Datenschutz-Risikomanagement

Trennlinie

Datenschutz-Risikomanagement

Bei dem Aufbau eines Datenschutz-Managementsystems ist die Prägung des Managementsystems auf die Datenschutz-Grundsätze der Datenschutz-Grundverordnung (DSGVO) ein erfolgsentscheidender Faktor. Nur wenn alle Datenschutz-Grundsätze der DSGVO in das Managementsystem eingearbeitet sind, kann das Datenschutz-Managementsystem die Organisation vor Datenschutzverstößen schützen. Bei der Einarbeitung der Datenschutz-Grundsätze ist zu klären, welchen Umfang ein gefordertes Datenschutz-Risikomanagement hat, also welche Datenschutz-Grundsätze überhaupt risikoorientiert sind.

Ein Beitrag von Stephan Rehfeld, Geschäftsführer der scope & focus Service-Gesellschaft mbH, 29.6.2017.

Datenschutz-Grundsätze

Die Datenschutz-Grundverordnung kennt verschiedene Grundsätze für die Verarbeitung von personenbezogenen Daten:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Artikel 5 Abs. 1 lit. a)
  • Zweckbindung, Artikel 5 Abs. 1 lit. b)
  • Datenminimierung, Artikel 5 Abs. 1 lit. c)
  • Richtigkeit, Artikel 5 Abs. 1 lit. d)
  • Speicherbegrenzung, Artikel 5 Abs. 1 lit. e)
  • Integrität und Vertraulichkeit, Artikel 5 Abs. 1 lit. f)
  • Rechenschaftspflicht, Artikel 5 Abs. 2

Bis auf die Betroffenenrechte können alle Artikel der Kapitel 2-5 der DSGVO unter diese Datenschutz-Grundsätze subsumiert werden. Eine Ergänzung dieses Kanons um den Datenschutz-Grundsatz für die Betroffenenrechte wie „Persönliche Teilhabe und Zugang“ wurde vom europäischen Gesetzgeber anscheinend „vergessen“. Andere Rahmenwerke zum Datenschutz wie das OECD Privacy Framework oder auch die ISO 29100:2011 führen einen solchen Grundsatz explizit auf („Individual Participation Principle). Aus Gründen der Praktikabilität empfiehlt es sich die „Persönliche Teilhabe und Zugang“ in den Kanon der Grundsätze für das eigene Managementsystem zu übernehmen.

Datenschutz-Managementsystem

Fast alle aktuellen Management-Systeme der International Organization for Standardization (ISO) orientieren sich in ihrem Aufbau an der High Level Structure (HLS), die in dem ISO Guide 83  beschrieben ist. Die Struktur eines Qualitäts- (ISO 9001), Umwelt- (ISO 14001) oder Informationssicherheits-Managementsystems (ISO 27001) ist also identisch. Die konkrete Ausprägung des Managementsystems wird durch die zugrundeliegenden Grundsätze bestimmt. Beispielhaft seien hier die Grundsätze eines Datenschutz- und eines Informationssicherheits-Managementsystems gegenübergestellt:

Datenschutz-Managementsystem (DSMS)Informationssicherheits-Managementsystem
  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Artikel 5 Abs. 1 lit. a)
  • Zweckbindung, Artikel 5 Abs. 1 lit. b)
  • Datenminimierung, Artikel 5 Abs. 1 lit. c)
  • Richtigkeit, Artikel 5 Abs. 1 lit. d)
  • Speicherbegrenzung, Artikel 5 Abs. 1 lit. e)
  • Integrität und Vertraulichkeit, Artikel 5 Abs. 1 lit. f)
  • Rechenschaftspflicht, Artikel 5 Abs. 2
  • Persönliche Teilhabe und Zugang
  • Vertraulichkeit,
  • Integrität
  • Verfügbarkeit

Generell ist es also möglich, jedes Managementsystem, welches auf der High Level Structure basiert, mit einem Datenschutz-Managementsystem zu kombinieren, indem es durch die Datenschutz-Grundsätze und deren Implikationen erweitert wird. Dies ist auch ein Grund, warum die ISO kein eigenes Datenschutz-Managementsystem erarbeiten wird, stattdessen empfiehlt, ein Informationssicherheits-Managementsystem auf Basis der ISO 27001 an den Datenschutz anzupassen. Für diese Anpassung wiederum gibt die ISO Hilfestellung, zum Beispiel mit einem Leitfaden zum PIA (ISO 29134) oder datenschutzeigenen Maßnahmenkatalogen (ISO 27018 und ISO 29151).

Risikoorientierter Ansatz in der DSGVO

Wenn von dem risikoorientierten Ansatz der DSGVO geschrieben wird, muss die Frage gestellt werden, welche Datenschutz-Grundsätze risikoorientiert sind.

Die Datenschutz-Grundsätze oder –Prinzipien sind keine Erfindung der DSGVO. Sehr frühe Ansätze der Datenschutz-Grundsätze finden sich bereits in den OECD-Principles aus dem Jahr 1980.  Die OECD-Principles dienen auch zur Definition weltweit einheitlicher Datenschutz-Standards aus einer High-Level-Perspektive. Folgende Datenschutz-Grundsätze verwendet die OECD:

  • Collection Limitation Principle
  • Data Quality Principle
  • Purpose Specification Principle
  • Use Limitation Principle
  • Security Safeguards Principle
  • Openness Principle
  • Individual Participation Principle
  • Accountability Principle

Die OECD Privacy Principles sind in viele nationale Gesetze eingeflossen. Sie wurden allerdings nicht unter dem Aspekt der Risikoorientierung oder der Konkurrenz der Grundsätze untereinander ausgewählt.

