Die Risikofrage – Wie viel setzen Sie?
PSP Case Study zur DSGVO: Praxisfall 37

DSGVO: Praktischer Fall

Die Huber AG verarbeitet verschiedene personenbezogene Daten, nämlich

  • Personalaktendaten ihrer Beschäftigten,
  • Notfallkontakte ihrer Beschäftigten (zumeist Verwandte wie Ehegatten oder Kinder),
  • Bewegungsdaten ihrer Beschäftigten (wie Änderungsbelege in der ERP-Software, welche sowohl den handelnden Mitarbeiter als auch den ursprünglichen und den neuen Feldinhalt ausweisen),
  • Ansprechpartner von Unternehmen, welche die Huber AG mit Waren und Dienstleistungen beliefern (B2B-Lieferanten) oder von der Huber AG Waren und Dienstleistungen beziehen (B2B-Kunden), wobei es sich dabei auch um Einzelkaufleute, Freiberufler oder Ein-Mann-GmbHs handeln kann,
  • Kontaktdaten von Kontaktpersonen in Verbänden und politischen Parteien sowie allgemein zu Marketing-Zwecken, mit denen die Huber AG irgendwann in Kontakt stand bzw. steht und die sich in Zukunft noch als nützlich erweisen könnten.

Die Huber AG führt eine datenschutzrechtliche Risikobewertung durch und fragt sich, welches datenschutzrechtliche Risiko – niedrig, normal, hoch – mit der Verarbeitung dieser Daten einhergeht.

Man muss nicht zu der Generation gehören, die am Samstagabend noch „Der große Preis“ mit Wim Thoelke schaute, um zu erahnen, was wohl damals die „Risikofrage, wie viel setzen Sie?“ war. Tatsächlich ist die Risikobewertung ein essentieller Bestandteil eines Datenschutz-Compliance-Management-Systems, denn das Datenschutzrecht ist „risikobasiert“: Insbesondere hängen die notwendigen technischen und organisatorischen Maßnahmen vom Risikogehalt der jeweiligen Daten bzw. Verarbeitung ab (insbes. Art. 24, 25, 32 DSGVO). Wer allerdings denkt, man könnte Risiko schön sauber auf die Nachkommastelle genau quantifizieren und die daraus folgenden Maßnahmen mit „mathematischer“ Präzision bestimmen, wird an den nachfolgenden Ausführungen keine rechte Freude haben.

Vonseiten der Datenschutzbehörden beschäftigen sich sowohl das Kurzpapier Nr. 18 als auch das Standard-Datenschutzmodell mit der Risikobewertung, letzteres sowohl in dessen Abschnitt D3.1 bis D3.4 als auch in dessen Baustein 41 („Planung und Spezifikation“). Nach dem Standard-Datenschutzmodell fließt das ermittelte Risiko „in dreierlei Form in die weiteren Betrachtungen ein“ (Abschnitt D4.3): Erstens findet das Risiko irgendwie Eingang in die qualitative Konkretisierung der Gewährleistungsziele bezüglich der (konkreten) Verarbeitungstätigkeit. Zweitens wirkt das Risiko irgendwie als Faktor auf die Abwägung zwischen der Wahrung der Interessen der Betroffenen und dem hierfür erforderlichen Aufwand des Verantwortlichen ein. Drittens fließt das Risiko irgendwie in die Bewertung der nach Umsetzung von technischen und organisatorischen Maßnahmen verbleibenden Restrisiken ein.

Die Aufgabe, eine datenschutzrechtliche Risikobewertung durchzuführen, muss nach der DSGVO jeder Verantwortliche – ob Privatmann oder Großkonzern – gleichermaßen bewältigen. Wer die nachfolgenden Ausführungen liest, die sich mit den verschiedenen Szenarien, Umständen und Folgen beschäftigen, die „gefahrerhöhend“ wirken und damit zu einem „hohen Verarbeitungsrisiko“ führen können, dem mag einiges unausgegoren und unklar erscheinen. Gerade am Beispiel Risikobewertung, mit einem häufig mutmaßlich als „gegriffen“ oder sogar „willkürlich“ empfundenen Ergebnis, zeigt sich, wie „unpraktisch“ (im Sinne von „schlecht rechtssicher operationalisierbar“) die DSGVO ist.

Risiko von was?

Im Rahmen der Planung eines Datenschutz-Management-Systems ist für jede Datenkategorie zunächst das Risiko für die Rechte und Freiheiten Betroffener durch die Verarbeitung für den Fall zu bestimmen, dass die Daten zum vorgesehenen Zweck verarbeitet werden und noch keine zusätzlichen technischen und organisatorischen Maßnahmen getroffen werden (Baustein M41.08 des Standard-Datenschutzmodells). Aus diesem (abstrakten) Risiko ergibt sich dann der Schutzbedarf der Betroffenen. Es ist umso höher, je sensibler die verarbeiteten Daten sind. Die „Rechte und Freiheiten der betroffenen Personen“ beziehen sich – so die Datenschutzbehörden – hauptsächlich auf das „Recht auf Datenschutz“ (Art. 8 Abs. 1 der Europäischen Grundrechtecharta) als Ausprägung der informationellen Selbstbestimmung, „aber auch auf andere Grundrechte wie Rede- und Gedankenfreiheit, Freizügigkeit, Benachteiligungsverbot, Recht auf Freiheit, Gewissens- und Religionsfreiheit“. Dieses ziemlich „uferlose“ Schutzgut wird übrigens unter Datenschutz-Theoretikern unter dem Stichwort „Schutzgutdebatte“ diskutiert.

