Muster: Richtlinie Risikoanalyse und Datenschutzfolgenabschätzung

Risikobewertung als Vorbereitung einer Datenschutzfolgenabschätzung

Jedes Unternehmen hat die gesetzliche Pflicht, personenbezogene Daten risikoangemessen zu schützen. Die Risikobestimmung erfolgt dabei individuell für jede Verarbeitung und ist bei veränderten Umständen (z.B. Einsatz neuer Technologien oder neuer Auftragsverarbeiter) zu wiederholen. Entscheidend ist dabei das Risiko aus Sicht des Betroffenen.

Der Begriff des Risikos ist in der Datenschutz-Grundverordnung (DSGVO) nicht abschließend definiert. Aus den Erwägungsgründen 75 und 92 kann jedoch eine allgemeine Erläuterung hergeleitet werden. Die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, beschreibt in ihrem Kurzpapier (DSK-Kurzpapier Nr. 18) das Risiko wie folgt:

„Ein Risiko im Sinne der DS-GVO ist das Bestehen der Möglichkeit des Eintritts eines Ereignisses, das selbst einen Schaden (einschließlich ungerechtfertigter Beeinträchtigung von Rechten und Freiheiten natürlicher Personen) darstellt oder zu einem weiteren Schaden für eine oder mehrere natürliche Personen führen kann.“

Das Risiko besteht somit aus zwei Ebenen:

1. die Schwere des Schadens und
2. die Eintrittswahrscheinlichkeit des Ereignisses.

Bei der Bewertung des Risikos ist wie folgt vorzugehen: Zunächst sind die Risiken zu identifizieren, d.h. es gilt zu erkennen, welcher Schaden durch welches Ereignis eintreten kann. Anschließend sind die Eintrittswahrscheinlichkeit und die Schwere möglicher Schäden einzuschätzen. Zuletzt ist eine Zuordnung zu einer Risikoabstufung vorzunehmen. Hierfür bietet sich eine Risikomatrix an (siehe auch DSK-Kurzpapier Nr. 18). Das Risiko kann somit durch entsprechende Risiko-Levels (gering, normal und hoch) dargestellt werden.

Ziel der Datenschutzfolgenabschätzung

Wurde im Rahmen der Risikoanalyse ein hohes Risiko für die betroffenen Personen, deren Daten verarbeitet werden sollen, festgestellt, muss vom Unternehmen eine Datenschutzfolgenabschätzung durchgeführt werden.

Ziel einer DSFA ist es, die Risiken für die betroffenen Personen zu analysieren, indem die potentiellen Schäden für die betroffenen Personen sowie die möglichen Ursachen dafür identifiziert und geeignete und wirksame (technische und organisatorische) Maßnahmen ausgewählt werden, um diese Risiken zu reduzieren.

Zweck einer Richtlinie Risikoanalyse und Datenschutzfolgenabschätzung

Eine Richtlinie stellt Regeln zur Durchführung der Risikoanalyse und der Datenschutzfolgenabschätzung auf, um einem potenziellen hohen Risiko für die betroffenen Personen bereits im Vorfeld zu begegnen.

Werden hohe Risiken nicht eingedämmt, sind unter anderem Datenschutzverletzungen sehr wahrscheinlich. Diese können für das Unternehmen, Partner und Kunden sowie vor allem für die betroffene Person schwerwiegende Folgen haben – und zu Schadensersatzforderungen an bzw. Bußgeldern für den Verantwortlichen führen.

Unser Muster für eine Richtlinie Risikoanalyse und Datenschutzfolgenabschätzung soll deshalb eine konkrete Hilfestellung zur Bestimmung des relevanten Risikos und der korrekten Durchführung von Datenschutzfolgenabschätzungen geben.