Die Erstellung einer Datenschutz-Folgenabschätzung (DSFA) ist aufgrund des Umfangs der hierfür notwendigen Kapazitäten sowie der Notwendigkeit der Zusammenarbeit der verschiedenen Disziplinen eine große Herausforderung für die meisten Verantwortlichen. In diesem dritten Beitrag wird der Fokus auf die finale Risikoermittlung gelegt. In den vorherigen Beiträgen wurde bereits die Ermittlung der einzelnen Risikoszenarien als Bruttorisiko sowie die Zusammenstellung der technischen und organisatorischen Maßnahmen (TOM) thematisiert.
Die Hauptaufgabe einer DSFA ist es, das vorhandene Risiko für die Rechte und Freiheiten der Betroffenen zu ermitteln. Dabei sind natürlich die Umstände zu berücksichtigen, wie bspw. die Art und Summe der Daten, die potenziellen Risikoszenarien und die ergriffenen Sicherheitsmaßnahmen. Basierend auf diesen Informationen kann das tatsächliche Risiko ermittelt werden, welches bei der Datenverarbeitung zu berücksichtigen wäre: das Nettorisiko.
1. Nettorisiko
Die Ermittlung des Nettorisikos kann vereinfacht mathematisch erläutert werden. Die bereits ermittelten Risikowerte des Bruttorisikos berücksichtigen keine Sicherheitsmaßnahmen für die Datenverarbeitung und sind mit einem Ergebnis von bspw. 12 Punkten ermittelt worden. Aufgrund der eingesetzten TOM reduziert sich dieser Wert, da das Risiko verringert wird. In Abhängigkeit von der Effektivität sowie der Summe der Maßnahmen wird das Risiko um den Wert 4 reduziert. Es verbleibt ein gesamtes Netto(rest)risiko von 8 Punkten. Das so ermittelte Nettorisiko ist der ausschlaggebende Wert in der Risikomatrix und befreit den Verantwortlichen von der Pflicht, sich bezüglich der Datenverarbeitung mit der Aufsichtsbehörde in Verbindung setzen zu müssen. Für die abschließende Beurteilung in der DSFA ist dieser Wert entscheidend. Zur Verdeutlichung der einzelnen Werte wird an dieser Stelle auf die Unterlagen des Bayerischen Landesbeauftragten für den Datenschutz (BayLfD) verwiesen, welche eine entsprechende Risikomatrix bereitstellen (vgl. Orientierungshilfe Risikoanalyse und DSFA, S. 24–82).
2. Gegenüberstellung der Risikoszenarien und der TOM
Um die abschließende Ermittlung des Nettorisikos durchführen zu können, müssen die einzelnen Risikoszenarien herangezogen und den verfügbaren TOM gegenübergestellt werden. Dabei gibt es zwei Hinweise, die bei der Zuordnung hilfreich sind, wenn sich die Verantwortlichen hier mit einer großen Herausforderung konfrontiert sehen:
- Zum einen ist zu betonen, dass regelmäßig nur die Eintrittswahrscheinlichkeit eines Risikos minimiert oder ausgeschlossen werden kann. Es ist fast nicht möglich, dass TOM dazu führen können, dass das potenzielle Risiko für die Betroffenen reduziert werden kann. Das liegt daran, dass die TOM nicht dazu führen, dass sich an der Art der verarbeiteten Daten, der Menge der Daten oder der Gruppe der Betroffenen etwas ändert. Somit wird in Bezug auf das zu ermittelnde Nettorisiko lediglich der Faktor zur Bestimmung des Eintrittsrisikos verringert, während der Wert für die Höhe des Schadens unverändert aus dem Bruttorisiko übernommen werden kann.
- Zum anderen sollte eine Kombination der Risikoszenarien mit den TOM logisch nachvollziehbar sein. Nicht selten werden in den TOM Angaben gemacht, die für die konkreten Verarbeitungsprozesse nicht zutreffen und sich in der Regel auf andere Dienstleistungen oder Prozesse beziehen. Ferner gilt es zu vermeiden, dass unpassende Maßnahmen für Risiken herangezogen werden. So werden meist technische Maßnahmen notwendig sein, um den Schutz der Daten im Sinne der Informationssicherheit zu gewährleisten. Organisatorische Maßnahmen führen normalerweise zu einer Gewährleistung der datenschutzrechtlichen Schutzziele. Regelmäßig können diverse Maßnahmen auch nur bei bestimmten Risikoquellen zu einer Verringerung des Risikos führen. Das betrifft insbesondere Risiken, die von den eigenen Beschäftigten im Unternehmen ausgehen. Neben den Risikoquellen geben auch die verfolgten Schutzziele einen Anhaltspunkt dafür, welche Maßnahmen zur Risikominimierung berücksichtigt werden sollten.
In Abhängigkeit vom konkreten Risikoszenario kann es notwendig sein, dass verschiedene Maßnahmen kombiniert werden, um ein Risiko bestmöglich auszuschließen oder es zu verringern. Die Notwendigkeit kann sich daraus ergeben, dass verschiedene Maßnahmen nur einen bedingten Einfluss haben oder ausschließlich in einer Kombination die gewünschte Schutzfunktion entfalten können.