Auf der einen Seite gibt es Datenschutz-Grundsätze mit einem binären Charakter, zum Beispiel die Rechtmäßigkeit. Ein Sachverhalt kann nur rechtmäßig oder nicht rechtmäßig sein. Der Grundsatz der Rechtmäßigkeit kann aber nicht risikoorientiert ausgelegt werden (der Sachverhalt ist mit einer Wahrscheinlichkeit von 80% rechtmäßig). Aus diesem Grund werden die Datenschutz-Prinzipen in dem Bitkom-Leitfaden zum Risk-Assessment und zur Datenschutz-Folgenabschätzung  in zwei Lager unterteilt:

 

Compliance-SichtRisiko-Sicht
  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Artikel 5 Abs. 1 lit. a)
  • Zweckbindung, Artikel 5 Abs. 1 lit. b)
  • Datenminimierung, Artikel 5 Abs. 1 lit. c)
  • Richtigkeit, Artikel 5 Abs. 1 lit. d)
  • Speicherbegrenzung, Artikel 5 Abs. 1 lit. e)
  • Integrität und Vertraulichkeit, Artikel 5 Abs. 1 lit. f)

Der Datenschutz-Grundsatz der Rechenschaftspflicht wiederum begleitet beide Sichtweisen.

Die Datenschutz-Grundsätze der Compliance-Sicht sind nicht risikoorientiert, anders als die Grundsätze der Risiko-Sicht.

International wird diese Auffassung geteilt und auch praktisch umgesetzt. So unterteilt die französische Aufsichtsbehörde (CNIL) ihren Maßnahmen-Katalog  in Maßnahmen (controls), die den Datenschutz-Grundsätzen der Compliance-Sicht zugeordnet werden können (Legal controls) und denen, die der Risiko-Sicht zugeordnet werden können (Organizational controls, Logical security controls, Physical security controls).

In dem Maßnahmen-Katalog wird von der CNIL darauf hingewiesen, dass die Legal controls verpflichtend (mandatory) sind und erfüllt werden müssen, während die risikoorientierten Maßnahmen einer Risikobehandlung unterzogen werden:

  • Risikovermeidung
  • Risikominderung
  • Risikoanerkennung
  • Risikoakzeptanz

Die Optionen der Risikobehandlung sind bei den binären Datenschutz-Grundsätzen der Compliance-Sicht logischerweise nicht möglich.

Datenschutz-Risikomanagement

Bei der Einrichtung eines Datenschutz-Risikomanagements gibt die ISO 31000 wertvolle Hinweise. Auf der einen Seite empfiehlt es sich auf Ebene des Management-Systems das Datenschutz-Risikomanagementsystem mit Hilfe einer Datenschutzrisiko-Leitlinie zu verankern. Ist bereits ein ISO 31000- oder ISO 27005-konformes Risikomanagement vorhanden sollte auf jeden Fall eine Integration der Systeme vorgenommen werden.

Der eigentliche Datenschutz-Risikomanagementprozess ist mit dem allgemeinen Risikomanagementprozess identisch und besteht aus fünf Schritten:

  • Risiken identifizieren
  • Risiken analysieren
  • Risiken bewerten
  • Risiken bewältigen
  • Risiken überwachen

Zur eigentlichen Methodik zur Berechnung des Datenschutzrisikos werden in der DSGVO nur sehr wenige Ausführungen gemacht. Diese Freiheit in der Auswahl der Risikomethode zur Berechnung des Datenschutzrisikos ist auch richtig, wenn die Anzahl der Methoden in der ISO 31010 betrachtet wird. Bei der Auswahl der Risikomethode müssen lediglich die gesetzlichen Restriktionen beachtet werden, die auch die Artikel 29-Gruppe in ihrem Working Paper  (Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679) nennt:

Risks can change as a result of change to one of the components of the processing operation (data, supporting assets, risk sources, potential impacts, threats, etc.) or because the context of the processing evolves (purpose, functionalities, etc.). Data processing systems can evolve quickly and new vulnerabilities can arise.

Diese Anforderungen werden durch die Methodiken erfüllt, die zum Beispiel die CNIL, die Bitkom  oder auch die ISO beschreibt.

Fazit

Für den Aufbau eines Datenschutz-Managementsystems ist die Prägung des Managementsystems auf alle Datenschutz-Grundsätze der DSGVO erfolgsentscheidend. Es sollte in Betracht gezogen werden, die Datenschutz-Grundsätze des Artikel 5 DSGVO durch den Grundsatz der „Persönlichen Teilhabe und des Zugangs“ zu ergänzen, also auch die Betroffenenrechte mit Hilfe der Datenschutz Grundsätze operationalisierbar zu machen.

Bei der Implementierung des Datenschutz-Risikomanagements ist es wichtig, zu verstehen, dass nicht alle Datenschutz-Grundsätze risikoorientiert sind. Nur die Datenschutz-Grundsätze der Vertraulichkeit und Integrität sind risikoorientiert. Ergänzt werden diese beiden Grundsätze in Artikel 28 DSGVO dann noch durch die Verfügbarkeit und Belastbarkeit. Andere Grundsätze haben einen binären Charakter und können nur verletzt oder eingehalten werden.