Muster für eine Risikoanalyse nach DSGVO

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Bei der Risikoanalyse nach DSGVO gibt es einige wichtige Punkte zu beachten. Grundsätzlich ist zwischen der Datenschutz-Folgenabschätzung an sich und der Notwendigkeit (Risikoanalyse) dieser, zu unterscheiden. Denn oft verarbeiten Unternehmen gar keine Daten, die einer DSFA bedürfen. Dann muss aber trotzdem dokumentiert werden, dass es keiner DSFA bedarf (Negativ-Einschätzung). Dieser Artikel soll zeigen, wie man eine Risikoanalyse erstellt.

Sie erfahren:

  • Was der Unterschied zwischen einer Risikoanalyse und einer DSFA ist,
  • was ein Muster für eine Risikoanalyse sein kann,
  • was zu tun ist, wenn Sie doch die Pflicht trifft, eine DSFA durchzuführen,
  • welche Praxisbeispiele es zum Thema Risikoanalyse nach Datenschutz-Grundverordnung gibt,
  • was häufige Fragen zum Thema Risikobeurteilung nach Datenschutzrecht sind.

Einordnung der Risikoanalyse und DSFA in die Datenschutz Dokumentation nach DSGVO

Neben der Dokumentation der TOM und der Verfahren, nimmt auch die Risikoanalyse und die DSFA eine wichtige Rolle ein. Allerdings muss klar zwischen der eigentlichen DSFA und einer Risikoabschätzung unterschieden werden.

Darüber hinaus ist eine DSFA um so einfacher aufzustellen, je gründlicher das Verzeichnis von Verarbeitungstätigkeiten und die TOM ausgearbeitet wurden. Anhand der Verfahren im Verfahrensverzeichnis kann nämlich relativ schnell ermittelt werden, ob eine DSFA überhaupt notwendig wird.

Es ist also folgendes Muster-Vorgehen anzuwenden:

  1. Verzeichnis von Verarbeitungstätigkeiten erstellen.
  2. Technische und organisatorische Maßnahmen überprüfen, ggf. verbessern, implementieren und dokumentieren.
  3. Risikobeurteilung für jedes Verfahren anhand der Informationen über die Betroffenen und deren Daten erstellen.
  4. Ggf. Datenschutz-Folgenabschätzung erstellen.

Vorlage zur Vorgehensweise bei Risikobeurteilung und Datenschutz-Folgenabschätzung

Vorab ist zu sagen, dass immer ein anerkanntes Modell zur Risikobeurteilung eingesetzt werden sollte. Hierzu bieten sich z.B. ISO/IEC 29134:2017, ISO 31000 oder offizielle Richtlinien der Behörden an. Unsere Formulare zur Datenschutz-Folgenabschätzung orientieren sich an den “Guidelines on Data Protection Impact Assessment (DPIA) (wp248rev.01)” der Artikel-29-Datenschutzgruppe (G29) und an der Liste von Verarbeitungsvorgängen gemäß Artikel 35 Abs. 4 DSGVO vom Bayerischen Landesbeauftragten für den Datenschutz.

Die Erstellung kann dann z.B. in Excel oder Word erfolgen. In unseren Vorlagenpaketen wird die Risikoanalyse direkt im Anschluss an die Ermittlung der Verfahren erledigt.

Definition Risiko nach DSGVO und Klassifizierungen

In Erwägungsgrund 75 der DSGVO wird ein guter Anhaltspunkt zur Risikobeurteilung gegeben. Das Risiko sollte anhand der schwere des Schadens (also der Schutzbedarf) und der Eintrittswahrscheinlichkeit eingeschätzt werden. Grob kann Risiko im Sinne der DSGVO also ähnlich wie nach ISO auch mit der Formel „Schutzbedarf x Eintritttswahrscheinlickeit = Risiko“ definiert werden.

Schutzbedarf und Eintrittswahrscheinlichkeit können dabei z.B. in vier Stufen (Klassifizierungen) eingeteilt werden: „niedrig“, „mittel“, „hoch“ und „sehr hoch“.

Die DS-GVO nennt im Erwägungsgrund 75 einige konkrete Risiken:

  • physischer, materieller oder immaterieller Schaden,
  • Diskriminierung,
  • Identitätsdiebstahl oder -betrug,
  • finanzieller Verlust,
  • Rufschädigung,
  • andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile,
  • oder wenn die betroffene Person um ihre Rechte und Freiheiten gebracht werden könnte.