Aufgrund der Qualität dieser (Grund-)Rechte geht es in der Praxis freilich in erster Linie um immaterielle Schäden für die Betroffenen (so das oben angesprochene Kurzpapier Nr. 18). Neben dem Risiko von Schäden aus der geplanten Verarbeitung selbst (zum vorgesehenen Zweck) können sich Schäden aus einer eigenverantworteten oder fremdverursachten Abweichung von der bezweckten Verarbeitung ergeben. Diese Schäden können – ebenso wie im Bereich der Informationssicherheit – die Folge eines Verlusts der Verfügbarkeit der Daten, der Vertraulichkeit von Informationen sowie der Integrität (inhaltlichen Richtigkeit) von Informationen sein.

Datenschutz-Folgenabschätzung und Schwellwertanalyse

Hat in diesem Zusammenhang „eine Form der Verarbeitung [...] aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“, ist vorab eine Datenschutz-Folgenabschätzung durchzuführen (Art. 35 DSGVO). Dabei ist allerdings schon unklar, nach welchen Kategorien die DSGVO Risiken überhaupt bemisst: Sie selbst nennt alternativ ein normales und ein hohes Risiko, aber auch ein „Nicht-Risiko“ (Art. 33 DSGVO), das von den Datenschutz-Behörden sinngemäß als „unwesentliches Restrisiko“ umschrieben wird (da es ein Null-Risiko nicht geben kann).

Die Datenschutz-Folgenabschätzung selbst ist ein Verfahren, anhand dessen die Verarbeitung beschrieben, ihre Notwendigkeit und Verhältnismäßigkeit bewertet und die Risiken für die Rechte und Freiheiten natürlicher Personen, die die Verarbeitung personenbezogener Daten mit sich bringt, durch eine entsprechende Risikoabschätzung und die Ermittlung von Gegenmaßnahmen besser kontrolliert werden sollen. Sie unterscheidet sich von der in jedem Fall vorzunehmenden „normalen“ Risiko- und Schutzmaßnahmenbestimmung durch ein höheres Maß an Formalisierung und die ggf. notwendige Einbeziehung Dritter. Was genau das heißt, ist unklar; das Interpretationspapier der Aufsichtsbehörden zur Durchführung einer Datenschutz-Folgenabschätzung (Kurzpapier Nr. 5 der Datenschutzkonferenz) bleibt naturgemäß vage. Jedenfalls handelt es sich nicht um eine einmalige Aufgabe, sondern um einen kontinuierlichen Prozess (Überprüfung und Erneuerung). Hier wird also niemandem die Arbeit ausgehen. Wer sich tiefer mit den bisher vorgeschlagenen Methoden beschäftigen will, der kann etwa das Verfahren der französischen Aufsichtsbehörde CNIL studieren, das auf einer Risikomanagementmethode aus dem IT-Sicherheitsbereich beruht. Alternativ gibt es den bereits seit längerem bestehenden Leitfaden der britischen Aufsichtsbehörde ICO. Aus Deutschland ist ein Leitfaden mit Vorgehensempfehlungen des Bitkom sowie auf die in den BMBF-Projekten „Forum Privatheit“ und „DSFA für die betriebliche und behördliche Praxis“ entwickelten Verfahren, die auf dem Standard-Datenschutzmodell aufbauen, zu nennen. Aus dem Normungsbereich ist auf die ISO/IEC-Norm 29134:2017 hinzuweisen, die „detailliert den Ablauf einer Datenschutzfolgenabschätzung von der Vorbereitungs- über die Durchführungs- bis hin zur Nachbereitungs- und Report-Phase“ beschreibt. Es kann kaum überraschen, dass die Verfahren neben Parallelitäten auch erhebliche Unterschiede in der Vorgehensweise vorsehen. Wenn also trotz durchgeführter Datenschutz-Folgenabschätzung dennoch später ein Datenschutzverstoß (Datenpanne) identifiziert wird, so wird das wohl – nachher ist man immer schlauer – daran liegen, dass der Verantwortliche die „falsche“ dieser Methoden verwendet hat. Entsprechend wird in der Fachliteratur empfohlen, „vor der Durchführung einer Datenschutz-Folgenabschätzung alle Verfahren eingehend zu prüfen, um dann das jeweils sinnvollste auswählen zu können“. Alleine die Vorgaben, welche heterogenen Personengruppen bzw. Abteilungen unternehmensintern und welche externen Dienstleister (Berater, Cloud-Anbieter etc.) unternehmensextern sowohl an einer solchen Vor-Evaluierung als auch an der eigentlichen Datenschutz-Folgenabschätzung teilnehmen sollten, lässt die Vermutung aufkommen, dass der europäische Gesetzgeber und seine Exegeten der Meinung sind, dass Unternehmen neben derartigen Aufgaben nicht viel zu tun haben.

Ob ein hohes Risiko im beschriebenen Sinne vorliegt, ist vorgelagert im Rahmen der sog. Schwellwert-Analyse zu ermitteln. Diese „Vor-Risikoanalyse“ sollte dann gleichzeitig im Kontext der von der DSGVO ohnehin geforderten „gewöhnlichen“ Risikoanalyse Anhaltspunkte für das generelle Risiko geben: Führt die Schwellwert-Analyse zu keinem hohen Risiko, so sollte auch die „gewöhnliche“ Risikoanalyse nicht mehr zu einem hohen Risiko führen. Ansonsten ist wohl irgendetwas schiefgelaufen. Das klingt leider lustiger, als es ist.