Am Beispiel des E-Mail-Versands lässt sich dies erläutern: Hier soll z. B. das Schutzziel der Vertraulichkeit gewährleistet werden und die eigenen Beschäftigten wurden als Risikoquelle erkannt. In einer Schulung (organisatorische Maßnahme) können die Beschäftigten auf die Risiken eines Fehlversands hingewiesen und somit sensibilisiert werden. Es kann insbesondere darauf verwiesen werden, dass die E-Mail-Empfänger regelmäßig zu kontrollieren und die Verwendung von zutreffenden Versandmöglichkeit im Sinne des BCC (Blindkopie) und CC (in Kopie) zu beachten sind. Diese organisatorischen Maßnahmen sind jedoch nicht vollumfänglich in der Lage, das Risiko zufriedenstellend zu verringern, weshalb diese durch technische Maßnahmen flankiert werden sollten. Auf technischer Seite können verschiedene Maßnahmen ergriffen werden, um die Beschäftigten zu unterstützen. Mithilfe des verzögerten Versands von E-Mails wäre es bspw. möglich, etwaig erkannte Fehler noch zu korrigieren, bevor die E-Mail den Empfänger erreicht. Auf der anderen Seite wäre der Einsatz von verschlüsselten Inhalten eine ergänzende technische Maßnahme, welche jedoch die vorherige Schulung der Beschäftigten verlangt. Grundsätzlich ist festzuhalten, dass der Einsatz von technischen Maßnahmen, insbesondere in Bezug auf die eigenen Beschäftigten, meist auf eine entsprechende Sensibilisierung und Schulung angewiesen ist.
Die Gegenüberstellung der Risikoszenarien mit den TOM kann in einer Tabelle vorgenommen werden. Hierzu gibt es seitens des BayLfD bereits vorgefertigte Exceltabellen zum Download.
3. Beurteilung des abschließenden Nettorisikos
In Abhängigkeit davon, wie gut die jeweiligen Maßnahmen sind, wird in der Regel die Eintrittswahrscheinlichkeit des Risikoszenarios reduziert. Um welchen Wert das ursprüngliche Risikolevel reduziert wird, kann mithilfe einer Risikoanalyse ermittelt werden. Hilfreich sind dabei die Erläuterungen der Aufsichtsbehörde (vgl. die o. g. Orientierungshilfe des BayLfD, S. 23–82). In der Multiplikation mit dem bereits vorher ermittelten Grad der Höhe des Schadens wird sich ein neuer Risikowert ergeben. Sollte der Verantwortliche hierbei weiterhin zu dem Ergebnis kommen, dass die vorhandenen bzw. verfügbaren TOM nicht ausreichend sind, um das Risiko zufriedenstellend zu reduzieren, so ist es die Aufgabe der Beteiligten weitere Maßnahmen zu evaluieren. Es kann nicht ausgeschlossen werden, dass die Liste der TOM nicht für alle Risiken eine passende Maßnahme bereithält. Hier bietet sich insbesondere die Kommunikation mit dem Informationssicherheits-Beauftragten oder dem Datenschutzbeauftragten an. Es sollte grundsätzlich sichergestellt werden, dass in Bezug auf die einzelnen Schutzziele und Prozessschritte kein hohes Risiko für die Betroffenen eintreten kann. Gemäß der hier referenzierten Risikomatrix würde das einem Risikowert von 12 und höher entsprechen.
Sobald die einzelnen Prozesse bewertet wurden und die einzelnen Nettorisikowerte vorliegen, kann die DSFA an diesem Punkt zum Abschluss gebracht werden. Nicht selten wird ein abschließender Mittelwert der erzielten Risiken gebildet und als Ergebnis der DSFA ausgegeben. Diese Vorgehensweise täuscht jedoch unter Umständen darüber hinweg, dass einzelne Schutzziele einem (zu) hohen Risiko ausgesetzt sind. Daher sollten kumulierte Werte nicht als Arbeits- und Bewertungsgrundlage herangezogen werden.
4. Das Nettorisiko
Im Ergebnis ist bei der Ermittlung des Nettorisikos eine Gegenüberstellung der Risikoszenarien mit den TOM verlangt. Diese wird regelmäßig zu einer Reduzierung der Eintrittswahrscheinlichkeit führen. Es ist dabei wichtig, dass die Zuordnung für alle Beteiligten logisch nachvollziehbar ist und die Maßnahmen auch in der Lage sind, das jeweilige Risiko zu minimieren.
Die Ergebnisse zum Nettorisiko sind prozess- und schutzzielbezogen zu würdigen. Eine einmalig durchgeführte DSFA sollte unter Berücksichtigung der technischen Entwicklungen regelmäßig ein Review erfahren. Insbesondere die Risikoszenarien können sich in kürzester Zeit ändern, denen wiederum mit entsprechenden Maßnahmen in der Liste der TOM begegnet werden kann.