Zentraler Anknüpfungspunkt, um den Vorfall zu beurteilen und um die Frage zu beantworten, ob überhaupt eine Meldung an die Aufsichtsbehörde und zusätzlich an die Betroffenen erfolgen muss, ist dann das Risiko, das durch die Schutzverletzung besteht oder zu erwarten ist.
Die Datenschutz-Grundverordnung fordert mit Erwägungsgrund 76 objektive Kriterien, um festzustellen, ob ein Risiko oder ein hohes Risiko vorliegt (Prognosepflicht). Dies dürfte einer der wichtigsten Erwägungsgründe der Grundverordnung sein. Denn eine Risikobewertung "nach Bauchgefühl" oder "Erfahrung" ist nicht ausreichend. Valide Ansätze müssen die Risiken für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten berücksichtigen.
3.1 Was bedeutet "Risiko"?
Für die Entwicklung eines Datenschutzkonzepts ist eine Risikoanalyse notwendig, um Risiken für personenbezogene Daten zu verstehen. Die DSGVO definiert den Risikobegriff nicht explizit. Jedoch hat die Datenschutzkonferenz, das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden von Bund und Ländern, den Begriff im Kurzpapier Nr. 18 beschrieben.
Das Gremium definiert ein Risiko als "(…) das Bestehen der Möglichkeit des Eintritts eines Ereignisses, das selbst einen Schaden, einschließlich ungerechtfertigter Beeinträchtigung von Rechten und Freiheiten natürlicher Personen darstellt oder zu einem weiteren Schaden für eine oder mehrere natürliche Personen führen kann.".
Demnach besteht ein Risiko grundsätzlich aus 2 Komponenten: der Schwere eines möglichen Schadens und der Wahrscheinlichkeit, dass dieser Schaden eintritt. Diese Eintrittswahrscheinlichkeit kann wiederum neue Risiken mit sich bringen.
Schadensereignisse können z. B. durch unrechtmäßige Verarbeitungstätigkeiten entstehen oder durch Verstöße gegen die Grundsätze der DSGVO aus Art. 5, was das Grundrecht auf Datenschutz verletzt. Solche Verstöße können zu weiteren Risiken wie Diskriminierung der betroffenen Person führen. Schäden können, sowohl durch die geplante Verarbeitung selbst als auch durch Abweichungen, die eigenverantwortlich oder durch Dritte (z. B. technische Fehlfunktionen, unberechtigte Zugriffe) verursacht werden, entstehen. Risiken für die Rechte und Freiheiten natürlicher Personen können in verschiedenen Formen und Schweregraden auftreten, einschließlich physischer, materieller oder immaterieller Schäden. Immaterielle Schäden umfassen alle Grundrechtsverletzungen der betroffenen Person.
3.2 Bestimmung des Risikos einer Schutzverletzung
Wie lässt sich denn nun aber genau das Risiko "berechnen"? Wieder hilft hier Erwägungsgrund 76 DSGVO weiter: "Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Person sollten in Bezug auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung bestimmt werden. Das Risiko sollte anhand einer objektiven Bewertung beurteilt werden, bei der festgestellt wird, ob die Datenverarbeitung ein Risiko oder ein hohes Risiko birgt."
Wie in der Informationssicherheit ist das Risiko im Datenschutz nicht zu einseitig zu betrachten. So dürfte es im Datenschutz nur in sehr seltenen Fällen ausreichen, das Risiko als reinen monetären Wert darzustellen (meist wenn es um Verfügbarkeit von Systemen und den Wert von IT-Technik geht). Das Vorgehen sollte daher mehr umfassen, als das bloße Multiplizieren eines geschätzten Schadens mit einem mathematischen Wahrscheinlichkeitswert. Dennoch gilt es, mit den Begriffen "Schadenshöhe" und "Eintrittswahrscheinlichkeit" umzugehen.
3.3 Risikomatrix als eine Möglichkeit
Eine Möglichkeit kann folgender Ansatz sein: Eine Skala mit 5 Ausprägungen definiert die Schadenshöhe und die Eintrittswahrscheinlichkeit. Eine Risikomatrix bildet dann das Zusammenwirken aller Ausprägungen i. S. e. "Risiko-Scorewerts" ab.
Quelle: GDPC GbR
Abb. 1: Risikomatrix
So wie in Abb. 1 verhält sich – ähnlich auch in anderen Compliance-Bereichen – die Bewertung und Einstufung von Risiken in Relation.
Für die praxistaugliche Anwendung bietet sich die Erstellung eines Risikomatrixdokuments (auch in Excel möglich) zur groben Voreinschätzung an. Dieses kann – bei entsprechender revisionssicherer Dokumentation einzelner damit bewerteter Schutzverletzungen – auch als ein wesentlicher Teil zum Nachweis der Erfüllung der Pflichten aus Art. 33 und 34 DSGVO, nämlich hinsichtlich des Zusammentragens und gemeinsamen relativen Bewertens der vorliegenden Situation anhand der gegebenen Parameter gesehen werden.
3.4 Weitere Möglichkeiten zur Bestimmung des Risikos einer Schutzverletzung
Abstufung auf einer Skala (z. B. 4 Stufen) für Schwere und Eintrittswahrscheinlichkeit
Sowohl die mögliche Schadenshöhe als auch die Eintrittswahrscheinlichkeit können auf einer Skala, z. B. mit 4 Ausprägungen, eingeordnet werden. Die Kombination beider Werte ergibt dann das Gesamtrisiko.
Qualitative Beschreibung der Schadenshöhe und Wahrscheinlichkeit
Anstatt einer numerischen Skala können Schadenshöhe und Eintrittswahrscheinlichkeit auch qualitativ in Kategorien wie "gering", "mittel", "hoch" etc. eingeteilt und so bewertet werden.
Gewichtung und S...