Das Mustervorgehen zur Risikoabschätzung nach EU-Datenschutz-Grundverordnung

  1. Alle Verarbeitungstätigkeiten sollten gem. DSGVO fertig dokumentiert sein, schließlich sind diese die Grundlage für alles.
  2. Fragen Sie sich bei jeder Verarbeitungstätigkeit: Wie hoch ist der Schutzbedarf? Wie sensibel sind die Daten für den Betroffenen?
  3. Fragen Sie sich bei jeder Verarbeitungstätigkeit: Wie hoch ist die Eintrittswahrscheinlichkeit? Wie interessant sind die Daten überhaupt für einen Dritten (z.B. Hacker)?
  4. Fragen Sie sich bei jeder Verarbeitungstätigkeit: Entspricht die Verarbeitung den von der „Datenschutzgruppe nach Artikel 29“ (G29) festgelegten Kriterien?
    1. Bewerten oder Einstufen  (z.B. Scoring, Profiling, Evaluation)
    2. Automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung
    3. Systematische Überwachung
    4. Vertrauliche Daten oder höchst persönliche Daten  (besondere Kategorien personenbezogener Daten im Sinne von Artikel 9 DSGVO)
    5. Datenverarbeitung in großem Umfang
    6. Abgleichen oder Zusammenführen von Datensätzen (Insbesondere, wenn die Individuen dies nicht erwarten)
    7. Daten zu schutzbedürftigen Betroffenen (z.B. Kinder, Arbeitnehmer)
    8. Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen (z.B. Biometrische Identifikation)
    9. Die betroffenen Personen an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrags hindert
  5. Schätzen Sie zu jedem Verfahren ein:
    1. Besteht ein hoher Schutzbedarf für den Betroffenen und / oder hohes Interesse Dritter an den Daten?
    2. Werden zwei oder mehr der G29-Kriterien erfüllt?
  6. Sollten sie bei 5. 1. und / oder 2. mit “Ja” antworten, sollten Sie wahrscheinlich eine DSFA durchführen.
  7. Entscheidungsfindung dokumentieren, z.B. direkt im Verzeichnis von Verarbeitungstätigkeiten.

Das Ergebnis der Risikoanalyse interpretieren

In den meisten Betrieben sollte keine DSFA notwendig sein, da sie keine der in 5. genannten Kriterien erfüllen. Trotzdem muss die Entscheidungsfindung dokumentiert werden!

Ein Sonderfall tritt ein, wenn nur eine der drei folgenden Beschreibungen auf die Verarbeitungstätigkeit zutrifft (Quelle: Artikel 35 Abs. 3 DSGVO):

  • systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die
    sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als
    Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen
    entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;

  • umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß
    Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen
    und Straftaten gemäß Artikel 10 und

  • systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.

Dann ist nämlich auf jeden Fall eine DSFA durchzuführen.

Was zu tun ist, wenn Sie ein Data Protection Impact Assessment (DPIA) durchführen müssen

Sollte Ihre Risikoanalyse ergeben, dass Sie eine DSFA durchführen müssen, sollten Sie sich überlegen, sich beraten zu lassen. Denn ggf. kommen auf Sie umfangreiche Sicherungspflichten zu. Es gilt: desto schützenswerter die Daten, desto höher die Anforderungen an die TOM und an ihr gesamtes Datenschutzkonzept. Ggf. ist sogar eine Konsultation mit den Aufsichtsbehörden notwendig, welche gut vorbereitet werden muss. Die Französische Datenschutzbehörde hat ein eigenes Programm entwickelt, um eine DSFA selbst durchzuführen. Sollten Sie sich also trotzdem daran versuchen wollen, folgen Sie diesem Link.

Kamera, hier ist eine DSFA notwendig eine Risikoanalyse sowieso.

Praxis Beispiele für eine Risikoanalyse zur Datenschutz-Folgenabschätzung

Hier sollen einige Beispiele zeigen, wie das oben genannte Muster anzuwenden ist.

Versand von Werbenachrichten einer Kaffeerösterei über einen Newsletter per E-Mail

  • Schutzbedarf: niedrig.
    Ein Veröffentlichen von Mailadressen wäre zwar nicht schön für die Betroffenen, aber auch nicht bedrohlich. Anders wäre es hier, wenn es sich um einen Newsletter einer Gruppe der “Anonymen Alkoholiker” handelt.
  • Eintrittswahrscheinlichkeit: mittel.
    Ein Interesse von Dritten besteht (Stichwort “Spam”), aber dieses ist nicht außergewöhnlich hoch.
  • G29 Kriterien: Ggf. Datenverarbeitung in großem Umfang (wenn mehr als 5 Mio. Betroffene oder 40% einer Personengruppe)
  • Es ist davon auszugehen, dass keine DSFA durchzuführen ist.