Der Gesetzestext

Im Einzelnen ist unklar, wie genau eine Schwellwert-Analyse zur Ermittlung eines „hohen“ Risikos durchzuführen ist. Die DSGVO selbst gibt keine klaren – und vor allem abschließenden – Kriterien vor. Dementsprechend ist auch der materielle Maßstab der Schwellwertanalyse in seinen Einzelheiten offen, etwa, ob sich das „hohe Risiko“ kumulativ auf die Art, den Umfangs, die Umstände und den Zwecke der Verarbeitung beziehen muss oder ob einzelne Elemente ausreichen. Erwägungsgrund 76 führt hierzu nur aus:

Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Person sollten in Bezug auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung bestimmt werden. Das Risiko sollte anhand einer objektiven Bewertung beurteilt werden, bei der festgestellt wird, ob die Datenverarbeitung ein Risiko oder ein hohes Risiko birgt.

Eine stringente Methodik für die Bewertung sucht man in der DSGVO vergebens, denn auch in Art. 35 Abs. 1 und 3 DSGVO ist nur von (nicht-abschließenden) „insbesondere“-Fällen die Rede. Dort werden insgesamt vier Konstellationen genannt, nämlich die „Verwendung neuer Technologien“ in Art. 35 Abs. 1 DSGVO und weitere drei Konstellationen in Art. 35 Abs. 3 DSGVO, von denen Art. 35 Abs. 3 lit. a und b DSGVO nachfolgend wiedergegeben werden. Daneben kann dann noch – wie so oft – im Kaffeesatz der Erwägungsgründe gelesen werden.

Werden sensible Kategorien von personenbezogenen Daten im Sinne von Art. 9 und 10 DSGVO „umfangreich“ verarbeitet, so ist eine Datenschutz-Folgenabschätzung durchzuführen (Art. 35 Abs. 3 lit. b DSGVO). Nur: Was heißt eigentlich „umfangreich“? Wenn ein mittelständisches Unternehmen 400 Mitarbeiter beschäftigt und von sämtlichen Mitarbeitern aus Gründen der abzuführenden Kirchensteuer deren Konfession erhebt, verarbeitet es dann „umfangreich“ sensible Kategorien personenbezogener Daten? Einen – wenig erquicklichen – Anhaltspunkt liefert Erwägungsgrund 91:

Dies sollte insbesondere für umfangreiche Verarbeitungsvorgänge gelten, die dazu dienen, große Mengen personenbezogener Daten auf regionaler, nationaler oder supranationaler Ebene zu verarbeiten, eine große Zahl von Personen betreffen könnten und [...]. Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt. In diesen Fällen sollte eine Datenschutz-Folgenabschätzung nicht zwingend vorgeschrieben sein.

Auch das erklärt nicht, wo die Grenze zwischen einem „Ein-Mann-Freiberufler“ und einer „großen Menge personenbezogener Daten auf regionaler Ebene“ liegt – immerhin befindet sich dazwischen ein weites Feld.

Unabhängig davon: Findet „eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen“ statt, „die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen“, ist ebenfalls eine Datenschutz-Folgenabschätzung durchzuführen (Art. 35 Abs. 3 lit. a DSGVO). Für derartige „persönliche Aspekte“ enthält Erwägungsgrund 75 einige Beispiele (s. u.). Aber welches CRM-System („automatisierte Verarbeitung“) erlaubt nicht die Eingabe persönlicher „Track Records“ zu jedem Kontakt mit einem möglichen Kunden, anhand derer dann – in systematischer Bewertung persönlicher Aspekte wie persönlicher Vorlieben und Interessen – entschieden wird, ob und wie der Betreffende weiter angesprochen wird?

Neben diesen Fallgruppen, die sich jeweils aus bestimmten Datenkategorien und qualifizierenden Verarbeitungsmerkmalen zusammensetzen („umfangreich“, „systematisch“ und „umfassend“), enthalten die in Erwägungsgrund 75 dargestellten Fälle von „Risiken für die Rechte und Freiheiten natürlicher Personen – mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere –“ sozusagen die „Basiszutaten“ der allgemein im Rahmen einer datenschutzrechtlichen Risikobewertung mit einzubeziehenden Szenarien und Folgen. Solche Risiken

können aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einem physischen, materiellen oder immateriellen Schaden führen könnte, insbesondere wenn die Verarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann,

wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren,

wenn personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Zugehörigkeit zu einer Gewerkschaft hervorgehen, und genetische Daten, Gesundheitsdaten oder das Sexualleben oder strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln betreffende Daten verarbeitet werden,

wenn persönliche Aspekte bewertet werden, insbesondere wenn Aspekte, die die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, die Zuverlässigkeit oder das Verhalten, den Aufenthaltsort oder Ortswechsel betreffen, analysiert oder prognostiziert werden, um persönliche Profile zu erstellen oder zu nutzen,

wenn personenbezogene Daten schutzbedürftiger natürlicher Personen, insbesondere Daten von Kindern, verarbeitet werden oder

wenn die Verarbeitung eine große Menge personenbezogener Daten und eine große Anzahl von betroffenen Personen betrifft.

