Die Datenschutz-Grundverordnung und das Bundesdatenschutzgesetz folgen einem risikobasierten Ansatz. Dieser risikobasierte Ansatz spiegelt sich beispielsweise in der Datenschutz-Grundverordnung Art. 37, 39 sowie im Bundesdatenschutzgesetz § 7 wider. Dieser Ansatz bedeutet, dass Datenschutzbeauftragte oder Verantwortliche, falls ein Datenschutzbeauftragter nicht benannt werden musste, nicht in gleichem Maße alle datenschutzrelevanten Aspekte, Bereiche und Verarbeitungstätigkeiten zeitlich gleichermaßen berücksichtigen kann. Bereiche mit hoher Risikobehaftung müssen daher prioritär betrachtet werden. Gemäß Erwägungsgrund 76 Satz 1 der Datenschutz-Grundverordnung ist das konkrete Risiko in Abhängigkeit zur Eintrittswahrscheinlichkeit und Schwere der Auswirkung bzw. des möglichen Schadens zu bewerten. In Satz 2 wird darüber hinaus festgelegt, dass „das Risiko anhand einer objektiven Bewertung beurteilt werden sollen“.Durch diese Beurteilung wird festgestellt, ob die Datenverarbeitung ein Risiko oder ein hohes Risiko mit sich bringt.
Die Norm 31000 ist in drei Sprachen veröffentlicht. Entsprechend Beschluss des Normenausschusses wurde die ISO 31000:2018 in das deutsche DIN-Normenwerk als DIN ISO 31000:2018 „Risikomanagement – Leitlinien“ übernommen. Die ISO 31000 legt Grundsätze und allgemeine Leitlinien für das Risikomanagement dar und soll Organisationen unterstützen, eine grundsätzliche Risikomanagement-Strategie zu entwickeln, um Risiken effektiv zu identifizieren und abzuschwächen. Die Anwendung der ISO 31000 soll daher für den Organisationskontext angepasst werden. Sie ist auf keinen spezifischen Wirtschaftszweig oder Sektor ausgerichtet und soll grundsätzlich für das Management jedweder Risiken geeignet sein.
Vor dem Hintergrund der Forderung der Datenschutz-Grundverordnung nach objektiver Risikobeurteilung und dem Anspruch der ISO 31000 jedwedes Risiko durch den definierten Risikomanagement-Prozess betrachten zu können, widmet sich die vorliegende Arbeit der Fragestellung, ob und in wie weit die ISO 31000 ein geeignetes Mittel zur datenschutzrechtlichen Risikobewertung darstellt.
I Der Risiko-Begriff in der Datenschutz-Grundverordnung
In der Datenschutz-Grundverordnung findet sich keine explizite Definition des Begriffs „Risiko“, auch wenn an mehreren Stellen, wie bereits in der Einleitung dieser Arbeit dargelegt, ein risikobasierter Ansatz verfolgt wird. Der Begriff des Risikos wird außerdem in den Art. 32-35 der Datenschutz-Grundverordnung und in den Erwägungsgründen 75, 76, 89-91 sowie 94 verwendet. Per Definition wird unter dem Begriff „Risiko“ ein oder mehrere (potenzieller) Ereignisse mit negativen Auswirkungen verstanden. Die Erwägungsgründe 75 und 89 nennen konkrete Beispiele für mögliche Datenschutz-Risiken. In der Folge ist der Verantwortliche für die Durchführung der Risikoanalyse verpflichtet. Anhand des Ergebnisses der Risikoanalyse soll entschieden werden, ob und welche Maßnahmen zum Schutz der Betroffenen zu treffen sind.
Der Verantwortliche ist für die Durchführung der Risikoanalyse zuständig und soll anhand des Ergebnisses entscheiden, ob und welche Maßnahmen zum Schutz der Betroffenen zu treffen sind. Aus den Art. 24, 32 der Datenschutz-Grundverordnung und den Erwägungsgründen 74-78 resultieren folgende vier Anforderungen an den Verantwortlichen
- Identifikation der mit der Verarbeitung verbundenen Risiken,
- Risikoanalyse unter Berücksichtigung der Eintrittswahrscheinlichkeit und der Schwere der Folgen,
- Einordnung, ob es sich um ein Risiko oder ein hohes Risiko handelt und
- Risikobehandlung durch entsprechende Maßnahmen.
