Die Erstellung einer Datenschutz-Folgenabschätzung (DSFA) ist die umfangreichste und detaillierteste Dokumentation, die das Datenschutzrecht verlangt. Aufgrund des Umfangs der hier geforderten Inhalte und der vorzunehmenden Risikobeurteilung ist eine DSFA für die meisten Verantwortlichen eine große Herausforderung.
In diesem und zwei nachfolgenden Beiträgen steht die Risikobeurteilung im Vordergrund, die ein Teil der DSFA ist. Die Beitragsreihe soll die Beurteilung für alle Beteiligten verständlich zusammenzufassen und die notwendigen Mittel an die Hand geben, um eine strukturierte Risikobeurteilung durchführen zu können.
1. Risikobeurteilung
In der Regel kann die Risikobeurteilung in drei Teilschritte untergliedert werden. Im ersten Schritt gilt es, etwaige Risiken oder Gefahren zu erkennen, die der Datenverarbeitungsprozess mit sich bringt (Bruttorisiko). In einem zweiten Schritt müssen die vorhandenen Maßnahmen erfasst werden, die zur Sicherung des Prozesses implementiert sind (technische und organisatorische Maßnahmen, kurz TOM). Im abschließenden dritten Schritt werden die Risiken den TOM gegenübergestellt und es erfolgt die abschließende Beurteilung des dann reduzierten Risikos (Nettorisiko).
Grundsätzlich lassen sich die Risikoermittlung und die Zusammenstellung der TOM als Einzelschritte unabhängig voneinander bearbeiten. So können die Aufgaben parallel und von verschiedenen Beteiligten vorbereitet werden. Üblicherweise wären die Projektverantwortlichen sowie die IT-Abteilung hier die richtigen Ansprechpartner. Bei der Zusammenführung der Arbeitsergebnisse kann der Datenschutzbeauftragte als dritte Stelle involviert werden.
Um die Erstellung der ersten Übersichten durch die Beteiligten zu unterstützen, kann hilfsweise auf die Unterlagen zur DSFA des Bayerischen Landesbeauftragten für den Datenschutz (BayLfD) zurückgegriffen werden. Die hier zur Verfügung gestellte Risikomatrix (vgl. Orientierungshilfe des BayLfD, S. 24–82), welche die Risikolevel ausweist, sowie die Hilfestellungen zur Ermittlung der Eintrittswahrscheinlichkeit und der Höhe des potenziellen Schadens (vgl. ebenda, S. 23–82), tragen zu einem ersten Grundverständnis bei.
2. Risikoszenarien erkennen
Die Ermittlung des Bruttorisikos stellt die meisten Verantwortlichen vor eine erste Herausforderung, da es ihnen schwerfällt, für das Projekt oder einen konkreten Verarbeitungsschritt potenzielle Risiken zu erkennen und zu benennen. In diversen Fällen liegt es einfach daran, dass die Datenverarbeitungsprozesse bereits bei der Planung so ausgestaltet wurden, dass die grundsätzlichen Risiken berücksichtigt wurden. Rückblickend erscheint es dann schwieriger, diese Maßnahmen jetzt „bewusst“ zu dokumentieren. Bei der Ermittlung des Bruttorisikos ist es wichtig, dass verschiedene Risiken erkannt werden, damit ganz konkret auf die Gefahren eingegangen werden kann.
Eine strukturierte Vorgehensweise kann den Beteiligten bei der Risikoermittlung helfen. In einem großen Projekt ist es ratsam, die Prozessschritte einzeln zu betrachten und sich zu fragen, durch welche Risikoquellen sich hier Gefahren für die Rechte und Freiheiten der Betroffenen ergeben können. Gängige Risikoquellen sind bspw. eigene Beschäftigte, unbefugte Dritte bzw. Hacker, welche auf den einzelnen Prozess Einfluss nehmen und so eine Gefahr darstellen können. Aus dem Zusammenspiel von Datenverarbeitungsprozess und Risikoquelle lassen sich etwaige Risikoszenarien kreieren: Einem Beschäftigten kann bei der Verarbeitung der Daten ein Fehler unterlaufen und die Daten werden ungewollt gelöscht. Die Implementierung eines ungeprüften Updates bei den Rollen und Berechtigungen kann in einer unerlaubten Offenlegung von Daten resultieren. Der Angriff eines Hackers könnte zur Verschlüsselung von Dateien und Programmen führen.
Sollte z. B. ein Prozess keinen Zugriff durch einen Beschäftigten zulassen, dann kann diese Risikoquelle bei der Evaluierung weiterer Risikoszenarien auch unberücksichtigt bleiben. Es wäre jedoch denkbar, dass bereits der Ausschluss einer Fehlerquelle, eine organisatorische Entscheidung zum Schutz der Daten war und diese Maßnahme hier in der DSFA dokumentiert werden kann.