Dieses „Potpourri“ an risiko- bzw. gefahrerhöhenden Umständen enthält aus der Perspektive des Art. 35 Abs. 3 DSGVO eine konkrete Aufgliederung des Begriffs der „persönlichen Aspekte“ und die – wenig überraschende – Bestätigung, dass die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne von Art. 9 und 10 DSGVO „riskant“ ist. Ein bisschen „beißt“ sich dieser Erwägungsgrund allerdings mit der grundsätzlichen Einsicht, dass jede Verarbeitungshandlung ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt (s. auch Art. 32 DSGVO). Auch Erwägungsgrund 75 kann also eigentlich nicht die abschließende Auflistung sämtlicher risikoerhöhender Faktoren beinhalten (so ist er aber sprachlich formuliert), sondern nur die „Hauptkandidaten“ für eine Risiko- bzw. Gefahrerhöhung.

Die in Erwägungsgrund 75 aufgeführten gefahrerhöhenden Elemente führen nicht automatisch zum Vorliegen eines hohen Risikos. Sie zeigen aber Bereiche auf, die außerhalb der „insbesondere“-Szenarien in Art. 35 Abs. 1 und Abs. 3 DSGVO zusätzlich zu beleuchten sind. Zudem können die dort aufgeführten Elemente eine Richtschnur für eine „Standard-Risikobewertung“ unterhalb des hohen Risikos darstellen. Wir werden unten noch im Einzelnen auf die einzelnen Elemente zurückkommen.

Die Datenschutzbehörden

Daneben hat der Gesetzgeber den Datenschutzbehörden aufgegeben, eine „Blacklist“ derjenigen Verarbeitungsvorgänge aufzustellen, für die eine Datenschutz-Folgenabschätzung durchgeführt werden muss (Art. 35 Abs. 4 DSGVO). Nun haben die deutsche DSK und viele Landesdatenschutzbeauftragte jeweils eigene Blacklists entwickelt, die sich auf den ersten Blick ähneln, auf den zweiten Blick aber teils erhebliche Unterschiede enthalten. Natürlich enthalten diese viele unbestimmte Rechtsbegriffe, insbesondere das Wort „umfangreich“, das man sich vom Gesetzgeber abgeschaut hat.

Diese Blacklists wiederum basieren nach den Angaben der Datenschutzbehörden auf dem Arbeitspapier („working paper“ – WP) 248 der Art.-29-Datenschutzgruppe aus dem Jahr 2017 (für die DSGVO bestätigt durch den Europäischen Datenschutzausschuss), welches (nicht-abschließend) folgende Kriterien für die Ermittlung eines hohen Risikos aufführt:

  • Bewerten und Einstufen (Erstellen von Profilen und Prognosen, einschließlich der Einholung von Auskünften einer Kreditauskunftei)
  • automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung
  • systematische Überwachung
  • Verarbeitung vertraulicher Daten oder höchst persönlicher Daten
  • Datenverarbeitung in großem Umfang
  • Abgleichen oder Zusammenführen von Datensätzen in einer Weise, die über die vernünftigen Erwartungen des Betroffenen hinausgeht
  • Verarbeitung von Daten zu schutzbedürftigen Betroffenen
  • innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen und
  • Fälle, in denen die Verarbeitung an sich die betroffenen Personen an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrags hindert.

Auch hier liegen erhebliche Überschneidungen mit den in Art. 35 DSGVO aufgeführten Szenarien sowie mit den in Erwägungsgrund 75 aufgeführten Umständen vor, aber auch darüber hinausgehende Fälle, die sich mit dem Grundkonzept des Standard-Datenschutzmodells und seiner „Gewährleistungsziele“ erklären lassen. Das Besondere an den behördlichen Blacklists ist, dass hier nicht kritisiert werden kann, diese würden keine „richtige“ Konkretisierung des Gesetzes darstellen, da den Behörden von Art. 35 Abs. 4 DSGVO insoweit eine Art „Rechtssetzungskompetenz“ eingeräumt wird. Ob und in welchen inhaltlichen Grenzen das mit der dürren Gesetzesformulierung („Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für die gemäß Absatz 1 eine Datenschutz-Folgenabschätzung durchzuführen ist, und veröffentlicht diese“) europarechtlich zulässig ist, soll hier nicht weiter hinterfragt werden.

Das besagte Arbeitspapier 248 geht davon aus, dass, wenn ein Verarbeitungsvorgang zwei dieser Kriterien erfüllt, der Verantwortliche „in den meisten Fällen zu dem Schluss kommen“ muss, dass eine Datenschutz-Folgenabschätzung notwendig ist. Es könne jedoch auch „in einigen Fällen“ vorkommen, dass schon bei Vorliegen nur eines Kriteriums eine Datenschutz-Folgenabschätzung notwendig sei. Umgekehrt könne es vorkommen, dass ein Verantwortlicher einen mehrere Kriterien erfüllenden Fall nicht als maßgeblichen Vorgang mit hohem Risiko bewertet; in diesem Fall sei die Nichtdurchführung einer Datenschutz-Folgenabschätzung zu begründen und zu dokumentieren und der Standpunkt des Datenschutzbeauftragten sei dabei mit einzubeziehen bzw. festzuhalten. Es handelt sich daher eher um eine grobe Richtschnur als um ein präzises Indikatoren-System.