II Der Risikomanagement-Prozess nach ISO 31000
Kernidee der ISO 31000 ist die aktive und vorbeugende Vermeidung von Risiken. Im Kapitel 5 der ISO-Norm wird der Risikomanagement-Prozess beschrieben. Im Wesentlichen zielt das Risikomanagement auf folgende fünf Teilprozesse ab
- Festlegen des Scopes,
- Risikoidentifikation,
- Risikoanalyse,
- Risikobewertung und
- Risikobewältigung.
Dieser ist ein kontinuierlicher Prozess, der die permanente Anpassung an die aktuelle Situation der Organisation erfordert (PDCA-Prinzip).
Der Risikomanagement-Prozess für Datenschutzanforderungen
I Aufbau und Strukturierung
Die fünf Teilprozesse des Risikomanagements der ISO 31000 können wie folgt auf die Anforderungen an Verantwortliche aus der Datenschutz-Grundverordnung übertragen und angewendet werden.
| Teilprozess nach ISO 31000 | Anforderung der DS-GVO | |
| 1 | Festlegen des Scopes / Erstellen des Zusammenhangs | Scope: DS-GVO |
| 2 | Risikoidentifikation | Identifikation der mit der Verarbeitung verbundenen Risiken |
| 3 | Risikoanalyse | Risikoanalyse unter Berücksichtigung der Eintrittswahrscheinlichkeit und der Schwere der Folgen |
| 4 | Risikobewertung | Einordnung ob es sich um ein Risiko oder ein hohes Risiko handelt |
| 5 | Risikobewältigung | Risikobehandlung durch entsprechende Maßnahmen |
Tabelle 1: Gegenüberstellung und Referenzierung der Teilprozesse des Risikomanagements nach ISO 31000 und den Anforderungen der Datenschutz-Grundverordnung
Es zeigt sich, dass die Teilprozesse des Risikomanagements nach ISO 31000 auf die Anforderungen der Datenschutz-Grundverordnung übertragen werden können. Da die ISO 31000 auf keinen spezifischen Wirtschaftszweig oder Sektor ausgerichtet ist, lässt sich durch die Organisation der Anwendungsbereiche (scope) auch auf die Datenschutz-Grundverordnung festlegen. Dadurch werden die Rahmenbedingungen und die damit verbundenen Parameter definiert. Hierbei sollen insbesondere interne und externe Bedingungen berücksichtigt werden. So wird der Zusammenhang zwischen den Prozess-Schritten der ISO-Norm und den datenschutzrechtlichen Bedingungen hergestellt. Die nachfolgenden vier Teilprozesse der ISO-Norm sind, bis auf terminologische Abweichungen, inhaltlich deckungsgleich zu den aus der Datenschutz-Grundverordnung resultierenden Anforderungen.
Es kann festgehalten werden, dass die ISO 31000 von Aufbau und Struktur zur Bewertung von Datenschutzrisiken herangezogen werden kann.
II Teilprozesse
a Einbindung des obersten Managements
Da die Ergebnisse einer Risikobeurteilung und auch der ggf. notwendigen Risikobehandlung abgestimmt und zu bestätigen sind, ist es zwingend erforderlich, das oberste Management in das Risikomanagement einzubeziehen. Hierzu sollte die Organisationsleitung in einem Grundsatzdokument oder einer Erklärung definieren, worin die Ziele und die Verpflichtung des Risikomanagements bestehen.
b Festlegung der Verantwortlichkeiten, Befugnissen und Rechenschaftspflichten
Für das Risikomanagement sollte ein Projektteam benannt werden. Diesem Team müssen durch die Organisationsleitung die notwendigen und erforderlichen Kompetenzen und Ressourcen zugewiesen werden. Gleichzeitig sollte die Organisationsleitung auch Rechenschaftspflichten definieren, da diese wiederum als Nachweise für die Rechenschafts- und Dokumentationspflichten entsprechend Art. 5 Datenschutz-Grundverordnung dienen können. Hierzu können bspw. folgende Dokumententypen herangezogen werden:
- regelmäßige Gesprächs- und Sitzungsprotokolle
- Wirksamkeitsprüfungen, z. B. durch interne oder externe Auditierung
- interne Richtlinien
- Schulungsnachweise
Es bietet sich an, diese Dokumente und Nachweise zentral und systematisch zu erfassen und abzulegen.
