Datenschutz-Grundverordnung der Europäischen Union

Datenschutz-Grundverordnung
der Europäischen Union
Risikobasierter Datenschutz – eine Zwischenbilanz
im andauernden Trilog-Verfahren der EU
Christine Wohlwend
elleta AG, August 2015
Inhaltsverzeichnis
0.
Einleitung .......................................................................................................................................... 3
1.
Normative Verweise ......................................................................................................................... 3
2.
Allgemeines ...................................................................................................................................... 3
3.
Neuerungen in der Europäischen Union – Die Datenschutz-Grundverordnung ............................ 3
3.1
Privacy Impact Assessment (PIA) ........................................................................................... 5
4.
Risikomanagement und Risikoorientierung...................................................................................... 6
5.
Bestehende gesetzliche Verankerung des Risikomanagements .................................................... 7
6.
5.1
Sorgfaltspflichtgesetz .............................................................................................................. 7
5.2
Banken und Wertpapierfirmen, Versicherungsgesellschaften ................................................ 7
Gewährleistungsziele und damit zusammenhängende Datenschutzrisiken ................................... 8
6.1
Gewährleistungsziele .............................................................................................................. 8
6.1.1
Verfügbarkeit ....................................................................................................................... 9
6.1.2
Integrität ............................................................................................................................... 9
6.1.3
Vertraulichkeit ...................................................................................................................... 9
6.1.4
Transparenz....................................................................................................................... 10
6.1.5
Nichtverkettbarkeit ............................................................................................................. 10
6.1.6
Intervenierbarkeit ............................................................................................................... 10
6.2
Kombination von Datenschutz und Risikomanagement – Risk based Approach ................ 11
6.3
Datenschutz-Grundverordnung Grundlagen der Risikobewertung ....................................... 12
6.4
Restrisiko und Zusammenarbeit mit der Datenschutzstelle .................................................. 16
6.5
Kurzorientierung für Organisationen...................................................................................... 16
6.6
Geeignete technische und organisatorische Massnahmen .................................................. 18
6.7
Umfang der Risikobewertung ................................................................................................ 19
7.
Ausblick .......................................................................................................................................... 19
8.
Quellenverzeichnis ......................................................................................................................... 21
9.
Abbildungsverzeichnis.................................................................................................................... 23
0.
Einleitung
Das vorliegende Papier wurde im Auftrag der Liechtensteinischen Datenschutzstelle verfasst. Die
Datenschutzstelle beobachtet die Entwicklungen im Hinblick auf die Novellierung der europäischen
Datenschutzrichtlinie engmaschig. In diesem Zusammenhang wollte die Datenschutzstelle bereits
Entwicklungstendenzen, die sich sehr klar abzeichnen, vorwegnehmen und somit dem Standort
Liechtenstein bereits erste grundlegende Informationen zur geplanten Datenschutz-Grundverordnung
zur Verfügung stellen.
1.
•
•
•
•
•
•
•
2.
Normative Verweise
Datenschutzgesetz (DSG) vom 14. März 2002, LGBl 2002 Nr. 55
Verordnung zum Datenschutzgesetz (DSV) vom 09. Juli 2002
Verordnung über die Datenschutzzertifizierung (VDSZ) vom 10. Dezember 2013
Kriterienkatalog zur VDSZ vom 10. Dezember 2013
Richtlinien der Datenschutzstelle (DSS), welche auf der Internetseite der DSS unter
www.dss.llv.li veröffentlicht sind
ISO/IEC 27000 Normenreihe (IT Security Management)
ISO 31000 (Risikomanagement)
Allgemeines
Um die gesetzlichen Anforderungen an den Datenschutz in einem Unternehmen mit der Dynamik der
eigenen Services und Produkte am Markt zu vereinbaren, sind Datenschutzmassnahmen und
Datenschutzverfahren notwendig, die zielführende Ergebnisse liefern.
Das vorliegende Papier gibt erste praktische Hinweise im Zusammenhang mit der angekündigten
Datenschutzreform in der EU für Unternehmen in Liechtenstein. Es berücksichtigt aktuell bekannte
Entwicklungen und Beschlüsse aus dem andauernden Trilog-Verfahren zwischen der Europäischen
Kommission, dem Europäischen Rat und dem Europäischen Parlament.
3.
Neuerungen in der Europäischen Union –
Die Datenschutz-Grundverordnung
Die bestehende Datenschutzrichtlinie (95/46/EG) in der Europäischen Union befindet sich aktuell in
einem weit fortgeschrittenen Überarbeitungsstatus. In der Praxis der letzten 20 Jahre seit Bestehen
der Datenschutzrichtlinie hat sich herausgestellt, dass die Datenschutzvorgaben einerseits
unternehmerisch und ressourcentechnisch nicht gelebt werden und andererseits die viel wesentlichere
Auseinandersetzung mit der Risikoeintrittswahrscheinlichkeit im Unternehmen nicht erfolgt, zumal
alles als „gleich schwerwiegend“ vorgegeben wurde.
Nach 20-jährigem Bestehen der Richtlinie soll eine Verordnung, die sogenannten DatenschutzGrundverordnung, bestehende Lücken und Schwächen der gültigen Richtlinie weitestgehend
Risikobasierter Datenschutz
Seite 3 von 23
ausräumen und Unklarheiten in der Adaption schliessen. Somit würde der europäische Binnenmarkt
1
gestärkt und harmonisiert. Eine der weitreichendsten Konsequenzen dieser neuen DatenschutzGrundverordnung für Mitgliedsstaaten ist wohl die Tatsache, dass die Rechtsnorm auch ohne
Aufnahme in das nationale Recht der jeweiligen Mitgliedsstaaten direkt anwendbar und gültig sein
wird.
Mit
dieser
direkten
Anwendbarkeit
sollen
bestehende
Differenzen
in
nationalen
Datenschutzgesetzgebungen innerhalb der EU insofern behoben werden, als dass EU-weit nur noch
eine gemeinsam ausgearbeitete Rechtsgrundlage besteht. Der Handlungsspielraum der
Mitgliedsstaaten im Hinblick auf eine Abschwächung oder Verstärkung der Datenschutzregelungen im
nationalen Recht ist somit minimiert bzw. praktisch ausgeschlossen.
Die Datenschutz-Grundverordnung verfolgt einen neuen, risikobasierten Ansatz, wie er bisher nicht
gesetzlich vorgesehen war. Die Datenschutzfragen sollen künftig von einem „Verbotsprinzip“ hin zu
einer „Risikoorientierung“ entwickelt werden. Hauptkritikpunkt am sogenannten „Risk based Approach“
ist im Gegenzug der Vorwurf der Minimalisierung der Datenschutztätigkeiten auf grössere Risiken und
einzelne Stimmen verlangen das Weiterbestehen eines umfassenden personenbezogenen
2
Datenschutzes ohne Abschwächung einzelner Auswirkungen.
3
Aktuell gilt für Datensammlungen eine Meldepflicht bei der Datenschutzstelle, die nun nicht zuletzt
aufgrund fehlender Wirksamkeit abgeschafft werden soll. Meldepflichtig sollen nur noch Prozesse und
4
Verarbeitungen sein, bei denen ein hohes Risiko für den persönlichen Datenschutz besteht.
Als Ersatz soll die datenverantwortliche Stelle verpflichtet werden, im Vorfeld der geplanten
Datenverarbeitung Risikoanalysen und datenschutzrechtliche Folgenabschätzungen durchzuführen,
sogenannte Privacy Impact Analysen (siehe Kapitel PIA).
Erst im Falle eines hohen Risikos im Hinblick auf die Datenverarbeitung ist die Datenschutzstelle
künftig zu informieren, die wiederum nach Würdigung der Massnahmen beratend zur Seite stehen
kann.
Interessant festzuhalten ist hierbei, dass erstmals auch die Wirtschaftlichkeit im Setzen von
Massnahmen für den Datenschutz mit in die Vorlage eingeflossen ist. In Ziffer 66a) des Entwurfs
heisst es entsprechend „Where a data protection impact assessment indicates that processing
operations involve a high risk which the controller cannot mitigate by appropriate measures in terms of
available technology and costs of implementation, a consultation of the supervisory authority should
5
take place prior to the processing.”