Um konkrete Risikoszenarien ermitteln zu können, ist es zusätzlich hilfreich, sich die Schutzziele für die Bereiche Informationssicherheit und Datenschutz zu vergegenwärtigen. Diese können als Gedankenstütze herangezogen werden, um potenzielle Szenarien zu erkennen. Aus der Kombination „Verarbeitungsprozess + Risikoquelle + Schutzziel“ lassen sich potenzielle Risikoszenarien sehr gut ermitteln.
So kann beim E-Mail-Versand durch einen Beschäftigten die Vertraulichkeit der Daten gefährdet sein, wenn die E-Mail an einen unberechtigten Empfänger versendet wird. Die Gefahr der ungerechtfertigten Offenlegung stellt dann das potenzielle Risiko dar.
Dahingegen kann das Speichern von Daten auf einem Server grundsätzlich dem Angriff eines Hackers ausgesetzt sein, was erfahrungsgemäß zum Verlust der Verfügbarkeit führen kann, wenn diese Daten verschlüsselt würden. Der Verlust der Verfügbarkeit für den Verantwortlichen kann in einem Risiko für die Betroffenen resultieren.
Das Dokumentieren der Risikoszenarien verlangt von den Beteiligten eine objektive Draufschau auf den Prozess und Abstand von den bereits implementierten Sicherungsmaßnahmen. Erfahrungswerte und die Frage nach dem Worst-Case-Szenario sind hier hilfreich. Grundsätzlich sollten alle möglichen Szenarien dokumentiert werden, auch wenn sie „relativ“ unwahrscheinlich zu sein scheinen. Die Bewertung der einzelnen Risiken erfolgt dann im nachfolgenden Schritt und hier können entsprechende Szenarien auch wieder gestrichen werden. Jedoch hilft das konsequente Dokumentieren einer Vielzahl an Risiken die möglichen Szenarien zu erkennen.
3. Bewertung des Risikoszenarios – Risikoanalyse
Wenn das Risikoszenario umrissen werden kann, ist zu beurteilen, wie wahrscheinlich der Eintritt des jeweiligen Risikos wäre. Dabei ist bspw. zu berücksichtigen, ob die Risikoquelle beabsichtigter Weise ein entsprechendes Ereignis herbeiführen möchte (Hacker) oder ob dies nur aus Versehen passieren kann (Beschäftigter). Ebenso sollten Erfahrungswerte in die Beurteilung mit einfließen.
Bei der Beurteilung der Höhe des Risikos für die Betroffenen ist zu berücksichtigen, durch welche Risikoquelle sich hier die Gefahr realisieren kann und ob sich aus einem einzelnen Risiko weitere Gefahren entwickeln könnten. Ferner ist zu berücksichtigen, welche Datenarten betroffen sind sowie deren Menge und der Informationsgehalt.
Die Kategorisierung der Eintrittswahrscheinlichkeit sowie der Höhe des Risikos kann in einer stufenweisen Einteilung von Grad 1 bis Grad 4 vorgenommen werden. Auf die Hilfestellung der Aufsichtsbehörde wird an dieser Stelle erneut verwiesen (Hilfestellungen zur Ermittlung der Eintrittswahrscheinlichkeit und der Höhe des potenziellen Schadens, S. 23–82). Die jeweiligen Faktoren sind im Anschluss miteinander zu multiplizieren, um einen Abschlusswert für das einzelne Risikoszenario zu erhalten. Dieser findet sich dann in der vorher bereits angesprochenen Risikomatrix in den Bereichen Grün, Gelb oder Rot wieder.
Für die weitere Zusammenarbeit an der DSFA ist es wichtig, dass die hier beschriebenen Szenarien logisch nachvollziehbar sind. Gerade beim Zusammenspiel von verschiedenen Disziplinen innerhalb des Unternehmens ist es bei der Erstellung der DSFA relevant, dass die Ausführungen auch für alle Beteiligten verständlich sind.
4. Das Bruttorisiko
Im Ergebnis sollte bei der ersten Aufstellung der einzelnen Risikoszenarien eine Übersicht entstehen, welche bezogen auf den einzelnen Verarbeitungsprozess die jeweiligen Schutzziele adressiert und dabei je nach Schutzziel verschiedene Risikoquellen berücksichtigt und anschließend die Risikoszenarien abbildet. Mit der multiplizierten Eintrittswahrscheinlichkeit und der Höhe des Risikos ist ein erster Nennwert für das Bruttorisiko dokumentiert.
Wie in den nächsten Schritten die TOM erfasst werden können und ein abschließendes Nettorisiko ermittelt wird, ist Teil der zwei nachfolgenden Beiträge.