c Anwendungsbereich festlegen
Wie bereits erwähnt, wird der Anwendungsbereich im vorliegenden Betrachtungsfall auf den Datenschutz gelegt. Neben dieser Festlegung müssen die Kategorien von Betroffenen festgelegt und in den folgenden Schritten betrachtet werden und darüber hinaus relevante Datenschutzanforderungen und mögliche Anwendungsbereich identifiziert werden.
Folgende Datenschutzanforderungen kommen in Betracht:
- Anforderungen aus internationalem oder nationalem Gesetz
- Gerichtsentscheidungen
- Verordnungen
- Vertragliche Vereinbarungen (z. B. Auftragsverarbeitungen)
- Geschäftsanforderungen (z. B. Codes of Conduct, Industrie-Standards)
- Internes Kontrollsystem (IKS)
Mögliche Anwendungsbereiche:
- Geschäftsprozesse
- Einmalige Aktionen oder Vorgaben der verantwortlichen Stelle
- IT-Infrastruktur
Für die Identifizierung der möglichen Anwendungsbereiche ist es empfehlenswert, dass vorhandene Verfahrensverzeichnis als Basis zu nutzen.
d Risikoidentifikation
Das Standard-Datenschutzmodell der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder benennt sieben Gewährleistungsziele (Datenminimierung, Verfügbarkeit, Integrität, Vertraulichkeit, Transparenz, Nichtverkettung und Intervenierbarkeit) und überführt mit Hilfe dieser Gewährleistungsziele die rechtlichen Anforderungen aus Art. 32 der Datenschutz-Grundverordnung. Als „klassische“ Gewährleistungsziele der Datensicherheit gelten
- Verfügbarkeit,
- Integrität und
- Vertraulichkeit.
An dieser Stelle wird lediglich auf die ausführlichen Erläuterungen der Begriffe im Standard-Datenschutzmodell hingewiesen. Diese drei Gewährleistungsziele wurden ursprünglich für den Bereich der IT-Sicherheit formuliert und beschreiben Anforderungen an einen sicheren Betrieb. Diese finden sich aus diesem Grund im Hauptdokument der ISO/IEC 27001 wieder und werden auch Grundwerte der Informationssicherheit genannt.
Auch unter datenschutzrechtlichen Aspekten müssen Organisationen ihre Geschäftsprozesse vor Angriffen schützen, wenn personenbezogene Daten von den betrachteten Geschäftsprozessen berührt werden. Aus diesem Grund definiert das Standard-Datenschutzmodell folgende Gewährleistungsziele, die auf den spezifischen Schutzbedarf natürlicher Personen ausgerichtet sind
- Nichtverkettung,
- Transparenz und
- Intervenierbarkeit
Die ausführlichen Erläuterungen sind im Standard-Datenschutzmodell auf Seite 15f. nachzulesen.
| Datenminimierung | Verfügbarkeit | Integrität | Vertraulichkeit | Nichtverkettung | Transparenz | Intervenierbarkeit |
| 5 I c), 5 I e), 25, 32 | 5 I e), 13, 15, 20, 25, 32 | 5 I f), 25, 32, 33 | 5 I f), 25, 28 IIIb), 29, 32 | 5 I c),5 I e), 17, 22, 25, 32 I a), 40 II d) | 5 I a), 13, 14, 15, 19, 25, 30, 32, 33, 40, 42 | 5 I d), 5 I f), 13 II c), 14 II d), 15 I e), 16, 17, 18, 20, 21, 25, 32 |
Tabelle 2: Zuordnung der Artikel der Datenschutz-Grundverordnung zu den Gewährleistungszielen
| Datenminimierung | Verfügbarkeit | Integrität | Vertraulichkeit | Nichtverkettung | Transparenz | Intervenierbarkeit |
| 28, 29, 30, 39, 78, 156 | 49, 78, 83 | 39, 49, 78, 83 | 39, 49, 78, 83 | 31, 32, 33, 39, 50, 53, 71, 78 | 32, 39, 42, 58, 60, 61, 63, 74, 78, 84, 85, 86, 87, 90, 91, 100 | 39, 59, 65, 66, 67, 68, 69, 70, 78 |
Tabelle 3: Zuordnung der Erwägungsgründe der Datenschutz-Grundverordnung zu den Gewährleistungszielen
Die möglichen Risikoquellen, Assets, Bedrohungen und Schwachstellen können durch Interviews oder Workshops mit relevanten Verantwortlichen identifiziert werden.
