Risiko ist nicht gleich Risiko: So funktioniert eine Risikobewertung
Eine DSFA müssen Verantwortliche durchführen, wenn eine Risikobewertung ein hohes oder sehr hohes Risiko für die Betroffenen ermittelt. Maßgeblich für die Bewertung sind die Eintrittswahrscheinlichkeit und die Schwere des möglichen Schadens. Sie werden jeweils in „normal“, „hoch“ oder „sehr hoch“ klassifiziert. Beide Aspekte sind zur Bewertung notwendig, weil sie deutliche Auswirkungen nach sich ziehen.
Dies verdeutlicht das Beispiel einer Anschrift: Sie hat einen geringen Schutzbedarf, weil Personen üblicherweise kein Schaden entsteht, wenn diese öffentlich bekannt wird. Anders verhält sich dies bei Zeugen oder sogar verdeckten Ermittlern. Die Verknüpfung mit dieser zusätzlichen Eigenschaft führt sogar zu einem sehr hohen Schutzbedarf, da hierbei ein Datenmissbrauch die persönliche Unversehrtheit bedroht.
Um eine Einschätzung des Risikos zu ermöglichen, ist es in einem ersten Schritt sinnvoll, einen Blick auf alle etwaigen Risiken zu legen. Dafür müssen die verantwortlichen Personen Geschäftsprozesse durchleuchten, eingesetzte IT-Systeme hinterfragen und die Ergebnisse dokumentieren. Ergibt diese Risikobetrachtung ein voraussichtlich hohes Risiko, besteht die gesetzliche Verpflichtung, für die entsprechenden Verarbeitungen vorab eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen.
Eine DSFA dient dazu, potenzielle Risiken einer Verarbeitung personenbezogener Daten zu ermitteln und zu dokumentieren. Gleichzeitig werden die von der verantwortlichen Stelle zum Schutz dieser Daten getroffenen Maßnahmen bewertet. Idealerweise kommt man dabei zu dem Ergebnis, dass alle potenziellen Risiken durch die getroffenen Maßnahmen auf ein vertretbares Risikoniveau reduziert werden konnten. Sollte sich jedoch weiterhin ein hohes Risiko ergeben, müssen – falls möglich – die Schutzmaßnahmen verstärkt werden. Im ungünstigsten Fall kann es dazu kommen, dass trotz aller denkbaren umgesetzten Maßnahmen weiterhin ein hohes Risiko bei der Verarbeitung besteht. In diesem Fall muss entweder die Aufsichtsbehörde konsultiert oder die Verarbeitung eingestellt werden.
Darüber hinaus gibt es auch Daten mit einem hohen Schutzbedarf, der aus einem möglichen wirtschaftlichen oder gesellschaftspolitischen Ruin resultiert. Darunter fallen beispielsweise Steuerdaten, Personaldaten oder strafbare Handlungen.
Besonders aufmerksam müssen Verantwortliche nach EU-Richtlinien sein, wenn mindestens zwei als besonders riskant eingestufte Kriterien bei einem Datensatz erfüllt sind. Darunter fallen Scoring und Evaluierung, systematische Beobachtung und sensible Daten. Auch bei Datenverarbeitung in großem Umfang, automatisierter Entscheidung mit rechtlicher Wirkung oder Daten von besonders schutzbedürftigen Personen können spezifische Risiken entstehen. Äußerst vorsichtig müssen Verantwortliche auch dann sein, wenn Betroffene ohne die vorgeschaltete Datenverarbeitung nicht in der Lage wären, eine Dienstleistung oder ein Recht zu nutzen.
Zu den möglichen Schäden, die möglicherweise aus dem Datenmissbrauch resultieren, zählen Diskriminierung, Rufschädigung, Identitätsdiebstahl oder finanzieller Verlust sowie Profilbildung mit Standortdaten und die verhinderte Kontrolle über eigene Daten.
Maßnahmen können Risiko senken
Ein hoher Schutzbedarf allein führt jedoch nicht zu einem hohen Risiko: Die Eintrittswahrscheinlichkeit ist ein weiterer wichtiger Faktor. Wer die Eintrittswahrscheinlichkeit verringert, kann auch das Risikoniveau für sensible Daten reduzieren. Die ITEBO-Unternehmensgruppe ist Experte für Maßnahmen, die das Risiko senken – unabhängig davon, in welcher Stärke sie benötigt werden. Sie führt Datenschutzschulungen durch, entwickelt Notfallkonzepte und hilft dabei, klare und umsetzbare Regelungen zum Datenschutz zu etablieren. Außerdem schützt sie die Systeme ihrer Kunden durch moderne Maßnahmen wie Firewalls, Virenscanner oder Verschlüsselung und führt stetige Aktualisierungen durch.
