zuletzt aktualisiert am: 9. Juni 2021
Besonders bei der Bewertung von Datenpannen und der daraus resultierenden Meldepflicht spielen sie eine wichtige Rolle. Aber auch für Datenschutzfolgeabschätzungen sind sie der Dreh- und Angelpunkt:
die Risiken für Rechte und Freiheiten Betroffener
Doch was genau sind eigentlich Risiken für die Rechte und Freiheiten Betroffener?
Das Kurzpapier Nr. 18 des Datenschutzkonferenz der Länder definiert zunächst das Risiko wie folgt:
Ein Risiko im Sinne der DS-GVO ist das Bestehen der Möglichkeit des Eintritts eines Ereignisses, das selbst einen Schaden (einschließlich ungerechtfertigter Beeinträchtigung von Rechten und Freiheiten natürlicher Personen) darstellt oder zu einem weiteren Schaden für eine oder mehrere natürliche Personen führen kann.
Es hat zwei Dimensionen: Erstens die Schwere des Schadens und zweitens die Wahrscheinlichkeit, dass das Ereignis und die Folgeschäden eintreten.
Und was ist mit „Rechte und Freiheiten natürlicher Personen“ gemeint?
Auch hier nennt das Kurzpapier Nr. 18 ganz konkrete Beispiele:
- Diskriminierung
- Identitätsdiebstahl oder -betrug
- finanzieller Verlust
- Rufschädigung
- wirtschaftliche oder gesellschaftliche Nachteile
- Erschwerung der Rechtsausübung und Verhinderung der Kontrolle durch betroffene Personen
- Ausschluss oder Einschränkung der Ausübung von Rechten und Freiheiten (Anm.: z.B. die Grundrechte)
- Profilerstellung oder -nutzung durch Bewertung persönlicher Aspekte
- körperliche Schäden infolge von Handlungen auf der Grundlage fehlerhafter oder offengelegter Daten
Wie kann es dazu kommen?
Diskriminierung oder Rufschädigung
Man stelle sich nur vor, eine Person ist gewerkschaftlich organisiert, gehört einer bestimmten Partei an, hat einen bestimmten Glauben, ist schwanger oder hat AIDS (Gesundheitsdaten) oder ist beispielsweise homosexuell. All dies sind Artikel-9-Informationen, bei denen einzig und allein der/ die Betroffene entscheiden soll, ob und wenn ja wann/ wo /wie diese Informationen bekannt werden sollen. Bei all diesen Informationen besteht ein besonders hohes Risiko einer Diskriminierung. Aber auch Geschlecht, Hautfarbe, Alter oder Einkommen können bekanntlich zu Diskriminierung führen. Daher ist bei bestimmten Verarbeitungen besonders hoher Wert darauf zu legen, dass es zu keiner Benachteiligung kommt.
Erschwerung der Rechtsausübung und Verhinderung der Kontrolle durch betroffene Personen
Ein simples und leider nur allzu häufiges Beispiel für die „Erschwerung der Rechtsausübung und Verhinderung der Kontrolle durch betroffene Personen“ ist die Übermittlung von Daten in die USA. Egal ob Facebook, Amazon, Google und wie sie alle heißen – alle sind amerikanische Anbieter und als solche verpflichtet, sich an die amerikanischen Gesetze zu halten. Diese widersprechen jedoch europäischem Recht, wie das Schrems II-Urteil erst unlängst bestätigte. Gern nutzen diese Dienste die Daten dann auch noch zur Profilerstellung (doppelte Punktzahl!).
Oder: Stellen wir uns vor, ein Verein führt eine Mitgliederliste mit E-Mail-Adressen, um zum Beispiel kurzfristige Trainingsplanänderungen zu kommunizieren. Nun werden diese E-Mail-Adressen in ein Newsletter-Tool überführt, um diese Kommunikation zu erleichtern. Dazu werden Informationen wie die Team-Zugehörigkeit und vielleicht noch die Adresse ergänzt. Diese Übermittlung an den Anbieter des Tool wurde jedoch nicht kommuniziert. Das Recht auf Transparenz ist eingeschränkt. Die Betroffenen können Ihre Rechte nicht ausüben. Vermutlich fand einer auch keine Interessenabwägung statt – somit fehlt vermutlich eine Rechtsgrundlage. (Bei einer Einwilligung wären ja die Informationen ja an die Betroffenen gegangen.)
Wenn dann aus Unwissenheit zudem noch versäumt wurde, mit dem Newsletter-Anbieter einen AV-Vertrag zu vereinbaren oder sich der Anbieter in den USA befindet, haben wir sogar noch eine unbefugte Übermittlung an Dritte bzw. in ein Drittland ohne geeignete Garantien.