e Risikoanalyse
Zu Beginn der Risikoanalyse werden in einer Bestandsaufnahme alle Maßnahmen zur Sicherung der Gewährleistungsziele identifiziert und dokumentiert. Anschließend werden die Bedrohungen und dazugehörigen Auslöser einer Bedrohung (Risikoquellen) bestimmt. Die Risikoquellen können in interne, externe oder sonstige unterschieden werden. Zusätzlich kann die Stufe der Motivation bei internen oder externen Risikoquellen angenommen werden. Die folgende Abbildung zeigt eine Möglichkeit zur Identifikation und Dokumentation von Risikoquellen.
Nachfolgend werden den Ereignissen mögliche Auswirkungen bei Eintritt mit Hinblick auf die Gewährleistungsziele und die entsprechende Risikoquelle zugeordnet und dokumentiert.
Auf die Assets können verschiedene Bedrohungen einwirken, z. B.
- Unangemessener Gebrauch
- Überwachung,
- Überlastung,
- Manipulation,
- Beschädigung,
- Veränderung oder
- Verlust.
In der Literatur werden in der Regel vier Risikostufen von Eintrittswahrscheinlichkeiten und Schwere von Auswirkungen unterschieden. Diese unterscheiden sich zwar u. U. terminologisch, sind jedoch gleich kategorisierbar. Das Bayrische Landesamt für Datenschutzaufsicht führt in einem Beispiel einer Risikomatrix folgende Begriffe, diese folgen den Begrifflichkeiten der ISO/IEC 29134:
| Grade | Auswirkung | Eintrittswahrscheinlichkeit |
| 1 | vernachlässigbar | vernachlässigbar |
| 2 | eingeschränkt | eingeschränkt |
| 3 | signifikant | signifikant |
| 4 | maximal | maximal |
Tabelle 4: Übersicht der Schwere-Grad für Eintrittswahrscheinlichkeiten und Auswirkung
Entsprechend Erwägungsgrund 75 der Datenschutz-Grundverordnung kann eine Verarbeitung zu physischen, materiellen und immateriellen Schäden führen. Darunter wird beispielsweise verstanden:
- Diskriminierung
- Identitätsdiebstahl
- finanzieller Verlust
- Rufschädigung
- Hinderung der Kontrolle über eigene Daten
- Profilbildung mit Standortdaten
Im Sinne der eingangs genannten Forderung aus Erwägungsgrund 76 Satz 2 nach einer „objektiven Bewertung“ empfiehlt es sich, je nach Schadenarts und Risiko-Niveau nachvollziehbare Kriterien und Beispiele zu definieren sowie unterschiedliche Betroffenengruppen zu betrachten. All diese Punkte sollten einerseits für eine mögliche Wiederverwendung im Rahmen weiterer Risikoanalysen und andererseits für die Nachvollziehbarkeit und Wiederholbarkeit der Risikobeurteilung dokumentiert und gespeichert werden. Dies hat besondere Bedeutung, da der Gesetzgeber kein bestimmtes Verfahren zur Durchführung einer Risikoabschätzung vorsieht.