Pflege einer Kundendatei eines Versandhändlers für Tiernahrung

  • Schutzbedarf: niedrig.
    Ein Veröffentlichen von Mailadressen wäre zwar nicht schön für die Betroffenen, aber auch nicht bedrohlich.
  • Eintrittswahrscheinlichkeit: niedrig.
    Welcher Kunde welche Tiernahrung kauft ist von keinem großen Interesse für Dritte.
  • G29 Kriterien: keine.
  • Es ist davon auszugehen, dass keine DSFA durchzuführen ist

Urlaubsplanung in Excel im Handwerksbetrieb

  • Schutzbedarf: mittel.
    Personaldaten sind natürlich schützenswert, allerdings sind Informationen über Urlaubszeiten nicht wirklich kritisch für den Betroffenen. Außerdem ist (je nach Unternehmensgröße) der Umfang der Betroffenen nicht hoch.
  • Eintrittswahrscheinlichkeit: niedrig.
    Es gibt wahrscheinlich wenige Dritte, die Urlaubsdaten der Belegschaft interessieren.
  • G29 Kriterien: Daten zu schutzbedürftigen Betroffenen (z.B. Kinder, Arbeitnehmer).
  • Es ist davon auszugehen, dass keine DSFA durchzuführen ist

In der Praxis ist festzuhalten, dass die einzelnen Stufen zu begründen sind. In unseren Vorlagen erhalten Sie ausführliche Begründungen und Musterformulierungen!

Häufige Fragen zum Thema Risikoanalyse und DSGVO

Wo sollte ich die Risikoanalyse dokumentieren?

Grundsätzlich ist nicht vorgeschrieben, wo die Dokumentation zu erfolgen hat. Aus praktischen Gesichtspunkten ergibt sich allerdings die Empfehlung, das ganze direkt im Verzeichnis von Verarbeitungstätigkeiten zu dokumentieren und zu jeder Verarbeitungstätigkeit auch gleich ein Risikoprofil zu erstellen. In den Vorlagenpaketen wird die Risikoanalyse direkt mit den Verarbeitungstätigkeiten „abgehakt“ dieses Vorgehen hat sich in der Praxis bewährt.

Gibt es eine Pflicht zur Durchführung einer Risikoanalyse gem. Datenschutzrecht?

Indirekt ergibt sich die Pflicht aus Art. 32 DSGVO. Dort wird darauf verwiesen, dass die Sicherheitsmaßnahmen am Risiko auszurichten sind. Dementsprechend, muss eine Risikoanalyse durchgeführt werden, um z.B. die technischen und organisatorischen Maßnahmen entsprechend dem Risikoprofil zu wählen. Nicht zu vergessen ist auch die Rechenschaftspflicht des Verantwortlichen. Sie sind in der Bringschuld, Ihre Datenverarbeitungen umfangreich zu prüfen und zu dokumentieren, dabei kann eine ausführliche Risikoanalyse helfen.

Muss die Risikoanalyse in einem bestimmten Format erfolgen?

Nein, hier gibt es keine konkreten Vorgaben. Es bietet sich aber an, etablierte Systeme und Normen zu verwenden, z.B. ISO Normen oder Handreichungen der Aufsichtsbehörden.

Wann muss eine Datenschutz-Folgenabschätzung erfolgen?

Sie muss immer dann erfolgen, wenn ein hohes Risiko für die Rechte und Freiheiten der betroffenen Person im Raum steht. Dies ist anhand einer objektiven Risikoanalyse zu ermitteln. Dies ist nach Art. 35 DSGVO insbesondere dann der Fall, wenn große Mengen personenbezogener Daten verarbeitet werden und wenn systematische und umfassende Bewertung persönlicher Aspekte stattfindet. Darüber hinaus führen die Aufsichtsbehörden sog. Blacklists für Datenverarbeitungen, die auf jeden Fall eine DSFA benötigen.

Fazit: DSFA ist oft gar nicht nötig, aber die Entscheidungsfindung muss dokumentiert werden

Die Datenschutz-Folgenabschätzung hat einen wichtigen Platz in der Datenschutz Dokumentation im Unternehmen, allerdings werden die meisten Unternehmen mit einer gut begründeten Risikoeinschätzung arbeiten können und sich so absichern können. Eine Vorlage für eine Datenschutz-Folgenabschätzung, die so weit wie möglich vorausgefüllt ist und Erklärungen enthält, erhalten Sie in allen Kaufversionen unserer Tools.

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Quellen

https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236

https://dsgvo-gesetz.de/art-35-dsgvo/

https://dsgvo-gesetz.de/art-9-dsgvo/

https://dsgvo-gesetz.de/art-10-dsgvo/

https://dsgvo-gesetz.de/erwaegungsgruende/nr-75/

Nur für kurze Zeit!

DSGVO-Checkliste kostenlos*

Erstellt vom Datenschutzauditor (TÜV) inkl. Linksammlung zur DSGVO.

*Begrenzte Aktion, Normalpreis 49€ Netto