Struktur und Aufbau einer Risikomatrix für die Datenschutz-Folgeabschätzung

  1. Home
  2. Blog
  3. Datenschutz
  4. Blog Post
Veröffentlicht am 23.07.2018

Für die Verarbeitung von besonders sensiblen Daten fordert die neue DSGVO eine sog. Datenschutz-Folgeabschätzung (DSFA). Wie diese aussehen kann und was dabei zu berücksichtigen ist erläutert Erwin Rödler von der Revidata GmbH im nachfolgenden Beitrag.

(1) Grundsätzliches zur Definition, Aufbau und Ziel der Risikomatrix
Mit Hilfe einer Risikomatrix werden verschiedene Risikoaspekte, die bzgl. der EU-DSGVO bei der Verarbeitung personenbezogener Daten relevant sind, gemeinsam betrachtet und bewertet. Die Bewertung der einzelnen Risikoaspekte, die mittels sogenannter Risikofaktoren beurteilt werden, erfolgt auf Basis ordinalskalierter Werte in Form von „Noten“.Zusammenfassung der Risikofaktoren im Rahmen einer Datenschutz-Folgeabschätzung

Aus den ermittelten „Noten“ der einzelnen Risikofaktoren wird zum Schluss mittels geeigneter Aggregation (summarisch oder faktoriell) eine Risikoprioritätenzahl (abgekürzt RPZ) ermittelt, die einen Vergleich verschiedenster Datenschutz (DS)-relevanter Vorgänge hinsichtlich der Risiko-Folgeabschätzung zueinander ermöglicht.

Die Wahl des Aggregationsverfahrens ist dem Anwender überlassen. Es ist aber folgendes zu beachten: Im Falle einer summarischen Aggregation ist der Einfluss der Beurteilung einzelner Risikofaktoren auf das Ergebnis der Risikoprioritätenzahl geringer als im Falle der faktoriellen Aggregation.

(2) Risikoaspekte und die daraus definierten Risikofaktoren
Im Zuge der in Artikel 35 DSGVO vorgesehenen Datenschutz-Folgeabschätzung sind grundsätzlich erst einmal die Risiken aufzunehmen, die mit der Verarbeitung personenbezogener Daten in Zusammenhang stehen. Insbesondere gilt dies in erster Linie für die in Absatz (3) a) bis c) genannten Sachverhalte.

Der Artikel 5 der DSGVO regelt dabei die wichtigsten Grundsätze der Verordnung, die somit auch für die automatisierte Verarbeitung gelten. Der Artikel 5 gibt folgende Grundprinzipien für den Umgang mit personenbezogenen Daten vor:

  1. Rechtmäßigkeit (Verbot mit Erlaubnisvorbehalt)
  2. Verhältnismäßigkeit (Verarbeitung nach Treu und Glauben)
  3. Transparenz
  4. Zweckbindung
  5. Datenminierung
  6. Richtigkeit
  7. Speicherbegrenzung
  8. Integrität und Vertraulichkeit
  9. Rechenschaftspflicht

D. h. im Rahmen der Datenschutz-Folgeabschätzung sind diese Grundprinzipien für die DS-relevanten Sachverhalte zu erfüllen.

Hierbei stellt sich nun insbesondere die Frage: “Wie wahrscheinlich ist die Verletzung der hier aufgeführten 9 Grundprinzipien bei der Verarbeitung spezieller personenbezogener Daten?”. Somit ist ein Risikofaktor, der bei der Bewertung berücksichtigt werden muss, der sogenannte Sicherheitsgrad der Daten (= security level of the data) zur Gewährleistung der hier genannten Grundprinzipien. Geht man der Frage nach, wovon deren Wert beeinflusst wird, so finden wir 3 Sub-Faktoren und zwar:

  • Schutzbedürftigkeitsgrad der Daten
  • Logische Sicherheitsmaßnahmen zum Schutz der Daten
  • Physische Sicherheitsmaßnahmen zum Schutz der Daten