f Risikobewertung
In der Datenschutz-Grundverordnung werden dem Verantwortlichen Pflichten für verschiedene Fälle auferlegt. Nachdem in der Risikoanalyse die Eintrittswahrscheinlichkeiten und die Auswirkung und Schwere möglicher Schäden betrachtet und dokumentiert wurden, müssen diese nun bewertet werden. Der Gesetzgeber hat in Art. 24 der Datenschutz-Grundverordnung keine festen Risikostufen definiert. Entsprechend des Erwägungsgrundes 76 Satz 2 ist jedoch festzustellen, ob in einer Verarbeitung „ein Risiko oder ein hohes Risiko“ besteht. Wie bereits im Teil B dieser Ausarbeitung festgestellt, findet sich diese Differenzierung in der gesamten Datenschutz-Grundverordnung wieder. Es bietet sich daher eine Abstufung der Risiken in
- geringes Risiko,
- Risiko und
- hohes Risiko an.
Die einzelnen Risiken werden in eine Risikomatrix übertragen. Bei der Risikomatrix handelt es sich um eine schematische Darstellung für die visuelle Einordnung von Risiken. In der Literatur findet man verschiedene Beispiele für Risikomatrizen. Diese unterscheiden sich in ihrer Darstellung insoweit, dass diese entweder fließenden Abstufung oder einer starren Abstufung der Stufen beinhalten. Die folgende Abbildung zeigt eine Risikomatrix mit starrer Abstufung, die in der Literatur häufiger Verwendung findet. Nach Ansicht von Lang ist jedoch eine fließende Stufendarstellung besser geeignet, da eine starre Abstufung weder der Realität entspricht noch für die Einordung von Grenzfällen zielführend ist. Aus diesem Grund kann es angemessen sein, die mathematische Grenze für ein hohes Risiko in der folgenden Abbildung bei >= 10 anzusetzen.
g Risikobewältigung
Grundsätzlich sieht der Prozess des Risikomanagements immer den Teilprozess Risikobewältigung oder Risikobehandlung vor. Entsprechend der Datenschutz-Grundverordnung muss lediglich ein „hohes Risiko“ behandelt bzw. mit der Aufsichtsbehörde abgeklärt werden. Es empfiehlt sich jedoch, bereits Maßnahmen für normale Risiken zu betrachten und ggf. umzusetzen, da sich ein Gesamtrisiko immer aus einer bekannten und einer unbekannten Größe zusammensetzt. Die Risikobewältigung kennt vier grundsätzliche Strategien zur Behandlung eines Risikos:
- vermeiden -> die Verarbeitungstätigkeit wird nicht durchgeführt
- vermindern -> es werden geeignete Maßnahmen vom Verantwortlichen ergriffen, um das Risiko zu verringern
- verlagern -> das Risiko wird abgewälzt, z. B. durch Abschluss einer Versicherung
- akzeptieren -> am Ende des Prozesses, muss ein verbleibendes Restrisiko immer durch den Verantwortlichen getragen werden
Der Verantwortliche ist verpflichtet geeignete technische und organisatorische Maßnahmen festzulegen, um die Rechte und Freiheiten natürlicher Personen angemessen zu gewährleisten. Hierbei ist Art. 32 DS-GVO vom Verantwortlichen zu beachten, eine nicht abschließende, beispielhafte Auflistung enthält Art. 32 Abs. 1 Satz 1 Hs. 2 DS-GVO. Außerdem bietet das Standard-Datenschutz-Modell einige allgemeine Beispiele an und stellt für die Zukunft einen Maßnahmenkatalog als Bestandteil des Standard-Datenschutz-Modell in Aussicht.
Fazit
Die ISO 31000 definiert allgemeine Prozess-Schritte, um Risiken zu identifizieren, zu dokumentieren, zu bewerten und zu behandeln. Diese Handlungsabläufe lassen sich auf den Kontext „Datenschutz-Recht“ übertragen und anwenden. Der Vorteil liegt aus Sicht des Autors vor allem in der Objektivität, die ein nach ISO 31000 durchgeführtes Risikomanagement mit sich bringt. Die Dokumentationspflicht der Risikobewertung ergibt sich aus Art. 24 Abs. 1 DS-GVO, darüber hinaus fordert – wie eingangs erwähnt – Erwägungsgrund 76 Satz 2 eine objektive Bewertung des Risikos. Durch die Festlegung nachvollziehbarer und wiederverwendbarer Kriterien wird die Risikobewertung auch für Dritte transparent. Dies ist von enormer Bedeutung, da der Nachweis in erster Linie gegenüber Aufsichtsbehörden zu führen ist, aber bei Streitigkeiten auch in gerichtlichen Verfahren relevant werden.