Es mag also durchaus einige Fälle geben, in denen die vom Gesetz und den Datenschutzbehörden definierten Szenarien zweifelsfrei vorliegen. Die Mehrzahl der Fälle wird aber unterhalb dieser „Eindeutigkeits-Schwelle“ liegen, und aus den genannten Szenarien lässt sich keine definierte „Untergrenze“ für die Annahme eines hohen Risikos herleiten.

Das Kurzpapier Nr. 5 der Datenschutzkonferenz kündigt ein weiteres Kurzpapier zur Schwellwertanalyse an, aber bislang gibt es hierzu keine weitere (ohnehin nur unverbindliche) Interpretationshilfe der deutschen Datenschutzbehörden.

Die Checklisten

Auf dem Markt kursieren nun Checklisten, welche die verschiedenen oben aufgeführten Kriterien zu konsolidieren und konkreter zu formulieren versuchen. Hiernach kann sich ein hohes Risiko (typisiert) durch verschiedene Faktoren bzw. Gefährdungspotenziale ergeben, die sich an die oben aufgeführten Rechtsquellen Gesetz und behördliche Vorgaben anlehnen. Allerdings zeigt sich auch hier – wen wundert’s? –, dass sich dadurch keine große Verbesserung in Sachen Beurteilungsspielraum ergibt:

  • Bei der Verarbeitung soll eine neue, bisher noch nicht in einer Datenschutz-Folgenabschätzung untersuchte Informations- und Kommunikationstechnik eingesetzt werden.
    Das Kriterium stammt aus dem Szenario der „Verwendung neuer Technologien“ in Art. 35 Abs. 1 DSGVO. Wenn dies allerdings für jeden Verantwortlichen separat beurteilt werden müsste, dann müsste für jedes neue IT-System bei jedem Verantwortlichen zumindest eine Datenschutz-Folgenabschätzung durchgeführt werden. Wenn dies hingegen für die Summe aller Verantwortlichen (in Deutschland? in der EU?) gelten sollte, dann müsste jeder Verantwortliche wissen, was die anderen Verantwortlichen so bisher abgeschätzt haben – dazu gibt es aber keine Datenbank.
  • Bei der Verarbeitung soll eine hochkomplexe und stark miteinander vernetzte Informations- und Kommunikationstechnik eingesetzt werden.
    Das Kriterium kann aus dem WP 248 („Datenverarbeitung in großem Umfang“) abgeleitet werden. Die Bedingungen „hochkomplex“ und „stark vernetzt“ setzen einen Maßstab der „normalkomplexen“ bzw. „normal vernetzten“ IT-Systeme voraus. Das ist aber nirgends definiert. 
  • Bei der Verarbeitung soll eine große Menge personenbezogener Daten verarbeitet werden.
    Das Kriterium stammt aus dem WP 248 und ist auch in Erwägungsgrund 75 genannt. Was eine „große“ Zahl ist, bleibt natürlich unklar. Geht es um hunderte Datensätze? Tausende? Millionen?
  • Von der Verarbeitung ist eine große Anzahl von Personen betroffen.
    Auch dieses Kriterium stammt aus dem WP 248 sowie aus Erwägungsgrund 75. Hier stellt sich die gleiche Frage wie bei der Menge der personenbezogenen Daten. Durch die Trennung in zwei Kriterien kann es immerhin sein, dass eine große Menge personenbezogener Daten einer kleinen Anzahl von Personen ebenso wie eine kleine Menge personenbezogener Daten einer großen Anzahl von Personen relevant wird.
  • Die Verarbeitung dient der systematischen und umfangreichen großflächigen Überwachung im öffentlichen Raum.
    Dieses Kriterium setzt ein gesetzliches Regelbeispiel um (Art. 35 Abs. 3 lit. c DSGVO), konkretisiert („umfangreich“) dies aber nicht.
  • Die Verarbeitung soll teilweise oder vollständig (z. B. hinsichtlich Speicherung, Datensicherung oder Fernwartung) in einem Drittland durchgeführt werden, welches gemäß der Rechtsauffassung der EU-Kommission über kein angemessenes Datenschutzniveau verfügt.
    Dieses Kriterium findet sich z. B. in der Blacklist des Bayerischen Landesamts für Datenschutzaufsicht im Rahmen der Datenschutz-Folgenabschätzung, jedoch nicht generell (Drittlandsverarbeitung), sondern qualifiziert als „Umfangreiche und innovative Verarbeitung vertraulicher oder höchstpersönlicher Daten in Drittländern“. Das eigentlich qualifizierende Kriterium ist hier also nicht die Drittlandsverarbeitung als solche, sondern Innovation (Art. 35 Abs. 1 DSGVO) bzw. umfangreiche Verarbeitung (WP 248). Die Formulierung „teilweise oder vollständig“ führt im Umkehrschluss dazu, dass nur für Verarbeitungen, die in der EU oder in sicheren Drittländern durchgeführt werden, keine Datenschutz-Folgenabschätzung notwendig ist. Somit wäre schon bei allen personenbezogenen Daten auf Websites, die aus unsicheren Drittländern heraus aufgerufen werden können, eine Datenschutz-Folgenabschätzung durchzuführen? Dann müsste – wegen der Impressumspflichten, die zur Veröffentlichung zumindest der Namen von Organen zwingen – wohl jeder Website-Betreiber eine Datenschutz-Folgenabschätzung durchführen.
  • Die Verarbeitung ermöglicht eine umfassende und mit dem ursprünglichen Zweck der Datenerhebung nicht unmittelbar vereinbare Verknüpfung und Auswertung der gespeicherten Daten unter Berücksichtigung von Art. 6 Abs. 4 DSGVO.
    Dieses Kriterium geht ebenfalls auf das WP 248 zurück. Es kann in dieser Formulierung („ermöglicht“) für jedes Datum einschlägig sein, das aufgrund gesetzlicher Aufbewahrungspflichten – die mit dem ursprünglichen Erhebungszweck nichts zu tun haben – weiter gespeichert wird und natürlich auch eine Verknüpfung mit anderen Daten und eine Auswertung ermöglicht. Ob diese Verknüpfung und Auswertung dann tatsächlich stattfindet, ist schon nicht mehr relevant.
  • Für die Verarbeitung sollen zahlreiche Auftragsverarbeiter eingesetzt werden, die über einen Fernwartungszugang verfügen.
    Die Herleitung dieses – formalen, nicht auf den Dateninhalt abstellenden – Kriteriums ist unklar. Abgesehen davon, dass „zahlreich“ genauso undefiniert wie „umfangreich“ ist, stellt sich die Frage, was an einem ordentlichen Fernwartungszugang mit korrekter Auftragsverarbeitungsvereinbarung so viel schlechter sein soll als wenn die gesamte IT an einen Auftragsverarbeiter ausgelagert wird (Outsourcing), der dann nur nicht „fernwartet“, aber alles „hat“.
  • Die Verarbeitung ermöglicht den Betroffenen keinerlei Form einer unmittelbaren Kontrolle ihrer Daten (z. B. vom Betroffenen aufrufbare Anzeige der über ihn gespeicherten Daten) oder erschwert den Betroffenen die Ausübung ihrer Rechte entgegen der Vorgabe aus Art. 12 Abs. 2 DSGVO.
    Dieses Kriterium kann dem WP 248 zugeordnet werden. Abgesehen davon aber, dass Art. 12 Abs. 2 DSGVO davon spricht, dass die Ausübung der Betroffenenrechte vom Verantwortlichen „erleichtert“ werden soll – was immer das im Einzelnen heißt –, geben die wenigsten Systeme den Betroffenen eine unmittelbare Kontrolle über ihre Daten. Andersherum: Die Fälle, in denen die Betroffenen eine unmittelbare Kontrolle über ihre Daten haben, sind in der Praxis kaum mehr als die Fälle, in denen ein Kunde in einem Webshop oder bei einem sonstigen Online-Anbieter seine eigenen (Stamm-)Daten ändern kann. Welcher Betroffene, dessen Daten in einem CRM-, einem ERP- oder einem DMS-System gespeichert sind, kann diese selbst ändern? Welcher Beschäftigte hat die über ihn in einer elektronischen oder physischen Personalakte gespeicherten Daten „unter unmittelbarer Kontrolle“? Welcher Absender einer E-Mail hat noch die Hand auf den Informationen, nachdem diese an den Empfänger verschickt, von diesem ggf. weitergeleitet, ausgedruckt, archiviert wurde?
  • Die Verarbeitung soll zu einer automatisierten Entscheidungsfindung führen, die gegenüber dem Betroffenen eine rechtliche Wirkung entfaltet oder den Betroffenen in ähnlicher Weise erheblich beeinträchtigt, ohne dass der Betroffene seinen Standpunkt zur Anfechtung der Entscheidung vortragen kann.
    Dieses Kriterium stammt aus Art. 35 Abs. 3 lit. a DSGVO, ist aber nicht – wie dort – auf eine „systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen“ beschränkt. Auch hier ist es zumindest die Unklarheit in der Begrifflichkeit („erheblich beeinträchtigt“), die der praktischen Anwendung entgegensteht. Zudem stellt das Entfalten einer rechtlichen Wirkung gegenüber dem Betroffenen nicht immer eine „erhebliche Beeinträchtigung“ des Betroffenen dar, d. h. die „in ähnlicher Weise“-Formulierung ist – auch im Gesetzestext – eigentlich verfehlt.
  • Die Verarbeitung kann die Betroffenen an der Nutzung einer Dienstleistung bzw. an der Durchführung eines Vertrags hindern.