Auch ein häufiges Problem: Die Unwissenheit eines Mitarbeitenden kann schnell dazu führen, dass diese*r Daten eines Kunden/ Mitgliedes für andere Zwecke verarbeitet, ohne eine Rechtsgrundlage dafür zu haben. Oder durch mangelnde Sorgfalt bei der Auswahl eines Auftragsverarbeiters werden Daten an Dritte übermittelt, ohne dass dies den Betroffenen mitgeteilt wurde.
Identitätsdiebstahl oder -betrug/ finanzieller Verlust
Tatsächlich sind es oftmals mehrere Umstände, die von bloßen Risiken für Rechte und Freiheiten Betroffener zu konkreten Schäden führen.
Werden Daten, wie Adresse, Geburtsdatum und E-Mail-Adresse (oder durch Unachtsamkeit vielleicht sogar Kreditkartendaten) beispielsweise im Internet veröffentlicht, können Betrüger diese Daten nutzen, um auf Kostenandere einzukaufen.
Doch gehen wir in Ruhe Schritt für Schritt vor. Beginnen wir zunächst mit der
Risikoidentifikation
Wie bei einer betrieblichen Risikoanlayse, betrachtet man also auch im Datenschutz die Schadensschwere und die Schadenswahrscheinlichkeit in einer Matrix. Nur, dass hier eben nicht nach wirtschaftlichen Risiken für das Unternehmen sondern nach möglichen physischen, materiellen und immateriellen Risiken für natürliche Personen gesucht wird.
Wie oben aufgezählt, ist das Risiko einer Rufschädigung genauso als Risiko aufzuführen wie finanzielle Verluste oder körperliche Schäden. (Und ja, es können tatsächlich körperliche Schäden durch unsachgemäße Datenverarbeitung auftreten! Denken Sie nur daran, dass bei einer Patientenverwechslung das falsche Medikament gegeben würde…)
Dabei ist es für die Risikodefinition zunächst ebenfalls unerheblich, ob der Schaden aus einer (geplanten) Verarbeitung selbst, aus selbstverschuldetem oder fremdverschuldetem Fehlverhalten bzw. aus unverschuldeten Naturkatastrophen herrührt. Risiko ist Risiko.
Wie so oft, nehmen Sie als Basis zur Risikobewertung Ihr Verzeichnis für Verarbeitungstätigkeiten. Darin haben Sie ja schon die Kategorien der verarbeiteten personenbezogenen Daten erfasst. Dann stellen Sie sich folgende Fragen:
- Welche Schäden können für natürliche Personen auftreten? (Diskriminierung, Identitätsdiebstahl, …)
- Durch welche Ereignisse kann es zum Schaden kommen? (unbefugte Verarbeitung, …)
- Durch welche Handlungen oder Umstände können diese Ereignisse eintreten? (siehe Risikoquellen, z.B. Fehlverhalten)
Denken Sie dabei über den Tellerrand hinaus! Hier geht es zwar auch, aber eben nicht nur, um Datenmissbrauch durch unbefugte Dritte („Hacker“).
Ereignisse, die zur zu Schäden führen können, sind beispielsweise:
- Unbefugte oder unrechtmäßige Verarbeitung
- Verarbeitung wider Treu und Glauben
- Für den Betroffenen intransparente Verarbeitung
- Unbefugte Offenlegung von und Zugang zu Daten
- Unbeabsichtigter Verlust, Zerstörung oder Schädigung von Daten
- Verweigerung der Betroffenenrechte
- Verwendung der Daten durch den Verantwortlichen zu inkompatiblen Zwecken
- Verarbeitung nicht vorhergesehener oder nicht richtiger Daten
- Verarbeitung über die Speicherfrist hinaus
Risikoquellen
Äußere Einflüsse durch höhere Gewalt, technische Fehlfunktionen oder Cyberkriminalität sind definitiv Risikoquellen. Der größte Teil der Fehler geht jedoch auf (oftmals unbeabsichtigtes oder unbewusstes) Fehlverhalten des Verantwortlichen, seiner Mitarbeiter*innen oder Auftragsverarbeiter zurück. Daher ist es wichtig, Ihre Mitarbeitende regelmäßig zu schulen und Auftragsverarbeiter sorgfältig auszuwählen.
