Quelle: E&M
Wie Beschäftigte Risikobewertungen und Datenschutz-Folgenabschätzung möglichst effizient und routiniert durchführen können, erläutern Jost Eder, Thomas Schmeding und Karina Appelmann*.
Die Bewertung und Dokumentation von Datenschutzrisiken ist für viele Unternehmen nach wie vor herausfordernd und wird häufig als „lästige Übung“ empfunden. Aber auch die Energiebranche ist ein Ziel von Cyberangriffen, wie jüngst das Beispiel eines Ende 2021 stattgefundenen Hackerangriffs auf einen unter anderem für die Energiebranche tätigen Softwarehersteller und IT-Dienstleister zeigt. Hieran wird deutlich, dass die Bedeutung des Schutzes von (personenbezogenen) Daten stetig zunimmt. Daher stellt sich für jedes Unternehmen die Frage: Sind die personenbezogenen Daten angemessen geschützt?
Die Datenschutzgrundverordnung (DS-GVO) verpflichtet die Verantwortlichen, also insbesondere Unternehmen und Behörden, geeignete technische und organisatorische Maßnahmen zum Schutz der Daten umzusetzen (Art. 24, 32 DS-GVO) − das muss aber auch angemessen dokumentiert werden. Dazu müssen die Maßnahmen unter Berücksichtigung des Risikos, das für die Betroffenen durch die Datenverarbeitung besteht, nachweisbar angemessen sein. Diese Risikobewertung kann jedoch nicht ohne die Hilfe der Beschäftigten durchgeführt werden, die über das notwendige Prozesswissen verfügen. Die Aufgabe allein den Datenschutzbeauftragten zu überlassen, wäre zu kurz gesprungen.
Der Weg zu einer effizienten Risikobewertung
In einem ersten Schritt sind die Datenschutzrisiken (unbefugte Offenlegung, Veränderung, Verlust oder Überlastung) zu identifizieren, die bei der Datenverarbeitung bestehen. Sodann sind die Eintrittswahrscheinlichkeit und die mögliche Schwere des Schadens zu bewerten. Die Eintrittswahrscheinlichkeit wird für den Fall eines unbefugten Zugriffs und einer Offenlegung der Daten bei deren Aufbewahrung in einer Papierakte im Panzerschrank geringer sein als bei einer Aufbewahrung in elektronischer Form in einer Cloud.
Bei der Bewertung der Schwere des Schadens ist wesentlich, welche Auswirkungen für die betroffene Person (nicht das Unternehmen!) zu erwarten sind. Angenommen, die Cloud wird gehackt und die Daten werden im Internet veröffentlicht. Ist der Kunde hierdurch nur leicht verärgert oder kann Cybermobbing eine Folge sein? Die Einstufung der Schwere des Schadens hängt insbesondere von der Art, dem Umfang, den Umständen und dem Zweck der Verarbeitung, aber auch von der Art der verarbeiteten Daten ab. Anschließend ist zu prüfen, ob weitere technische und organisatorische Maßnahmen zur Bewältigung der Datenschutzrisiken ergriffen werden müssen, die Verarbeitung bestimmter Daten beendet wird, das Risiko auf Dritte transferiert oder akzeptiert wird.
Wann ist sogar eine Datenschutz-Folgenabschätzung erforderlich?
Mit der vorstehenden Risikobewertung ist es in einigen Fällen (leider) noch nicht getan. Kommen Verantwortliche etwa im Rahmen der Risikobewertung zu dem Ergebnis, dass die Datenverarbeitung voraussichtlich zu einem hohen Risiko für natürliche Personen führt, ist ergänzend eine Datenschutz-Folgenabschätzung (DSFA) vorzunehmen (Art. 35 DS-GVO).
Ziel einer DSFA ist es insbesondere, dass sich Verantwortliche über die Folgen von risikobehafteten Verarbeitungsvorgängen wie der Verwendung neuer Technologien Gedanken machen und das Risikopotenzial analysieren, bevor diese Verarbeitungsvorgänge durchgeführt werden. Die Risikoanalyse und -bewertung ist die Grundlage für die Umsetzung angemessener Schutzmaßnahmen. Der Verordnungsgeber definierte zudem einen Katalog mit Voraussetzungen, bei deren Vorliegen eine DSFA verpflichtend durchzuführen ist. Ferner legten die Datenschutzaufsichtsbehörden Listen mit einer Beschreibung von Verarbeitungsprozessen vor, bei denen voraussichtlich ein hohes Risiko besteht und daher ebenfalls eine DSFA durchzuführen ist.
Erleichterung durch die Nutzung von Arbeitshilfen
Die Durchführung von Risikobewertung und DSFA ist komplex und herausfordernd − aber gesetzlich verpflichtend vorgegeben. Beschäftigte und Verantwortliche benötigen dabei typischerweise Unterstützung etwa in Form einer Arbeitshilfe mit einer Einstufungstabelle zur Einschätzung der Eintrittswahrscheinlichkeit und Schwere des Schadens anhand von Beispielen. Risiken können so systematisch ermittelt und Ergebnisse nachvollziehbar dokumentiert werden. Sinnvoll sind auch Prüffragen oder die Festlegung von Kriterien, um festzustellen, ob eine DSFA durchzuführen ist.
Mit einer ausgefüllten Arbeitshilfe kann jedes Unternehmen den Nachweis der Erfüllung seiner Rechenschaftspflicht erbringen. Die Durchführung der Risikobewertung bietet den Unternehmen auch die Möglichkeit, Prozesse und Schwachstellen zu analysieren und hierdurch Prozesse zu optimieren. Zudem werden die Beschäftigten für Datenschutzthemen sensibilisiert. Erfolgt die Risikobewertung zum Beispiel im Rahmen der jährlichen Überprüfung des Verzeichnisses von Verarbeitungstätigkeiten, kann dieses direkt aktualisiert werden, sodass aus der „lästigen Übung“ ein produktives und routiniertes Vorgehen wird.
* Jost Eder, Thomas Schmeding, Karina Appelmann, Becker Büttner Held, Berlin, Hamburg, München
Mittwoch, 13.04.2022, 08:38 Uhr
Redaktion
© 2024 Energie & Management GmbH