    Auch dieses – aus dem WP 248 abgeleitete – Kriterium basiert letztlich auf einer automatisierten Entscheidungsfindung, die einen Betroffenen „aussperrt“. Die Formulierung unterscheidet aber nicht danach, ob der Betroffene (aus rechtlicher Sicht) die Dienstleistung überhaupt nutzen bzw. einen Vertrag durchführen können muss. Die datenschutzrechtliche Sichtweise kann hier durchaus mit dem Grundsatz der Vertragsfreiheit kollidieren: Außerhalb besonderer Bereiche (Monopole etc.) darf jeder Verkehrsteilnehmer selbst entscheiden, mit wem er einen Vertrag abschließt und mit wem nicht, und er kann (aus zivilrechtlicher Sicht) diese Entscheidung natürlich auch einem System überlassen. Dies ist allerdings ein Bereich – die „unmittelbare Drittwirkung der Grundrechte“ –, der sich in Zukunft weiter verändern wird, indem die Verantwortlichen (wie traditionell ein Gesetzgeber oder die Verwaltung) verschiedene Grundrechte gegeneinander abwägen müssen. Im Übrigen überschneiden sich in diesem Kriterium Betroffenenrechte (Art. 22 DSGVO) und risikoerhöhende Faktoren: Die Gefahr, dass andere Betroffenenrechte (z. B. die Löschung) nicht erfüllt werden, begründet auch sonst nicht pauschal die Annahme eines erhöhten Risikos der Verarbeitungshandlung selbst.
  • Die unbefugte Verwendung der gespeicherten Daten ermöglicht eine Diskriminierung des Betroffenen.
    Dieses und die folgenden Kriterien wurden aus Erwägungsgrund 75 abgeleitet. Sie stellen dort einen in die Risikobewertung einzustellenden Faktor dar, den man auch als „risikoerhöhend“ interpretieren kann (auch wenn Erwägungsgrund 75 nicht ausdrücklich von Risikoerhöhung spricht). Auch hier findet sich wieder das gefährliche „Ermöglichen“ als einziges Kriterium. Viele Daten „ermöglichen“ eine Diskriminierung, man denke nur an Nachnamen, und das dann natürlich auch in Fällen der unbefugten Verwendung.
  • Die gespeicherten Daten können von einem Unbefugten für Identitätsmissbrauch oder Identitätsbetrug verwendet werden.
    Beim Identitätsdiebstahl (besser, und auch im Folgenden, Identitätsmissbrauch) wird neben dem Namen eine Reihe persönlicher Daten wie beispielsweise Geburtsdatum, Anschrift, Führerschein- oder Sozialversicherungsnummern, Bankkonto- oder Kreditkartennummern genutzt, um die Feststellung der tatsächlichen eigenen Identität (des Missbrauchenden) zu umgehen oder diese zu verfälschen. Je mehr zueinander passende Daten der Missbrauchende hat, desto sicherer wird ihm die Vorspiegelung gelingen.
    Dies bedeutet jedoch nicht, dass bereits ein Abzug „irgendwelcher“ Daten, im Extremfall nur eines (Nach-)Namens, einen Identitätsmissbrauch ermöglichen würde. Wäre dies der Fall, so wäre allein die Verarbeitung von (Nach-)Namen ein Fall des hohen Verarbeitungsrisikos. Vielmehr müssen die Datenkategorien in ihrer Kombination geeignet sein, sich einem Dritten bzw. einem IT-System gegenüber zu autorisieren. Es ist offen, ab welcher Kombination von Datenkategorien von „identitätsmissbrauchsfähigen“ Daten gesprochen werden kann (in der strafrechtlichen Terminologie die „Tiefe und Ausdifferenzierung der Legende“); eine gesicherte (Mindest-)Definition besteht nicht. Veröffentlichte Sicherheitsberichte bezeichnen etwa die amerikanische Social Security Number als „wertvolle Identitätsinformation“. In den öffentlich gewordenen Datenleck-Fällen von Buchbinder und Microsoft (s. Fall 38) wurde auf die hohe Qualität der Informationen hingewiesen (valide Namen, Firmenzugehörigkeiten, Anschriften, Geburtsdaten, Telefon- und Führerscheinnummern etc.) und die Möglichkeit von Spam, Phishing, CEO-Fraud, Einkäufen in fremdem Namen etc. hervorgehoben.
    Grundsätzlich kann aufgrund des Vergleichs mit den anderen Kategorien eines potenziell hohen Risikos der Datenverarbeitung davon ausgegangen werden, dass zumindest Name, (private) postalische Adresse und (private) Bankverbindung abgezogen werden müssen, um einen Identitätsdiebstahl (z. B. im Wege eines Kaufs auf Rechnung) zu ermöglichen. Selbst dies würde aber schon bedeuten, dass jeder Verarbeitung von Beschäftigtendaten ein hohes Risiko immanent ist, das eine Datenschutz-Folgenabschätzung erforderlich macht. Zwar gibt es einen gut dokumentierten Fall (2009), in denen ein finanzieller und Ruf-Schaden des Opfers (Betroffenen) schon mit Name und Geburtsdatum erzielt wurde, aber einerseits ist zweifelhaft, ob heutzutage mit einer solchen Kombination bereits ein (finanzieller) Schaden erzeugt werden kann, und andererseits würde die Annahme eines „hohen Risikos“ bereits aufgrund der Speicherung dieser Datenkategorien ein allgemeines Lebensrisiko, das stets – auch bei noch so rudimentären Datensätzen und ohne Verfügungsmacht über sensible Daten – vorliegen kann, zur höchsten datenschutzrechtlichen Risikokategorie erheben.
  • Eine unbefugte Verwendung der gespeicherten Daten kann für den Betroffenen zu einem finanziellen Verlust führen.
    Ein „finanzieller Verlust“ im Sinne dieses Kriteriums kann wohl kaum in irgendeinem (Kosten-)Aufwand des Betroffenen für die Abwehr unberechtigter Behauptungen, Rufschädigungen oder eines Identitätsmissbrauchs liegen, denn ein solcher Aufwand kann mit jeder behaupteten Rechtsverletzung – auch Bagatellverletzung – einhergehen. Vielmehr muss dem Betroffenen, damit das Vorliegen eines hohen Risiko gerechtfertigt sein kann, ein nicht nur unerheblicher Schaden im materiellen Sinne zugefügt werden, etwa der (zivilrechtlich endgültige) Verlust eines Anspruchs, der Verlust von Geld oder Vermögensgegenständen als direkte Folge eines Identitätsmissbrauchs oder der (nachweisliche) Verlust der Möglichkeit des Abschlusses eines gewinnbringenden Vertrages durch eine Rufschädigung etc.
  • Eine unbefugte Verwendung der gespeicherten Daten kann für den Betroffenen zu einer Rufschädigung führen.
    Der Begriff „Rufschädigung“ ist wohl ebenso schillernd wie der des Identitätsbetruges. Auch hier muss, wie bei den vorstehenden Kriterien, eine gewisse Erheblichkeit der Rufschädigung vorliegen, denn im Prinzip kann mit jedem personenbezogenen Datum irgendeine Form von Rufschädigung verursacht werden.
  • Eine unbefugte Einsichtnahme in die gespeicherten Daten verletzt ein bestehendes Berufsgeheimnis, dem die personenbezogenen Daten unterliegen.
    Damit wäre die Datenverarbeitung sämtlicher Berufsgeheimnisträger – etwa auch einzeln praktizierende Ärzte oder Steuerberater – als „potenziell gefahrgeneigt“ einzustufen. Das bedeutet nicht unmittelbar, dass eine Datenschutz-Folgenabschätzung durchzuführen ist, steht aber für einzelne Selbstständige in gewissem Widerspruch zum Erwägungsgrund 91, wonach in diesem Fall nicht von einer „umfangreichen“ Verarbeitung auszugehen ist und eine Datenschutz-Folgenabschätzung „nicht zwingend vorgeschrieben sein“ sollte.
  • Die Pseudonymisierung gespeicherter Daten kann von einem Unbefugten nach Zugriff auf die gespeicherten Daten aufgehoben werden.
    Dies wäre immer dann der Fall, wenn ein Verantwortlicher personenbezogene Daten pseudonymisiert hat und die Zuordnungsinformation an anderer Stelle aufbewahrt als die Daten selbst – dann kann der unbefugte Zugriff auf die Zuordnungsinformation die Pseudonymisierung aufheben. Könnte man dann die Gefahrerhöhung dadurch abwenden, dass man nicht pseudonymisiert?
  • Eine unbefugte Verwendung der gespeicherten Daten kann für den Betroffenen zu einem erheblichen wirtschaftlichen Nachteil führen.
    Es ist schon unklar, was der Unterschied zwischen einem finanziellen Verlust (s. o.) und einem erheblichen wirtschaftlichen Nachteil ist.
  • Eine unbefugte Verwendung der gespeicherten Daten kann für den Betroffenen zu einem erheblichen gesellschaftlichen Nachteil führen.
    Auch hier ist unklar, was ein erheblicher gesellschaftlicher Nachteil in Abgrenzung zu einer Rufschädigung sein soll.