Die bestehenden Risikoanalysen und die Auswirkungen der Datenverarbeitung auf den Datenschutz
einer Person sollen ferner analog zu einem unternehmensinternen Risikoprozess laufend aktualisiert
und auf Wirksamkeit hin geprüft werden.
1
Whitepaper zur geplanten „Datenschutz-Grundverordnung der Europäischen Union“, Stand 12. Juni 2014,
http://www.watchdogs.at/science/datenschutz-grundverordnung-der-europaeischen-union, abgerufen am 04.05.2015
2
http://www.cr-online.de/blog/2013/03/07/gute-nachrichten-aus-brussel-vom-verbotsprinzip-zur-risikoorientierung, abgerufen
20.03.2015
3
http://www.llv.li/#/1586/register-der-datensammlungen, abgerufen am 26.05.2015
4
Datenschutz-Grundverordnung, Entwurf 19.12.2014, Ziffer 70), 15395/14, http://amberhawk.typepad.com/files/dapix-text-eucouncil-dp-reg-december-2014.pdf, abgerufen am 21.03.2015
5
Datenschutz-Grundverordnung, Entwurf 19.12.2014, Ziffer 66a), 15395/14, http://amberhawk.typepad.com/files/dapix-text-eucouncil-dp-reg-december-2014.pdf, abgerufen am 21.03.2015
Risikobasierter Datenschutz
Seite 4 von 23
Diese neue Compliance-Anforderung ist dokumentations- und nachweispflichtig. Fehlt die
regelmässige Durchführung von Audits und Compliance-Massnahmen im Datenschutzumfeld eines
Unternehmens und kommt es gleichzeitig zu einer Datenschutzverletzung, so wirkt sich dies
strafverschärfend aus. Im Gegenzug dazu kann ein Unternehmen künftig bei nachweislich gesetzten
6
Compliance-Massnahmen dies strafmildernd geltend machen. Eine Möglichkeit dieses ComplianceNachweises wäre eine einschlägige Datenschutzzertifizierung und wird auch als solches im Entwurf
7
der Datenschutz-Grundverordnung genannt.
Zuwiderhandlungen gegen die Datenschutz-Grundverordnung sollen mit merklich höheren Strafen
versehen werden können, bis hin zu einem Höchstbetrag von 100 Millionen EUR oder bis zu 5 % des
8
Jahresumsatzes eines Unternehmens. Ob diese Regelung jedoch in dieser Höhe und Strenge
tatsächlich umgesetzt werden wird, hängt schliesslich von den noch andauernden Diskussionen im
Trilog mit den einzelnen beteiligten Gremien ab, dem Rat der Europäischen Union, dem Europäischen
Parlament und der Europäischen Kommission.
Obgleich die Datenschutz-Grundverordnung noch nicht in Kraft ist und somit noch keine Gültigkeit hat,
ist es für Unternehmen empfehlenswert, sich bereits heute mit den wesentlichen Änderungen der
Richtlinie vertraut zu machen, zumal die Implementierung eines Risikoprozesses im Bereich
Datenschutz nicht zuletzt auch erhebliche organisatorische und technische Folgen haben kann und
eine entsprechende Durchlaufzeit im Unternehmen benötigt.
3.1
Privacy Impact Assessment (PIA)
Unter dem Begriff Privacy Impact Assessment (PIA) werden verschiedenste Methoden und
Vorgehensweisen zusammengefasst, die proaktiv vor der Einführung und Nutzung einer neuen
Technologie oder eines neuen Verfahrens mögliche Auswirkungen und Folgen auf das
informationelle Selbstbestimmungsrecht von betroffenen Personen, sprich auf mögliche
9
Datenschutzrisiken, aufzeigen.
Die Europäische Kommission arbeitet derzeit an einem Entwurf für eine DatenschutzGrundverordnung, der die verbindlichen Rahmenbedingungen und Anforderungen an ein solches PIA
beschreibt.
Wie eingangs erwähnt, ist ein PIA immer dann durchzuführen, wenn eine Technologie oder ein
Verfahren neu ist und noch nicht eingesetzt wird. Neu heisst hierbei, dass noch keine Erfahrungswerte
eben zur Auswirkung einer Technologie auf die Privatsphäre der Betroffenen oder zu
Datenschutzrisiken bestehen. Ein erstes richtungsweisendes Framework zu einem PIA wurde auf die
RFID-Technologie durch das Bundesamt für Informationssicherheit in Deutschland beispielhaft
10
angewandt und durch die Art. 29 Datenschutz-Arbeitsgruppe verabschiedet.
6
Knyrim, Trieb: Das künftige EU-Datenschutzrecht – Neue Anforderungen an die unternehmerische Compliance,
http://www.preslmayr.at/tl_files/Publikationen/2014/Das%20kuenftige%20EU-Datenschutzrecht%20%20Neue%20Anforderungen%20an%20die%20unternehmerische%20Compliance_Knyrim_Trieb.pdf, abgerufen am
13.04.2015
7
Datenschutz-Grundverordnung, Entwurf 03.10.2014, Artikel 23, 13772/14, http://data.consilium.europa.eu/doc/document/ST13772-2014-INIT/de/pdf, abgerufen am 21.03.2015
8
http://www.haufe.de/recht/datenschutz/eu-datenschutzverordnung/sanktionsmassnahmen-werden-erheblichverschaerft_224_95586.html, abgerufen am 04.05.2015
9
Schulz Gabriel „Anforderungen an Privacy Impact Assessments aus Sicht der Datenschutzaufsichtsbehörden“, S. 1, 2013,
https://www.datenschutz-mv.de/datenschutz/publikationen/informat/pia/pia.pdf, abgerufen am 15.01.2015
10
http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2011/wp180_annex_en.pdf, abgerufen am 23.03.2015
Risikobasierter Datenschutz
Seite 5 von 23
Für Verfahren, Technologien und Prozesse, die in einem Unternehmen bereits angewendet werden,
ist ein PIA nicht das adäquate Instrument zum Datenschutz-Risikomanagement. Vielmehr sind hier
regelmässige und andauernde Prozesse im Rahmen der operativen Tätigkeit zu implementieren,
die sowohl die technischen als auch organisatorischen Massnahmen zur Sicherung der
informationellen Selbstbestimmung gewährleisten.
Das umfassende PIA Verfahren für neuartige Technologien ist nicht Bestandteil dieses Arbeitspapiers,
hier soll vielmehr auf die risikobasierte Evaluation bestehender Datenverarbeitungsprozesse
eingegangen werden. Dies im Sinne einer Praxisunterstützung für Unternehmen, die mit der neuen
Datenschutz-Grundverordnung konfrontiert sein werden.
4.
Risikomanagement und Risikoorientierung
Wie bereits erläutert, enthält die neue Datenschutzgrundverordnung einen risikobasierten Ansatz,
sprich die Einführung eines Risikomanagements im Hinblick auf Datenschutzziele in einer
Organisation. Risikomanagement ist ein fester Bestandteil der betriebswirtschaftlichen
Unternehmensführung und per se keine neue Datenschutzerfindung. Daher soll hier nachfolgend im
Sinne eines Exkurses auf die Grundlagen des Risikomanagements und auf die gesetzliche
Verankerung der Aufrechterhaltungspflicht eines Risikomanagement-Prozesses eingegangen werden.
Die für ein Unternehmen oder für eine Institution bestehenden Risiken leiten sich direkt aus den
übergeordneten Unternehmenszielen sowie der Unternehmensstrategie und -politik der Organisation
ab. Die sogenannten „Key Risks“ bestehen somit beispielsweise in der Nichterreichung von
Unternehmenszielen, bedingt sowohl durch unternehmensinterne als auch unternehmensexterne
Faktoren.