Als weiteren Aspekt bei der Beurteilung des Risikos ergibt sich gemäß Absatz (7) c) DSGVO die Bedeutung des eingetretenen Verarbeitungsfehlers für den Schutz der mit den Daten in Verbindung gebrachten betroffenen Person. Dieser Aspekt lässt sich durch den Risikofaktor „Fehlerbedeutung für die betroffene Person“ (= error significance for affected person) beschreiben. Dabei sind alle relevanten Dimensionen der mit der Person im Rahmen der Datenhaltung und Datenverarbeitung vorhandenen Daten zu berücksichtigen und zu klassifizieren.

Zuletzt ist gemäß Artikel 35 der DSGVO eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck durchzuführen (siehe Absatz (7) b)). Dies lässt sich mit Hilfe des Risikofaktors „Konfessionsgröße der Daten“ (= denominational size of the data) beschreiben, bei dem der für die zweckgerichtete Verarbeitung erforderliche Informationsanteil beurteilt wird.

(3) Bewertungsschema für die Risikofaktoren
Die in Abschnitt 2 genannten Risikofaktoren lassen sich nun aufgrund ihrer Definition wie folgt bewerten:

Risikofaktor „Sicherheitsgrad der Daten“ [SGD]:
Dieser Risikofaktor ergibt sich aus den vorhin in Abschnitt genannten drei Sub-Risikofaktoren uns lässt sich wie folgt berechnen:

SGD=∛(SBGD∙LSMD∙PSMD)

Dabei gilt für die Beurteilung der 3 Sub-Risikofaktoren folgendes Bewertungsschema:

  • Sub-Risikofaktor „Schutzbedürftigkeitsgrad der Daten“ [SBGD]
    Die Verordnung gilt zunächst für die Verarbeitung personenbezogener Daten durch Verantwortliche und Auftragsdatenverarbeiter, die im Rahmen von Tätigkeiten von Niederlassungen in der EU erfolgen. D. h. die Verordnung gilt in sachlicher Hinsicht für die automatisierte Verarbeitung personenbezogener Daten (siehe Art. 2 Abs. 1 DSGVO). Hierbei ist es unerheblich, ob die Verarbeitung vollständig oder nur teilweise automatisiert stattfindet. Darüber hinaus findet die Verordnung auf die nichtautomatisierte Verarbeitung von personenbezogenen Daten Anwendung, die bereits in einer Datei gespeichert sind oder noch gespeichert werden sollen.Dieser Sub-Risikofaktor bewertet nun, inwieweit die verarbeitenden Daten aufgrund des Personenbezuges schutzbedürftig sind. Es wird der Informationsgehalt im Falle personenbezogener Daten bewertet.Einteilung des Sub-Risikofaktors SBGD hinsichtlich Ausprägung, numerischem Wert und Bedeutung
  • Sub-Risikofaktor „Logische Sicherheitsmaßnahmen“ [LSMD]
    Die logische Sicherheit wird bei diesem Sub-Risikofaktor bewertet: u. a. sichere Authentifizierung (Log-In), differenziertes Berechtigungskonzept sowohl für die Anwendung als auch die mit der Anwendung in Verbindung stehende Datenbank.Bei der Beurteilung dieses Sub-Risikofaktors hilft die Bewertung der bzgl. der beobachteten Verarbeitung etablierten TOM’s (= Technisch – Organisatorische Maßnahmen), welche sich auf logische Sicherheits-vorkehrungen beziehen und auf die im Artikel 32 der DSGVO allgemein hingewiesen wird.
    Einteilung des Sub-Risikofaktors LSMD hinsichtlich Ausprägung, numerischem Wert und Bedeutung
  • Sub-Risikofaktor „Physische Sicherheitsmaßnahmen“ [PSMD]
    Bei diesem Sub-Risikofaktor wird die physikalische Sicherheit der mit der Datenhaltung und Datenverarbeitung in Verbindung stehende IT-Infrastruktur und Hardware sowie Anwendungssoftware beurteilt. Auch hier hilft wie beim vorherigen Sub-Risikofaktor die Bewertung der etablierten TOM’s.Einteilung des Sub-Risikofaktors PSMD hinsichtlich Ausprägung, numerischem Wert und Bedeutung im Rahmen der Datenschutz-Folgeabschätzung