Wie oben angerissen, stellt schon die unzweckmäßige Verwendung von „eigentlich“ rechtmäßig erlangten Daten oder die Kenntnisnahme durch unbefugte Mitarbeiter*innen, einen Datenschutzverstoß dar. Diese Fehlerquellen müssen Sie unbedingt mitbedenken.
Risikobewertung
Als nächstes bewerten Sie die identifizierten Risiken in den Dimensionen Schwere und Wahrscheinlichkeit.
Hierbei stufen Sie idealerweise in 4 Stufen ab:
- geringfügig
- überschaubar
- substanziell
- groß
Dimension 1: Schwere des Schadens
Um die Schwere des Schadens adäquat feststellen zu können, müssen Sie die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigen. Dabei ist klar, dass Kontodaten einen höheren Schutzbedarf haben, als beispielsweise eine Adresse. Gesundheitsdaten oder andere „Artikel-9-Daten“ wiederum sind schutzbedürftiger als Kontodaten. (Die kann man nämlich nicht so leicht ändern.) Daten von Kindern sind selbstverständlich schutzbedürftiger als die von Erwachsenen. Und natürlich ist der Schaden bei einer großen Zahl an Betroffenen höher als bei nur ein paar wenigen Datensätzen.
Dimension 2: Wahrscheinlichkeit des Schadens
Bei der Wahrscheinlichkeit betrachten Sie zunächst die Eintrittswahrscheinlichkeit des Ereignisses und anschließend die Wahrscheinlichkeit des Schadens. Die Eintrittswahrscheinlichkeiten summieren sich übrigens.
DSFA
Ergibt die Risikobewertung ein „hohes Risiko“ sind Sie verpflichtet, eine Datenschutzfolgeabschätzung durchzuführen. In dieser müssen Sie die Maßnahmen zur Eindämmung der Risiken benennen. Selbstverständlich müssen Sie die Maßnahmen auch regelmäßig auf ihre Wirksamkeit hin überprüfen. Bleibt trotz aller Maßnahmen weiterhin ein großes Risiko bei der Verarbeitung, so müssen Sie (vor Einführung der Verarbeitung!) die Aufsichtsbehörde einschalten. Da kommen Sie leider nicht drum herum. Auch das ist durch die DSGVO so vorgegeben im Artikel 36.
Meldepflicht bei Datenpannen
Wenn personenbezogene Daten unbefugt offengelegt wurden oder verloren gegangen sind, müssen Sie das der Aufsichtsbehörde melden. Dies muss „unverzüglich“ erfolgen, spätestens jedoch nach 72 Stunden. (Art. 33 DSGVO) Andernfalls drohen Bußgelder, wie es Twitter erst im Dezember 2020 erleben musste.
Hat die Panne zudem voraussichtlich ein hohes Risiko für die/ den Betroffene(n) (siehe oben!), muss auch diese(r) informiert werden. (Art. 34 DSGVO)
Was können Betroffene selbst tun?
Der Schutz vor Risiken für Rechte und Freiheiten Betroffener obliegt dem Verantwortlichen im Verein/ Unternehmen. Doch auch die Bürger*innen (Betroffenen) selbst können einen großen Teil beitragen, indem sie sich und ihre Daten selbst schützen, zum Beispiel:
- Augen auf bei der Wahl des Vertragspartners! Ziehen Sie europäische Dienstleister vor.
- Wählen Sie sichere Passwörter und ändern Sie diese, wenn Sie Sorge haben, dass diese bekannt geworden sein könnten.
- Nutzen Sie für jeden Dienst ein verschiedenes Passwort
- Achten Sie darauf, welche Daten Sie von sich preisgeben und hinterfragen Sie den Zweck kritisch.
- Nutzen Sie die Sicherheitseinstellungen Ihres PCs und halten Sie Ihre Software aktuell.
- Verwenden Sie alternative Browser, wie beispielsweise http://duckduckgo.com/
- Halten Sie sich informiert, zum Beispiel auf der Seite des Bundesamtes für Sicherheit in der Informationstechnik (bsi-fuer-buerger) oder auf digitalcourage.de
- Sprechen Sie mit Ihren Kindern über Datenschutz und den sicheren Umgang mit Diensten im Internet. Dabei helfen Ihnen youngdata.de, data-kids.de und klicksafe.de
Links:
Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz)
Vielleicht auch interessant für Führungskräfte und Verantwortliche:
Bildquellen
- Schulung Mitarbeiter: Pixabay - Manfred Steger
- Risikomatrix: Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz) Kurzpapier Nr. 18
- Schulung Risikobewertung: Pixabay - Manfred Steger
- Risikobewertung: Adobe Stock - Visual Generation