Ist ein Unternehmensziel, Marktführer zu sein und steht das Unternehmen in preislicher Konkurrenz,
so wird dieses Unternehmen somit sein Risiko „fehlende Wettbewerbsfähigkeit“ stark fokussieren. Die
Gründe für das Eintreten dieses Risikos können unternehmensexterne Marktschwankungen oder
möglicherweise der Markteintritt eines weiteren Konkurrenten sein. Unternehmensintern wird das
Unternehmen seinen Fokus auf eine effiziente und effektive Organisation und Struktur legen, sodass
trotz geringer Preisstruktur die finanziellen Unternehmensziele erreicht werden könnten. Dieses Key
Risk wird somit durch verschiedene auch interne Prozesse gesteuert. Eine veraltete IT-Infrastruktur
mit entsprechenden Opportunitätskosten und Kapazitätsverlusten spielt hier ebenso eine Rolle, wie
eine unzureichende Ressourcen- und Auftragsplanung, die zu Spitzenlasten und Leerzeiten führen.
Das Risikomanagement im Allgemeinen besteht in einer systematischen Analyse bestehender, vor
allem unternehmerischen Risiken, deren Beschreibung, deren Bewertung nach Ausmass und
Eintrittswahrscheinlichkeit, dem Identifizieren von möglichen Ursachen und nicht zuletzt dem Setzen
möglicher Risikominimierungsmassnahmen und dem Bestimmen des sogenannten Residual- oder
Restrisikos.
Es handelt sich um einen fortlaufenden Prozess, der nachhaltig und vorausschauend die Kernrisiken
identifizieren, vermeiden, reduzieren und in Einzelfällen auch zu einer Risikoakzeptanz führen kann,
soweit das Unternehmen selbst ein Risiko nicht selbst steuern kann.
Verschiedene nationale und internationale Entwicklungen haben dazu geführt, dass sich einzelne
Branchen, wie Finanzdienstleister, Versicherungsunternehmen oder ähnliche auf gemeinsame
Kernrisiken der Unternehmen verständigt und teilweise gesetzliche Mindestanforderungen an den
Risikobasierter Datenschutz
Seite 6 von 23
Umgang mit solchen Risiken fixiert haben. Ein Beispiel hierfür sind die Eigenkapital- und
Liquiditätsvorschriften für Banken, die mit BASEL III als Antwort auf die letzte Finanzkrise im Jahr
2007 verabschiedet wurden.
5.
Bestehende gesetzliche Verankerung des
Risikomanagements
Die Schweiz nahm das risikobasierte Denken als für alle Unternehmen allgemeingültige Regelung in
den Gesetzesstatus auf, denn sie verlangt seit dem Jahr 2008 mit der Revision des
Obligationenrechtes eine jährliche Risikobeurteilung juristischer Personen, unabhängig davon, ob
diese Unternehmen der ordentlichen oder nur der eingeschränkten Revisionspflicht unterstehen.
Ferner müssen grössere Gesellschaften ein sogenanntes IKS (internes Kontrollsystem)
11
implementieren und dokumentieren.
Liechtenstein hat bis dato verzichtet, eine flächendeckende gesetzliche
Risikomanagement im Personen- und Gesellschaftsrecht zu verankern.
Aufgrund international vereinheitlichter Anforderungen fanden
Spezialgesetzen konkrete Risikomanagementanforderungen Einzug.
5.1
jedoch
Regelung
zum
insbesondere
in
Sorgfaltspflichtgesetz
Im Sorgfaltspflichtgesetz Art. 9 wird die risikoadäquate Überwachung der Geschäftsbeziehung
vorgegeben, insbesondere auch, dass eine besondere Aufmerksamkeit Gefahren, die von der
Verwendung neuer Technologien ausgehen, zu widmen ist. Gefahren bzw. Risiken sind hier im
Zusammenhang mit der Bekämpfung von Geldwäscherei, organisierter Kriminalität und
Terrorismusfinanzierung zu verstehen. Der Begriff risikoadäquat bzw. in Englisch „Risk based
Approach“ wird in der FMA-Richtlinie 2013/1 wie folgt erläutert: „Grundsätzlich bedeutet die
Anwendung des risikobasierten Ansatzes, dass im Falle von erhöhten Risiken verstärkte
Sorgfaltspflichten anzuwenden sind und in Fällen geringen Risikos hingegen weniger Aufwand
12
betrieben werden kann.“
5.2
Banken und Wertpapierfirmen, Versicherungsgesellschaften
Die ursprünglich aus BASEL II+III und nun auch aus SOLVENCY II stammenden Standards führten im
Bereich der Banken und Wertpapierfirmen und im Bereich Versicherungswesen zu einschlägigen
Vorgaben.
Die Bankenverordnung Liechtenstein definiert nebst klassischen Branchenrisiken auch das
operationelle Risiko als „das Risiko von Verlusten, die durch die Unangemessenheit oder das
Versagen von internen Verfahren, Menschen oder Systemen oder durch externe Ereignisse
verursacht werden, einschliesslich Rechtsrisiken.“ Hierunter sind somit auch Risiken im
11
Obligationenrecht Schweiz, OR Art. 663b
FMA Richtlinie 2013/1, Richtlinie zum risikobasierten Ansatz im Sinne des Gesetzes über berufliche Sorgfaltspflichten zur
Bekämpfung von Geldwäscherei, organisierter Kriminalität und Terrorismusfinanzierung und der dazugehörigen Verordnung,
www.fma-li.li, abgerufen am 05.02.2015
12
Risikobasierter Datenschutz
Seite 7 von 23
Zusammenhang mit beispielsweise IT-Applikationen oder dem Fehlen einer Funktionstrennung zu
verstehen.
Ebenso enthalten die Gesetze über bestimmte Organismen für gemeinsame Anlagen in Wertpapieren
(UCITSG) und das Gesetz über die Alternativen Investment Fonds einschlägige Anforderungen zum
Risikomanagement.
Die Implementierung von Risikomanagement-Ansätzen in unternehmerischen Kernprozessen ist somit
sicherlich keine Neuerung, sondern vielmehr die Anforderung, dass der Datenschutz durch die
Inkraftsetzung der Datenschutz-Grundverordnung sich selbst zum Unternehmensziel erhebt und
zwingendermassen Bestandteil des unternehmensinternen Risiko-Assessment Prozesses sein muss.
6.
Gewährleistungsziele und damit zusammenhängende
Datenschutzrisiken
Nebst den Grundprinzipien des Datenschutzes, nämlich der Datensparsamkeit, der Anonymisierung /
Pseudonymisierung und dem Zweckbindungsgrundsatz, stehen bei der Überarbeitung der
Datenschutzrichtlinie insbesondere Datenschutzrisiken im Zusammenhang mit der Datenverarbeitung
im Vordergrund.
Gegenständlich wird im Zusammenhang mit dem Datenschutzrecht der Begriff „Gewährleistungsziel“
anstelle des Begriffs „Schutzziel“ verwendet, weil der Begriff Schutzziel von der IT-Sicherheit schon
über Jahrzehnte geprägt wurde. So soll beispielsweise der „Schutz der Integrität" nicht nur die Daten
betreffen (z. B. durch Bildung und Vergleich von Hashwerten), was einer engen Bestimmung im Sinne
der IT-Sicherheit entspräche, sondern vielmehr soll der Schutz der Integrität das gesamte Verfahren
betreffen, das die Komponenten Daten, Systeme und Prozesse umfasst.
Zu beachten gilt, dass anders als bei der klassischen IT-Sicherheit, wo der Schutz der Daten bei der
Wahl der angemessenen Sicherheitsmassnahmen im Vordergrund steht, im Sinne des Datenschutzes
nicht die Daten selbst, sondern die Privatsphäre der betroffenen Personen, deren Daten bearbeitet
werden, zu schützen ist.
Die definierten Gewährleistungsziele können im Sinne des Risikomanagements direkt auf den
risikobasierten Datenschutz umgelegt werden. So ist im Sinne des Risikomanagements also per
Definition das Risiko die Verletzung eines dieser Gewährleistungsziele. Diese abschliessende
Betrachtung der bekannten Gewährleistungsziele auf Verletzungsrisiko vereinfacht die
Risikobeurteilung im Datenschutzumfeld.