Literatur
- Bindig, Jan: Das IT-Security Mindset: Der Mittelstand auf dem digitalen Prüfstand, München 2019
- Bitkom e.V. (Hrsg.): Risk Assessment & Datenschutz-Folgenabschätzung. Leitfaden. Berlin 2017
- Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): IT-Grundschutz Arbeitshandbuch, DIN ISO/IEC 27001, DIN ISO/IEC 27002, BSI-Standards 200-1/2/3. 2. akt. Aufl., Berlin 2017
- Brühwiler, Bruno: Risikomanagement nach ISO 31000 und ONR 49000: Mit 13 Praxisbeispielen, 2. Aufl., Wien 2012
- Harich, Thomas W.: IT-Sicherheitsmanagement: Praxiswissen für IT Security Manager, 2. Aufl., Frechen 2018
- Herdmann, Frank: Drei Schritte zum effektiven und effizienten Risikomanagement nach DIN ISO 31000, Berlin 2018
- Illetschko, Sabine / Käfer, Roman / Spatzierer, Klaus: Risikomanagement: Praxisleitfaden zur integrativen Umsetzung, München 2014
- Müller, Norbert / Arenz, Thomas: Sichere Lagerung gefährlicher Stoffe: von der Theorie zur Praxis, 6. Aufl., Heidelberg, München, Landsberg, Frechen, Hamburg 2011
- Paal, Boris P. / Pauly, Daniel A. (Hrsg.): Datenschutz-Grundverordnung, Bundesdatenschutzgesetz, 2. Aufl., München 2018
- Taeger, Jürgen / Gabel, Detlev (Hrsg.): DSGVO, BDSG, 3. neu bearb. und erw. Aufl., Frankfurt a. M. 2019
- Weis, Udo: Risikomanagement nach ISO 31000 – Risiken erkennen und erfolgreich steuern, 2. Aufl., Kissing 2011
Quellen
- Art.-29-Datenschutzgruppe, WP 243 rev.01 „Leitlinien in Bezug auf Datenschutzbeauftragte“, https://www.bfdi.bund.de/SharedDocs/Publikationen/DokumenteArt29Gruppe_EDSA/Guidelines/WP243_DPO_DE.pdf (11.08.2019)
- Bayrisches Landesamt für Datenschutz (2017) (Hrsg.): Datenschutz-Folgenabschätzung (DSFA) – Art. 35 DS-GVO, https://www.lda.bayern.de/media/baylda_ds-gvo_18_privacy_impact_assessment.pdf (11.08.2019)
- CNIL (2018): Privacy Impact Assessment (PIA) 1: Methodology https://www.cnil.fr/sites/default/files/atoms/files/cnil-pia-1-en-methodology.pdf (11.08.2019)
- CNIL (2018): Privacy Impact Assessment (PIA) 2: Template. https://www.cnil.fr/sites/default/files/atoms/files/cnil-pia-2-en-templates.pdf (11.08.2019)
- CNIL (2018): Privacy Impact Assessment (PIA) 3: Knowledge bases. https://www.cnil.fr/sites/default/files/atoms/files/cnil-pia-3-en-knowledgebases.pdf (11.08.2019)
- DIN ISO 31000:2018-10 Risikomanagement – Leitlinien, 2018
- DS-GVO 2018: EU-Datenschutz-Grundverordnung vom 25.05.2018
- DSK (2018) (Hrsg.): Kurzpapier 18. Risiko für die Rechte und Freiheiten natürlicher Personen. https://www.lda.bayern.de/media/dsk_kpnr_18_risiko.pdf (11.08.2019)
- ISO 31000:2018-02 Risk management – Guidelines, 2018
- Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Hrsg.): Das Standard-Datenschutzmodell.Eine Methode zur Datenschutzberatung und -prüfung auf der Basis einheitlicher Gewährleistungsziele – V1.1 Erprobungsfassung 2018