Risikofaktor „Fehlerbedeutung für die betreffende Person“ [FBP]:
Hier erfolgt eine Bewertung bzw. Beurteilung der mit der Datenpanne verbundenen möglichen Folge (z. Bsp. Nachverfolgbarkeit, Profiling) der mit den Daten in Bezug stehenden betroffenen Person(en).

Für diesen Risikofaktor empfiehlt sich folgendes Bewertungsschema:

Einteilung des Sub-Risikofaktors FBP hinsichtlich Ausprägung, numerischem Wert und Bedeutung im Rahmen der Datenschutz-Folgeabschätzung

Risikofaktor „Konfessionsgröße der Daten“ [KGD]:
Hier ist zu bewerten, inwieweit die mit der Person in Beziehung stehenden Daten wirklich zur Erfüllung des mit dem Verarbeitungsauftrags stehenden Zwecks dienlich sind.

Für diesen Risikofaktor empfiehlt sich folgendes Bewertungsschema:

Einteilung des Sub-Risikofaktors KGD hinsichtlich Ausprägung, numerischem Wert und Bedeutung im Rahmen der Datenschutz-Folgeabschätzung

(4) Definition der Risikoprioritätskennzahl (RPZ)

Mit den in Abschnitt 3 ermittelten Risikofaktoren lässt sich nun nach dem multiplikativen Modell die Risikoprioritätenzahl wie folgt berechnen:

RPZ=SGD∙FBP∙KGD

Die so ermittelte Risikoprioritätenzahl hat einen Wertebereich von 1 bis 60. Dabei bedeutet ein hoher Wert, dass das Risiko hoch ist. Somit können die hiermit ermittelten RPZ dazu benutzt werden, die jeweiligen mit der Risikomatrix bewerteten Verarbeitungsprozesse zu priorisieren. Verarbeitungsprozesse mit hoher RPZ sind demnach vor entsprechenden Prozessen mit geringerem RPZ datenschutzrechtlich durch entsprechende Maßnahmen anforderungsgerechter zu gestalten. D. h. die hiermit bewerteten Verarbeitungsprozesse genügen weniger der DSGVO je höher die ermittelte RPZ ist. Eine RPZ für eine Verarbeitung mit Wertigkeit „1“ bedeutet somit die vollkommene Erfüllung der Anforderungen gemäß DSGVO.

Bestimmungsfaktoren der Risikoprioritätenzahl RPZ im Rahmen der Datenschutz-Folgeabschätzung

Weitere spannende Informationen zum Thema Datenschutz finden Sie hier.

Erwin Rödler, Revidata GmbH, zum Thema Risikomatrix für die Datenschutz-Folgeabschätzung, die gemäß der neuen DSGVO für besonders sensible Daten erstellt werden muss.

Diplom-Wirtschaftsmathematiker Erwin Rödler, ist seit 2004 Prokurist der REVIDATA GmbH in Düsseldorf. Seit 2001 prüft, berät und schult er in den Bereichen Datenanalyse, Software-Funktionsprüfungen, Revision und SAP. Vor seiner Tätigkeit bei REVIDATA GmbH war Herr Rödler als Produkt- und Systemmanager eines Softwareherstellers, sowie DV-Revisor bei einer Fondgesellschaft und als Berater selbständig tätig. Herr Rödler ist anerkannter Referent und Dozent (Universität Trier, Hochschule Trier sowie verschiedene private Bildungsträger).