6.1
Gewährleistungsziele
Nebst den bekannten drei Schutzzielen (Verfügbarkeit, Integrität und Vertraulichkeit) aus der IT13
definiert die Datenschutzverordnung drei weitere und somit insgesamt sechs
Sicherheit
14
Gewährleistungsziele :
13
Datenschutzverordnung FL, Art. 9 Allgemeine Massnahmen Abs. 1,
http://www.gesetze.li/DisplayLGBl.jsp?Jahr=2002&Nr=102, abgerufen am 26.05.2015
14
Datenschutzverordnung FL, Art. 10 Besondere Massnahmen Abs. 2 Buchstaben a), b) und c)
http://www.gesetze.li/DisplayLGBl.jsp?Jahr=2002&Nr=102, abgerufen am 26.05.2015
Risikobasierter Datenschutz
Seite 8 von 23
•
•
•
•
•
•
Verfügbarkeit
Integrität
Vertraulichkeit
Transparenz
Nichtverkettbarkeit
Intervenierbarkeit
Hier kann direkt von den Gewährleistungszielen auf das gegenläufige Risiko geschlossen werden,
nämlich deren Nichteinhaltung.
6.1.1
Verfügbarkeit
Das Gewährleistungsziel Verfügbarkeit bezeichnet die Anforderung, dass personenbezogene Daten
zur Verfügung stehen und ordnungsgemäss im vorgesehenen Prozess verwendet werden können.
Dazu müssen die Daten im Zugriff des Berechtigten liegen und die vorgesehenen Methoden zu deren
Bearbeitung müssen auf sie angewendet werden können.
Risikobeispiel: Die Verfügbarkeit der Daten ist zum gegebenen Zeitpunkt nicht sichergestellt
Beispielsweise widerspricht eine betroffene Person einer Datenbearbeitung, dieser Widerspruch steht
jedoch nicht ordnungsgemäss oder fristgerecht einem Datenbearbeiter zur Verfügung, kann es in
weiterer Folge für den Betroffenen zu einer Verletzung dessen Privatsphäre, z. B. durch eine
Datenbekanntgabe, kommen.
6.1.2
Integrität
Das Gewährleistungsziel Integrität bezeichnet die Anforderung, dass informationstechnische Prozesse
und Systeme die Spezifikationen kontinuierlich einhalten, die zur Ausübung ihrer zweckbestimmten
Funktionen für sie festgelegt wurden, und die mit ihnen zu bearbeitenden Daten unversehrt,
vollständig und aktuell bleiben.
Risikobeispiel: Die Richtigkeit der Daten ist nicht gewährleistet
Werden die Kontaktdaten einer betroffenen Person nicht gepflegt, sind veraltet oder falsch, besteht
das Risiko, dass persönliche vertrauliche Nachrichten den eigentlichen Empfänger nicht erreichen
oder Unbefugten bekannt werden.
6.1.3
Vertraulichkeit
Das Gewährleistungsziel Vertraulichkeit bezeichnet die Anforderung, dass keine Person
personenbezogene Daten unbefugt zur Kenntnis nimmt. Unbefugte sind nicht nur Dritte ausserhalb
der verantwortlichen Stelle, sondern sämtliche Personen, die keinerlei inhaltlichen Bezug zu einem
Verfahren oder zu der oder dem jeweiligen Betroffenen haben.
Risikobeispiel: Die Vertraulichkeit der Daten kann nicht gewährleistet werden
Wenn vertrauliche Daten einem nicht berechtigten Kreis bekannt werden, zum Beispiel durch eine
Sicherheitslücke, besteht das Risiko des Bekanntwerdens von persönlichen Daten, die jegliche Form
von Missbrauch der Daten möglich macht (z. B. Identitätsdiebstahl) und es entsteht ggf. auch ein
erheblicher Reputationsschaden (sowohl für juristische als auch für natürliche Personen).
Risikobasierter Datenschutz
Seite 9 von 23
6.1.4
Transparenz
Das Gewährleistungsziel Transparenz bezeichnet die Anforderung, dass in einem unterschiedlichen
Masse sowohl Betroffene, als auch die Betreiber von Systemen sowie zuständige Kontrollinstanzen
erkennen können, welche Daten für welchen Zweck in einem Verfahren erhoben und verarbeitet und
welche Systeme und Prozesse dafür genutzt werden. Ferner, wohin die Daten zu welchem Zweck
fliessen und wer die rechtliche Verantwortung für die Daten und Systeme in den verschiedenen
Phasen einer Datenverarbeitung besitzt.
Risikobeispiel: Die notwendige Transparenz im Datenverarbeitungsprozess ist nicht gegeben
Der Datenbearbeitungsprozess im Zusammenhang mit der Erstellung einer Kennzahl (Scoring), z. B.
für die Bonitätsprüfung, ist nicht nachvollziehbar. Hier besteht das Risiko der Diskriminierung der
Betroffenen und die Betroffenen können ihre Rechte nur schwer wahrnehmen.
6.1.5
Nichtverkettbarkeit
Das Gewährleistungsziel Nichtverkettbarkeit bezeichnet die Anforderung, dass Daten nur für den
Zweck bearbeitet und ausgewertet werden, für den sie erhoben werden. Datenbestände sind
prinzipiell dazu geeignet, für weitere Zwecke eingesetzt und mit anderen, unter Umständen öffentlich
zugänglichen Daten, kombiniert zu werden. Rechtlich zulässig ist eine zweckfremde Bearbeitung nur
in Ausnahmefällen.
Hier ist auf das Phänomen der Big Data Analyse hinzuweisen. Grundsätzlich ist die Big Data Analyse
ein klassisches Beispiel von Verkettung von voneinander vorerst unabhängigen Informationen zur
Herauskristallisierung von Mustern, Trends oder Abhängigkeiten, die mit unzusammenhängenden
Datensätzen nicht oder nur schwer zu erkennen gewesen wären. Der Grundsatz der
Nichtverkettbarkeit heisst nun aber nicht, dass die Big Data Analyse per se im Datenschutz untersagt
ist. Vielmehr ist gerade bei der vorsätzlichen Verkettung von Informationen auf die Pseudonymisierung
bzw. Anonymisierung der Daten zu achten, sodass keine zuordnungsfähigen Personendaten
unverhältnismässig verkettet werden. Wie mit Big Data langfristig umgegangen wird und ob die
Datenschutzintentionen bei solch einer Datenverarbeitung an ihre Grenzen stossen, ist derzeit noch
offen.
Risikobeispiel: Das Verketten von Daten erlaubt Rückschlüsse auf eine Person
Wenn Daten ohne grossen Aufwand verkettet bzw. zweckfremdet genutzt werden können, besteht das
Risiko der Erstellung von Nutzerprofilen und die Diskriminierung von betroffenen Personen ist
einfacher möglich.
6.1.6
Intervenierbarkeit
Das Gewährleistungsziel Intervenierbarkeit bezeichnet die Anforderung, dass den Betroffenen die
ihnen zustehenden Rechte auf Benachrichtigung, Auskunft, Berichtigung, Sperrung und Löschung
jederzeit wirksam gewährt wird und die bearbeitende Stelle verpflichtet ist, die entsprechenden
Massnahmen umzusetzen. Dazu müssen die für die Bearbeitungsprozesse verantwortlichen Stellen
jederzeit in der Lage sein, in die Datenbearbeitung vom Erheben bis zum Löschen der Daten
einzugreifen.
Risikobasierter Datenschutz
Seite 10 von 23
Risikobeispiel: Die betroffene Person kann im Hinblick auf die Datenverarbeitung ihrer Daten nicht
intervenieren
Wenn Daten nicht auf geeignete Art und Weise gelöscht oder berichtigt werden können oder ein
solcher Löschprozess nicht implementiert wurde, besteht das Risiko des nachträglichen
Bekanntwerdens von persönliche Daten oder Nachrichten der betroffenen Person trotz gesetzlicher
Löschverpflichtung.
