat mit einer Analyse zu entscheiden, ob und wenn ja, welche Maßnahmen zum Schutz der Betroffenen demzufolge auch zu treffen sind.

 

Prozess, um Anforderungen zu beachten:

  1. IDENTIFIKATION der mit der Verarbeitung verbundenen Risiken

Der Verantwortliche hat die Risiken der Datenverarbeitung zu identifizieren. Mögliche Risikoquellen können menschlicher oder nichtmenschlicher Natur sein. Zur Identifikation kann sich der Verantwortliche entsprechender Listen bedienen, in denen typische Risiken von bestimmten Verarbeitungen aufgeführt sind.

 

  1. RISIKOANALYSE mit Berücksichtigung der Eintrittswahrscheinlichkeit und der Schwere der Folgen

Zur Risikoanalyse ist die Eintrittswahrscheinlichkeit sowie der mögliche Schaden zu analysieren/beurteilen.

 

  1. EINORDNUNG: handelt es sich um ein Risiko oder sogar ein hohes Risiko

Laut DSGVO Artikel 32 ist die Einordnung hierzu der Maßstab für die Auswahl der Information in der TOM (Technische und organisatorischen Maßnahme). Zur Erwägung der Sicherheit der Verarbeitung.

 

  1. BEHANDLUNG des Risikos durch entsprechende Maßnahmen

Eine Behandlungsart des Verantwortlichen könnte beispielsweise die Datenminimierung durch Pseusonymisierung oder Verschlüsselung sein, um ein Risiko zu minimieren.

Beispiele hierzu zu finden unten bei den DSGVO-News…

 

Hilfe durch Datenschutzbeauftragten

Hilfreich bei der Prüfung und Abarbeitung der oben genannten Schritte ist auf jedem Fall ein Datenschutzbeauftragter. Er kann durch seine Erfahrung und Fachkunde eine wichtige Unterstützung sein.

Der Datenschutzverantwortliche trägt die Pflicht einer Risikoanalyse. Diese soll entscheiden, ob und welche Hilfe zum Schutz der Betroffenen geleistet werden muss. Demnach muss er zum Beispiel die möglichen Risiken identifizieren und die Eintrittswahrscheinlichkeit, die Schwere der Folgen sowie die Relevanz des einzelnen Risikos einschätzen. In der Datenschutzgrundverordnung ist bisher keine Leitlinie bezüglich dieser Regelung festgehalten. Ihm sollte jedoch bei der Risikobeurteilung und Risikoeinschätzung Hilfe von dem Datenschutzbeauftragten eingeräumt werden.

 

Wann ist ein Datenschutzvorfall meldepflichtig?

Der Risikobegriff spielt somit eine große Rolle, wenn es darum geht, hierzu zu entscheiden, ob ein unrechtmäßiger Vorfall bezüglich des Datenschutzes zu melden ist. Wenn der Datenschutz einer Person verletzt wird und folglich auch möglicherweise die Freiheiten und Rechte einengt, muss der Fall definitiv und zwar zwischen 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden. So steht es im Artikel 33 der DSGVO. Im darauffolgenden Artikel wird außerdem die Notwendigkeit der Risikoeinschätzung wie auch Prognoseentscheidung festgehalten. Sollte die Verletzung ein Risiko für Persönlichkeitsrechte und Freiheiten mit sich bringen können, muss die betroffene Person hierzu auch von dieser erfahren. Ist das Risiko nicht existent, ist zwar keine Meldung nötig, doch muss der Fall samt der Prognoseentscheidung trotzdem vollständig dokumentiert werden.

 

Risikobeurteilung stellt Verantwortlichen vor Herausforderungen

Für den Datenschutzverantwortlichen innerhalb eines Unternehmens ist die Risikobeurteilung nicht einfach. Es müssen viele Gegebenheiten und Szenarien berücksichtigt werden. Besonders wichtig ist für ihn deswegen eine vernünftige Beschreibung und Protokollierung des Sachverhalts, der zugrunde liegt. Bei Datenpannen sollte Wert auf ein ausführliches Formular gelegt werden. Für ein sorgfältiges Vorgehen innerhalb des Sachverhaltes empfiehlt sich das Kurzpapier der Datenschutzkonferenz zum Risikobegriff.

 

unsere DSGVO News:

DSGVO: TEIL 1 Datenminimierung und Datensparsamkeit

https://datenschutzbeauftragter-dsgvo.com/dsgvo-teil-1-datenminimierung-und-datensparsamkeit/

DSGVO: TEIL 2 Datenminimierung durch Anonymisierung und Pseudonymisierung

https://datenschutzbeauftragter-dsgvo.com/dsgvo-teil-2-datenminimierung-durch-anonymisierung-und-pseudonymisierung/