Risikobewertung im Optimalfall vor Projektbeginn beachten
Vereinfacht heißt dies: Planen Sie die Einführung einer neuen Software, ist stets die Dimension des Datenschutzes mitzudenken. Vor Projektbeginn! Entsprechende DSFAs sind darüber hinaus in jedem Fall ratsam: Vorsorge ist auch im Kontext von Datenschutz stets besser als reaktives Handeln. Hierzu stellt Majid Cirousse fest: „Kunden unterschätzen nicht selten im Vorfeld von Softwareeinführungsprojekten die Zeit, welche für datenschutzrechtliche Belange eingeplant werden sollte. Projektverzögerungen und ungeplante Mehraufwände sind die Folge. Aufgrund unserer langjährigen Erfahrung im kommunalen Produktumfeld bieten wir eine umfassende Betreuung und gewährleisten die Berücksichtigung aller relevanten Datenschutzbelange.“
Datenschutzbehörden liefern schon im Vorfeld Orientierung
Für viele Arten der Datenverarbeitung müssen die Risikobewertungen nicht durchgeführt werden, weil das Risiko bereits als so hoch eingeschätzt werden kann, dass Schutzmaßnahmen obligatorisch sind. Klarheit bieten die sogenannten Blacklists, mit denen Aufsichtsbehörden für Datenschutz arbeiten. Auf diesen Blacklists sind alle Datenverarbeitungen vermerkt, die grundsätzlich ein hohes Risiko aufweisen. Bei diesen Verarbeitungstätigkeiten ist es unumgänglich, eine DSFA durchzuführen.
Gelegentlich veröffentlichen die Behörden zudem auch Whitelists, auf denen Verarbeitungsarten enthalten sind, die nie hochrisikobehaftet sind. Besonderheiten ergeben sich dabei durchaus auch in einigen kommunalen Handlungsfeldern: So gehören zu den Kriterien, bei denen zwingend eine DSFA durchgeführt werden muss, die Verarbeitungsvorgänge auf der gemäß Art. 35 Abs. 4 DSGVO von der niedersächsischen Aufsichtsbehörde veröffentlichten (Muss-)Liste. Auf dieser ist u. a. die Verarbeitung von Meldedaten enthalten.
„Unsere Fachberater/innen, IT-Admins und die verantwortlichen Projektleiter/innen stellen sich im Rahmen der Einführungsprojekte kommunaler Fachanwendungen ganz auf die Wünsche unserer Kunden ein. So ist es bereits vor Projektbeginn möglich, auf das gefragte Know-how der ITEBO-Datenschutzexperten zurückzugreifen“, stellt Frederik Domain, Servicebereichsleiter im Bereich Bürgermanagement II dar. „Für Kunden kann dabei die Projektleitung des Softwareeinführungsprojektes als Single Point of Contact fungieren. Ganz im Sinne des Kunden entfällt somit langwieriger Abstimmungsbedarf zwischen den unterschiedlichen Gewerken.“
_
Frederik Domain, Servicebereichsleiter Bürgermanagement II
ITEBO-Unternehmensgruppe als erfahrener Datenschutz-Experte für Kommunen
Die ITEBO-Unternehmensgruppe ist langjähriger erfahrener Dienstleister im Kontext kommunaler Fachanwendungen. Als Integrator und technischer Betriebsdienstleister unterschiedlicher Fachverfahren verfügt die ITEBO-Unternehmensgruppe neben dem datenschutzrechtlichen Know-how ebenfalls über die notwendige kommunale Prozess- und IT-Kenntnis. Die Synergieeffekte sind sofort spürbar: Kurze Dienstwege sowie eine enge Abstimmung innerhalb der ITEBO-Unternehmensgruppe bringen erlebbaren Kundenmehrwert und schaffen schon zu Beginn das gute Gefühl, „an alles gedacht zu haben“. Datenschutzrechtliche Handlungssicherheit beim Einsatz neuer IT-Systeme erzeugt größtmögliche Sicherheit für die Daten der Bürgerinnen und Bürger. Dadurch können Kommunen den anstehenden Überprüfungen ihrer Datenschutzmaßnahmen gelassen entgegensehen.
Container for the dynamic page
(Will be hidden in the published article)