6.2
Kombination von Datenschutz und Risikomanagement – Risk based
Approach
Bis dato wurden der Datenschutz und seine Gewährleistungsziele unabhängig von den bearbeitenden
Datenkategorien angewendet. Das aktuelle Datenschutzgesetz spricht zwar von sogenannten
„besonders schützenswerten Personendaten / Persönlichkeitsprofilen“, wie beispielsweise Daten über
die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit, ohne jedoch auf die übrigen
Personendaten und das im Zusammenhang mit der Bearbeitung mögliche inhärente
Schutzverletzungsrisiko einzugehen.
Zur angemessenen und geeigneten Handhabung von etwaigen Datenschutzrisiken in einem
Unternehmen und zur Implementierung eines Datenschutzmanagements eignen sich bereits etablierte
und einschlägig normierte Methoden und Vorgehensweisen des Risikomanagements.
Risikomanagement und Risiko Assessment Methoden sind gängige Praxen zur Evaluation möglicher
Auswirkungen von Risiken auf unternehmerische Schutzziele.
Um die Risikomanagement-Strategien auch im Kontext des Datenschutzmanagements anzuwenden,
müssen somit nicht grundlegend neue Methoden und Vorgehensweisen etabliert werden. Es sind
lediglich die durch den Datenschutz vorgegebenen Gewährleistungsziele in den bestehenden RisikoAssessmentprozess eines Unternehmens oder einer Institution mit aufzunehmen.
Die zusätzlichen Neuerungen betreffen jedoch die Ausdehnung der unternehmerischen Ziele / Risiken
auf mögliche Datenschutzrisiken. Die Datenschutz-Gewährleistungsziele sind in vielen Fällen nicht mit
den unternehmenseigenen Schutzzielen deckungsgleich, da der Fokus der Gewährleistungsziele auf
dem Datensubjekt, also den Interessen eines Individuums liegt und nicht vorwiegend auf den
unternehmerischen Interessen.
Der risikobasierte Ansatz in der Bewertung von Unternehmens- oder Kundenrisiken ist in
weitreichenden Bereichen (siehe Kapitel gesetzliche Verankerungen des Risikomanagements in
Liechtenstein) bereits umgesetzt und hat sich bewährt. Faktisch erlaubt es den Unternehmen, sich auf
die Kernrisiken bzw. auf solche zu konzentrieren, die einerseits folgenschwere Konsequenzen oder
andererseits eine hohe Eintrittswahrscheinlichkeit aufweisen.
Somit können die Ressourcen auf die wesentlichen Herausforderungen gebündelt werden. Kritiker am
sogenannten „Risk based Approach“ verlautbaren gerade im Bereich des Datenschutzes jedoch, dass
es keine Unterscheidung der Risiken im Bereich der Bearbeitung des Personendatenschutzes geben
dürfe, denn alle Personendaten seien schutzwürdig, nicht nur die „besonders schützenswerten“ oder
die „Persönlichkeitsprofile“.
Dieser theoretische Werteansatz ist jedoch in der Praxis de facto nicht umsetzbar, zumal die mit dem
technischen und organisatorischen Schutz von Personendaten einhergehenden Pflichten für ein
Unternehmen auch tatsächlich umgesetzt und gelebt werden müssen. Es muss also gewährleistet
Risikobasierter Datenschutz
Seite 11 von 23
sein, dass alle gesetzlichen Pflichten erfüllt werden. Diese müssen überprüfbar und dokumentiert sein
und gleichzeitig müssen Abweichungen hierzu sanktioniert werden. Dies bedeutet für die jeweiligen
Datenschutzstellen eine stets wachsende Kontrollfunktion, für Unternehmen die Implementierung von
weitläufigen administrativen und organisatorischen Prozessen, die möglicherweise nicht im Verhältnis
zur tatsächlichen Datenschutzbedrohung stehen.
Diese Überlegungen haben bereits in diversen Branchen zur risikobasierten Betrachtungsweise
geführt, um Kräfte zu bündeln und es gleichzeitig den Aufsichtsbehörden zu ermöglichen, auf eben
diese Kernrisiken einzugehen und somit die grösstmögliche praktische Sicherheit und Prävention zu
erlauben.
Genau diese Sichtweise soll, im Interesse und zum Schutz der betroffenen Personen, nun auch im
Bereich des Datenschutzes gelebt werden. Jeder Kritik zum Trotz sei hier also darauf hingewiesen,
dass ein risikobasierter Ansatz sicherlich nicht eine Lockerung, sondern vielmehr zielgerichteter und
somit eine Steigerung des Datenschutzes sein wird.
Der Entwurf der Datenschutz-Grundverordnung beinhaltet bereits allgemein gültige Hinweise, die auf
die Eintrittswahrscheinlichkeit oder die Schwere einer Datenschutzverletzung hinweisen. So werden
bereits Datenkategorien definiert, deren Datenschutzverletzung eine besondere Schwere aufweisen.
Auch in der aktuellen Datenschutzgesetzgebung findet bereits ein zweistufiges Schutzniveau
Anwendung, einerseits für „besonders schützenswerte Daten und Persönlichkeitsprofile“ und „andere“
Personendaten, wobei die besonders schützenswerten Daten und die Persönlichkeitsprofile einen
15
erhöhten Schutz des Gesetzes geniessen.
6.3
Datenschutz-Grundverordnung Grundlagen der Risikobewertung
Der für die Verarbeitung personenbezogener Daten Verantwortliche muss gemäss Entwurf der
Datenschutz-Grundverordnung geeignete Massnahmen ergreifen und den Nachweis erbringen, dass
die Verarbeitungstätigkeit im Einklang mit der Verordnung steht. Hier muss er „die Art, den Umfang,
die Umstände und die Zwecke der Verarbeitung und das Risiko für die persönlichen Rechte und
16
Freiheiten berücksichtigen.“
Es wird bei diesen Risiken in der Folge (Randziffer 60a) zwischen Eintrittswahrscheinlichkeit und
Schwere des möglichen Risikos unterschieden. Im Anschluss werden zahlreiche Beispiele genannt,
die einerseits Auswirkungen auf die Persönlichkeit beim Eintritt einer Datenschutzverletzung
beschreiben und weiterhin generell Datenkategorien, die schliesslich per se eine grosse Auswirkung
bzw. Schwere in sich tragen, sofern es zu einer Datenschutzverletzung mit solchen Daten kommt:
Als besonders schwerwiegend werden also Auswirkungen beispielhaft aufgeführt, die
•
zu einer physischen, materiellen oder moralischen Schädigung führen können. Dies sei
insbesondere der Fall, wenn die Verarbeitung
• zu einer Diskriminierung
• einem Identitätsdiebstahl oder –betrug
• einem finanziellen Verlust
15
Mittelberger, P., Das liechtensteinische Datenschutzgesetz – Eine Einführung, Liechtensteinische Juristenzeitung 2/03, S. 50,
http://www.llv.li/files/dss/pdf-llv-sds-ljz-abhandlung-2.pdf
16
Datenschutz-Grundverordnung, Entwurf 03.10.2014, Ziffer 60), 13772/14, http://data.consilium.europa.eu/doc/document/ST13772-2014-INIT/de/pdf, abgerufen am 21.03.2015
Risikobasierter Datenschutz
Seite 12 von 23
•
•
•
•
•
•
einer Rufschädigung
einem Verlust der Vertraulichkeit des Berufsgeheimnisses
einer Verletzung der Pseudonymität oder
anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führt oder
wenn die betroffene Person um ihre Rechte und Freiheiten gebracht werde und
wenn die Kontrolle über die personenbezogenen Daten verhindert wird
Generell gelten als besonders schwerwiegend und als Risiken mit einer grossen Auswirkung auf die
persönlichen Rechte und Freiheiten Datenverarbeitungen und Datenschutzverletzungen folgender
Kategorien (enumerativ):
•
•
•
•
•
•
•
•
•
•
Rassische oder ethnische Herkunft
Politische Meinungen
Religiöse oder philosophische Überzeugung
Zugehörigkeit zu einer Gewerkschaft
Genetische Daten
Daten über Gesundheit
Daten über Sexualleben
Strafrechtliche Verurteilungen
Straftaten oder damit zusammenhängende Sicherungsmassregeln
Daten von schutzbedürftigen Personen, insbesondere von Kindern
Ferner gelten ebenfalls als besonders schwerwiegende Datenverarbeitungen zum Zweck der
Bewertung der Persönlichkeit, wie:
•
•
•
•
•
•
Arbeitsleistung
Wirtschaftliche Lage
Gesundheit
Persönliche Vorlieben oder Interessen
Zuverlässigkeit oder Verhalten
Aufenthaltsort oder Ortswechsel, wenn diese analysiert und prognostiziert werden, um ein Profil
zu erstellen
Generell haben auch Datenschutzverletzungen, die nicht in einer dieser Kategorien oder Prozesse
subsummiert werden können, jedoch eine grosse Menge personenbezogener Daten betreffen und
eine grosse Anzahl von Personen betroffen sind, schwerwiegende Auswirkungen auf die Privatsphäre
der Betroffenen.
Die auf den ersten Blick sehr umfassende Aufzählung von schwerwiegenden Datenschutzfolgen lässt
sich jedoch grob in drei Kategorien einteilen:
A. Datenverarbeitungen, bei denen eine Datenschutzverletzung grosse Auswirkungen
(Schwere) auf die persönlichen Rechte und Freiheiten haben, und zwar vorerst
unabhängig von der Kategorie der bearbeiteten Daten
B. Datenkategorien oder –typen, von denen impliziert wird, dass die Auswirkungen
schwerwiegend sind für die persönlichen Rechte und Freiheiten
Risikobasierter Datenschutz
Seite 13 von 23
C. Datenbewertungen, die in Kombination auf ein Persönlichkeitsprofil im weitesten
Sinne schliessen lassen
Im Grunde genommen bilden die unter Punkt B. genannten Datenkategorien somit einen integralen
Bestandteil der unter Punkt A. genannten schwerwiegenden Folgen und dienen der einfacheren
Orientierung für den Datenverarbeiter, ob der sich mit einer Auswirkung besonderer Schwere
konfrontiert sieht.
Sollte somit ein Datenverarbeiter Datenkategorien wie unter Punkt B. aufgeführt bearbeiten, so muss
er unter Umständen selbst bei einer geringen Eintrittswahrscheinlichkeit von die Privatsphäre
kompromittierenden Ereignissen stärkere präventive Risikomanagement-Massnahmen treffen, als
wenn er beispielsweise bei höherer Eintrittswahrscheinlichkeit andere Datenkategorien bearbeitet.
Ebenso, wenn Persönlichkeitsprofile erstellt werden könnten oder grössere Mengen an Daten und
Personen bearbeitet werden.
Ein interessanter Aspekt ist hier, dass bereits ohne eine nunmehr offizielle Kategorisierung der
Datenbearbeitungen nach Risiko und Schwere bereits heute die liechtensteinische Datenschutzstelle,
sicherlich nicht zuletzt um ihre Ressourcen adäquat einzusetzen, Schwerpunktthemen für ihre
Tätigkeit festgelegt hat. Diese liegen gemäss Tätigkeitsbericht 2012 auf den Gebieten Gesundheit und
17
Soziales, Finanzen, Datensicherheit und Jugendliche.
Diese Gebiete repräsentieren grob die nun wieder aufgegriffenen Themen der europäischen
Grundverordnung, bedürfen jedoch sicherlich selbst noch einmal einer risikobasierten Reflexion und
ggf. Anpassung. Diese risikobasierte Reflexion und die damit zusammenhängenden Verpflichtungen
18
eines Datenbearbeiters werden auch von der Working Group 29 aufgegriffen und unterstützt.
hoch
RisikoMassnahmen
sehr stark
mittel
gering
Eintrittswahrscheinlichkeit
Nachfolgende Darstellung soll die prinzipielle Einteilung der Eintrittswahrscheinlichkeit und der
Schwere / Auswirkung im Hinblick auf die Einordnung eines Datenschutzrisikos grafisch erläutern:
RisikoMassnahmen
gering
gering
mittel
hoch
Schwere / Auswirkung
Abbildung 1: Einordnung Risiken
17
Liechtensteinische Datenschutzstelle, Tätigkeitsbericht 2012, S. 26. http://www.llv.li/files/dss/pdf-llv-dsstaetigkeitsbericht_2012.pdf, abgerufen am 30.08.2015
18
Article 29 Data Protection Working Party, 14/EN WP 218, Statement on the role of a risk-based approach in data protection
legal frameworks, adopted on 30 May 2014, Ziff. 5
Risikobasierter Datenschutz
Seite 14 von 23
Die einzelnen Kombinationen und Klassifikationen können zu unterschiedlich starken bzw.
engmaschigen
Risikomanagement-Massnahmen
führen,
sowohl
technischer
als
auch
organisatorischer Art. Die hierbei getroffenen Massnahmen müssen
•
•
•
•
im Einklang mit den Datenschutz-Gewährleistungszielen stehen (Verfügbarkeit, Integrität,
Vertraulichkeit, Transparenz, Nichtverkettbarkeit, Intervenierbarkeit)
zu einer physischen, materiellen oder moralischen Schädigung führen können. Dies sei
insbesondere der Fall, wenn die Verarbeitung
dokumentiert sein
regelmässig auf ihre Wirksamkeit hin überprüft werden
Beispiel 1:
Hohe Eintrittswahrscheinlichkeit Risiko „Vertraulichkeit“ und hohe Schwere bzw. Auswirkungen:
Ein Kinderarzt speichert seine Patientendaten auf einem internen IT-System, auf das sein IT-Lieferant
vollen Administrationszugriff hat. Die Daten sind lesbar und nicht verschlüsselt. Der Lieferant greift
regelmässig per Fernwartung auf die Systeme zu und führt notwendige Arbeiten an den Systemen
durch.
Einschätzung:
Die Tatsache, dass es sich um die Kategorien „Daten von schutzbedürftigen Personen, insbesondere
Kinder“ und „Gesundheitsdaten“ handelt, führt zu einer Klassifikation „hoch“ der Schwere einer
Datenschutzverletzung. Die Eintrittswahrscheinlichkeit, dass Daten von Patienten durch Unbefugte
wahrgenommen und gelesen werden könnten, ist in diesem dargelegten Fall ebenfalls „hoch“, zumal
der IT-Lieferant theoretisch vollen Zugriff auf sämtliche Daten hat.
Massnahmen:
Der Kinderarzt muss in diesem Fall organisatorische oder technische Massnahmen treffen, die
zumindest auf der Ebene der Eintrittswahrscheinlichkeit eine Risikominimierung herbeiführen. Hier
könnte zum Beispiel eine Datenverschlüsselung oder aber der überwachte Zugriff des Lieferanten
angewendet werden.
Beispiel 2:
Geringe Eintrittswahrscheinlichkeit und Schwere des Risikos „Vertraulichkeit“:
Ein Unternehmen verfügt über ein grösseres CRM, in dem Kundenadressen, Kontaktdetails und letzte
Kontakte zu Rechnungs- und Kundenbetreuungszwecken verwaltet werden. Generell haben nur
Mitarbeiter in der Administration und aus der Kundenbetreuung Zugriff.
Einschätzung:
Grundsätzlich ist eine Datenschutzverletzung hier sowohl von der Schwere als auch von der
Eintrittswahrscheinlichkeit eher als gering bis mittel einzustufen, sofern nicht das Unternehmen selbst
in einer Branche tätig ist, in der bereits eine geringe Eintrittswahrscheinlichkeit zu einer schweren
Verletzung der Rechte der Persönlichkeit führen würde, beispielsweise weil durch die alleinige
Tatsache, dass eine Person Kunde dort ist, bereits eine Rufschädigung eintreten könnte (sexuelle
Neigungen oder philosophische Ansichten).
Massnahmen:
Sofern die Datenkategorie nicht im Bereich mittlere oder hohe Schwere liegt, sind keine zusätzlichen
Massnahmen zu treffen. Diese Risikobewertung ist jedoch ebenfalls regelmässig neu zu bewerten,
Risikobasierter Datenschutz
Seite 15 von 23
spätestens wenn sich an den bearbeiteten Datenkategorien oder an der technischen Lösung und den
damit zusammenhängenden Berechtigungen grundlegende Änderungen ergeben.
6.4
Restrisiko und Zusammenarbeit mit der Datenschutzstelle
Nach dem Setzen einzelner Massnahmen zur Reduktion der Eintrittswahrscheinlichkeit eines
Datenschutzverletzungsrisikos ist der Datenverarbeitungsprozess erneut zu bewerten und das
Restrisiko zu bestimmen.
6.5
Kurzorientierung für Organisationen
Im Wesentlichen ist eine Organisation gefordert, die Arten der Personendaten, die bearbeitet werden,
zu identifizieren.
Werden besonders schützenswerte Daten / Persönlichkeitsprofile bearbeitet (siehe Kapitel 6.3), so
sind auch bei einer geringen Eintrittswahrscheinlichkeit die technischen und organisatorischen
Massnahmen zur Wahrung der Gewährleistungsziele entsprechend hoch anzusetzen. Im
umgekehrten Falle auch bei einer eher geringen Schwere und hoher Eintrittswahrscheinlichkeit.
Sind keine Massnahmen technischer oder organisatorischer Art anwendbar, die ein identifiziertes
Risiko von grosser Schwere oder hoher Eintrittswahrscheinlichkeit auf eine niedrigere Stufe umsetzen,
sei es aus Gründen der Möglichkeit oder Wirtschaftlichkeit, so hat die Organisation dies mit der
Datenschutzsstelle idealerweise vor Beginn der Bearbeitung oder aber bei bestehenden Prozessen
sehr zeitnah nach erfolgter Risikobewertung abzusprechen. Die Datenschutzsstelle steht beratend zur
Verfügung.
In einem ersten Schritt sind die einzelnen Datenschutzrisiken in der Organisation zu erheben und
ganz im Grundsatz zu bewerten. Die Schwere einer Datenschutzverletzung ist einerseits vorgegeben
(z. B. bei besonders schützenswerten Daten / Persönlichkeitsprofilen als hoch) oder kann insgesamt
aus der Art der bearbeiteten Daten gestuft bewertet werden.
Die Eintrittswahrscheinlichkeit einer Datenschutzverletzung wiederum ist meist nicht auf eine
bestimmte Schwachstelle in der Organisation zurückzuführen, sondern lässt sich kumulativ durch
verschiedene Bearbeitungsschritte im Unternehmen abschätzen. So kann die Vertraulichkeit der
Daten beispielsweise in der IT durch einen fehlenden Passwortschutz gefährdet werden, im Archiv
durch die Zugangsmöglichkeit von nicht berechtigten Personen wie Reinigungskräfte und im Bereich
Personal durch die Verletzung der Vertraulichkeitsvereinbarungen durch einen Mitarbeiter, der Dritten
über die Personendaten berichtet.
Aus diesem Grund ist das jeweilig identifizierte Datenschutzrisiko in einem zweiten Schritt jeweils
detailliert auf die einzelnen involvierten Bearbeitungseinheiten zu konkretisieren. Hier können somit
mehrere Massnahmen, die an verschiedenen Stellen gesetzt werden, das Gesamtrisiko deutlich
reduzieren.
Die im Kapitel 6.3 bezeichneten gesetzlichen Grundlagen gelten insbesondere für Organisationen, die
Daten über die wirtschaftliche Situation einer Person oder deren Vermögenssituation bearbeiten.
Insofern können solche Unternehmen bestehende Risiko-Assessments jeweils um die Kategorie
Datenschutzrisiken ergänzen.
Risikobasierter Datenschutz
Seite 16 von 23
Weitere Organisationen, wie beispielweise solche aus dem Gesundheitsbereich, wo ein solches
Risikomanagementsystem gesetzlich noch nicht verankert ist, werden die Risiken in ihrer Organisation
breiter abschätzen müssen und einen entsprechenden Risikoassessment Prozess implementieren
und aufrecht erhalten.
Eine mögliche Übersicht über die übergeordneten Datenschutzrisiken inklusive Bewertung könnte wie
beispielhaft hier dargestellt zusammengefasst werden:
Abbildung 2: Übersicht Risikomatrix
Risikobasierter Datenschutz
Seite 17 von 23
In der Detailübersicht wiederum sind zu den jeweilig identifizierten Risiken die Massnahmen zu
beschreiben:
Abbildung 3: Beschreibung der Massnahmen
Wird an einem Prozess organisatorisch oder technisch eine Änderung erwirkt, so muss das betroffene
Datenschutzrisiko erneut bewertet werden. Idealerweise werden die Änderungen im Vorfeld auf
mögliche negative (oder auch positive) Auswirkungen auf die Datenschutzziele hin beurteilt.
Erst durch eine entsprechende Risikobeurteilung ist es dem Verantwortlichen auch möglich, die
notwendigen technischen und organisatorischen Massnahmen für einen bestimmten
Datenbearbeitungsprozess zu identifizieren oder aber nachweislich den Schutzbedarf für einen
bestimmten Datenbearbeitungsprozess im Verhältnis zu reduzieren. Dies regt auch die Article 29 Data
19
Protection Working Party an.
6.6
Geeignete technische und organisatorische Massnahmen
Ist ein Datenschutzrisiko identifiziert, ist es mit anerkannten Standards möglich, die adäquaten
Massnahmen zu setzen. Im Bereich der technischen Sicherheitsmassnahmen empfiehlt sich hier die
Orientierung an der ISO 27000er Reihe. Hierzu sind ausführliche Literatur und Schulungsmaterial
verfügbar, sodass zumindest im technischen und teilweise auch im organisatorischen Bereich
(Datenschutzmanagement) den Gewährleistungszielen gerecht wird.
Eine weitere Möglichkeit, die eigenen Gewährleistungsziele und deren Einhaltung auch Dritten
gegenüber zu demonstrieren, ist die Durchführung einer Datenschutzzertifizierung. In Liechtenstein ist
die Erlangung einer solchen seit Beginn 2014 gesetzlich verankert und möglich.
Die Datenschutzzertifizierung setzt sich spezifisch mit den Anforderungen an Gewährleistungsziele
auseinander, baut jedoch in den wesentlichen Fragen auf gängigen Standards auf.
19
Article 29 Data Protection Working Party, 14/EN WP 218, Statement on the role of a risk-based approach in data protection
legal frameworks, adopted on 30 May 2014; Ziff. 5
http://ec.europa.eu/justice/data-protection/index_en.htm
01.08.2015
Risikobasierter Datenschutz
Seite 18 von 23
6.7
Umfang der Risikobewertung
Der Risikobewertungsprozess sollte ein regelmässiger, der Organisation angepasster, jedoch
mindestens jährlicher Prozess sein. Die Berichterstattung über die Ergebnisse der Beurteilung ergeht
dabei an Gremien, die in der Organisation für die Einhaltung von Compliance-Vorgaben verantwortlich
sind, dies sind üblicherweise die obersten Organe wie Verwaltungsräte oder Stiftungsräte.
Abschliessend ist zu bemerken, dass die Implementierung eines Risikobeurteilungsprozesses
inklusive der regelmässigen Überwachung und Überprüfung der Massnahmen ausreichend
Ressourcen in der Organisation benötigt und, sollte ein solcher Prozess derzeit noch vollständig
fehlen, eine Durchlaufzeit von geschätzt einem Jahr verlangt. Insofern ist es für die Organisationen
relevant, sich frühzeitig mit dem risikobasierten Datenschutz auseinanderzusetzen, um nicht durch
gesetzliche Regelungen und damit einhergehende Pflichten überholt zu werden.
7.
Ausblick
Das Trilogverfahren ist andauernd und die Ansichten des Europäischen Rates weichen in
wesentlichen Bereichen von denen des Parlamentes ab.
Es ist beispielsweise unklar, ob eine Grössenkondition eingeführt werden soll, die für
Kleinstunternehmen die Hürden niedriger setzen soll, als für grössere Unternehmen. Dieser Ansatz
scheint zwar auf den ersten Blick sehr wirtschaftsfreundlich, jedoch widerspricht er im Ganzen dem
risikobasierten Ansatz, denn auch kleine Unternehmen könnten sensible Personendaten mit
unzureichendem Schutzniveau bearbeiten.
Ebenfalls ist offen, wie stark die Meldepflichten bei Datenschutzverletzungen greifen sollen und
welche Kompetenzen eine Datenschutzstelle bei der Kontrolle von Prozessen in Organisationen
erlangen soll.
Eine wesentliche Anforderung an die neue Datenschutz-Grundverordnung wird im Statement der
Article 29 Data Protection Working Party zum Thema “risk-based approach in data protection legal
frameworks” festgehalten: „Implementation of controllers‘ obligations through accountability tools and
measures (e.g. impact assessment, data protection by design, data breach notification, security
measures, certifications) can and should be varied according to the type of processing and the privacy
risks for data subjects. There should be recognition that not every accountability obligation is
20
necessary in every case – for example where processing is small-scale, simple and low risk.”
Die Trends der Datenschutz-Grundverordnung, nämlich der risikobasierte Ansatz und im weitesten
Sinne die Privacy Impact Analyse, sind jedoch jetzt bereits verankert. Unternehmen oder allgemein
Organisationen sollten daher auf dem Weg der nachhaltigen Implementierung eins „Risk based
Approach“ begleitet und unterstützt werden.
20
Article 29 Data Protection Working Party, 14/EN WP 218, Statement on the role of a risk-based approach in data protection
legal frameworks, adopted on 30 May 2014, Ziff. 5
http://ec.europa.eu/justice/data-protection/index_en.htm
01.08.2015
Risikobasierter Datenschutz
Seite 19 von 23
Mögliche Massnahmen wären hier:
•
•
Die Durchführung von Informationsveranstaltungen
Die Durchführung einer Schulung (in Zusammenarbeit mit anderen Institutionen) oder aber die
Bereitstellung von Schulungsunterlagen zu dieser Thematik
Die Datenschutzstelle selbst sollte das risikobasierte Verfahren auch zu internen Zwecken anwenden,
um Organisationen in der Anwendung unterstützen und ihre Ressourcen optimal einsetzen zu können.
Eine Kooperation mit europäischen Datenschutzstellen in Detailfragen, wie der Umsetzung von
Privacy Impact Analysen, würde die Datenschutzstelle sicherlich langfristig entlasten.
Ebenso ist zu definieren, in welchem Umfang die Datenschutzstelle beratend oder unterstützend bei
der Implementierung der Grundverordnung tätig werden kann und soll, dies vor allem im Lichte der
Strafen, mit denen sich eine Organisation bei Verletzung der Compliance Anforderungen konfrontiert
sieht.
Die Positionierung und die Konkretisierung dieser Fragen erlaubt es der nationalen Datenschutzstelle,
im Rahmen ihrer regulatorischen Verpflichtungen eine kompetente Ansprechorganisation für
Organisationen zu werden.
Abschliessend ist festzuhalten, dass nach Finalisierung der europäischen Datenschutz
Grundverordnung die wesentlichen Inhalte der Verordnung erneut auf ihre tatsächliche praktische
Umsetzung hin geprüft werden sollten. Die Inhalte dieses Papiers sind somit weder abschliessend
noch umfassend, zumal sich die Verordnung erst in einem Entwurf vorliegt.
Risikobasierter Datenschutz
Seite 20 von 23
8.
Quellenverzeichnis
Article 29 Data Protection Working Party, 14/EN WP 218, Statement on the role of a risk-based approach in data protection
legal frameworks, adopted on 30 May 2014
http://ec.europa.eu/justice/data-protection/index_en.htm
01.08.2015
Whitepaper zur geplanten „Datenschutz-Grundverordnung der Europäischen Union“, Stand 12. Juni 2014:
http://www.watchdogs.at/science/datenschutz-grundverordnung-der-europaeischen-union
04.05.2015
http://www.cr-online.de/blog/2013/03/07/gute-nachrichten-aus-brussel-vom-verbotsprinzip-zur-risikoorientierung
20.03.2015
http://www.llv.li/#/1586/register-der-datensammlungen
26.05.2015
Datenschutz-Grundverordnung, Entwurf 19.12.2014, Ziffer 70), 15395/14:
http://amberhawk.typepad.com/files/dapix-text-eu-council-dp-reg-december-2014.pdf
21.03.2015
Datenschutz-Grundverordnung, Entwurf 19.12.2014, Ziffer 66a), 15395/14:
http://amberhawk.typepad.com/files/dapix-text-eu-council-dp-reg-december-2014.pdf
21.03.2015
Knyrim, Trieb: Das künftige EU-Datenschutzrecht – Neue Anforderungen an die unternehmerische Compliance:
http://www.preslmayr.at/tl_files/Publikationen/2014/Das%20kuenftige%20EU-Datenschutzrecht%20%20Neue%20Anforderungen%20an%20die%20unternehmerische%20Compliance_Knyrim_Trieb.pdf
13.04.2015
Datenschutz-Grundverordnung, Entwurf 03.10.2014, Artikel 23, 13772/14:
http://data.consilium.europa.eu/doc/document/ST-13772-2014-INIT/de/pdf
21.03.2015
http://www.haufe.de/recht/datenschutz/eu-datenschutzverordnung/sanktionsmassnahmen-werden-erheblichverschaerft_224_95586.html
04.05.2015
Schulz Gabriel „Anforderungen an Privacy Impact Assessments aus Sicht der Datenschutzaufsichtsbehörden“, S. 1, 2013:
https://www.datenschutz-mv.de/datenschutz/publikationen/informat/pia/pia.pdf
15.01.2015
http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2011/wp180_annex_en.pdf
23.03.2015
Obligationenrecht Schweiz, OR Art. 663b
FMA Richtlinie 2013/1, Richtlinie zum risikobasierten Ansatz im Sinne des Gesetzes über berufliche Sorgfaltspflichten zur
Bekämpfung von Geldwäscherei, organisierter Kriminalität und Terrorismusfinanzierung und der dazugehörigen Verordnung:
www.fma-li.li
05.02.2015
Mittelberger, P., Das liechtensteinische Datenschutzgesetz – Eine Einführung, Liechtensteinische Juristenzeitung 2/03, S. 50,
http://www.llv.li/files/dss/pdf-llv-sds-ljz-abhandlung-2.pdf
30.08.2015
Liechtensteinische Datenschutzstelle, Tätigkeitsbericht 2012, S. 26. http://www.llv.li/files/dss/pdf-llv-dsstaetigkeitsbericht_2012.pdf,
30.08.2015
Datenschutzverordnung FL, Art. 9 Allgemeine Massnahmen Abs. 1
http://www.gesetze.li/DisplayLGBl.jsp?Jahr=2002&Nr=102
26.05.2015
Datenschutzverordnung FL, Art. 10 Besondere Massnahmen Abs. 2 Buchstaben a), b) und c)
http://www.gesetze.li/DisplayLGBl.jsp?Jahr=2002&Nr=102
Risikobasierter Datenschutz
Seite 21 von 23
26.05.2015
Datenschutz-Grundverordnung, Entwurf 03.10.2014, Ziffer 60), 13772/14:
http://data.consilium.europa.eu/doc/document/ST-13772-2014-INIT/de/pdf
21.03.2015
Risikobasierter Datenschutz
Seite 22 von 23
9.
Abbildungsverzeichnis
Abbildung 1: Einordnung Risiken ……………….…………………………………………………………….14
Abbildung 2: Übersicht Risikomatrix ………………..………………………………………………………...17
Abbildung 3: Beschreibung der Massnahmen……………………………………………………………….18
Risikobasierter Datenschutz
Seite 23 von 23

Download Report