Man kann an dieser Stelle zuerst einmal resümieren, dass auch derartige Listen – wie der Gesetzestext auch – mehr Fragen aufwerfen, als sie beantworten. Weiter muss sehr genau geprüft werden, ob solche Listen nicht in einzelnen Punkten über die gesetzlichen oder behördlichen Vorgaben hinausschießen – und damit übermäßigen Aufwand generieren – oder im Einzelfall sogar im Widerspruch zu Aussagen der Datenschutzbehörden an anderer Stelle stehen. So kann man sich leicht ausmalen, dass die obigen Kriterien bei der Verarbeitung von Beschäftigtendaten eines Unternehmens beinahe immer zur Annahme eines hohen Risikos führen werden, an die sich die Durchführung einer Datenschutz-Folgenabschätzung anschließt. Gleichwohl soll bei der typischen Verarbeitung von Beschäftigtendaten zur Durchführung von Beschäftigungsverhältnissen nach Ansicht des Bayerischen Landesamts für Datenschutzaufsicht gerade keine Datenschutz-Folgenabschätzung durchzuführen sein. In ihren „FAQs“ führt die Behörde aus, dass „in der Regel bei Verarbeitung von Personaldaten keine DSFA durchzuführen ist. Eine Ausnahme stellen ggf. umfangreiche zentrale Personalverwaltungen in (internationalen) Konzernstrukturen dar“. Da ist es übrigens wieder – das unbestimmte Wort „umfangreich“. Die Aussage der Behörde ist insoweit nachvollziehbar, als die Notwendigkeit einer Datenschutz-Folgenabschätzung bei jeder Verarbeitung von Beschäftigtendaten jeden Arbeitgeber in der EU betreffen würde. Hätte der DSGVO- oder BDSG-Gesetzgeber eine solche Notwendigkeit bei jedem Unternehmen gesehen, so hätte dies in dieser Pauschalität gesetzlich oder – über Art. 35 Abs. 4 DSGVO – behördlich festgelegt werden können und müssen.

Allerdings soll – so die Checkliste – das Vorliegen eines der oben aufgeführten Kriterien noch nicht zu einem hohen Risiko und damit zur Notwendigkeit der Durchführung einer Datenschutz-Folgenabschätzung führen. Das leuchtet unmittelbar ein, denn die Kriterien können, wie oben gezeigt, durchaus auch „Niedrigrisiko-Verarbeitungssituationen“ erfassen. Vielmehr liegt, wenn eine oder mehrere Kriterien erfüllt sind, zunächst nur (im Grunde müsste man sagen: allenfalls) ein „potenziell hohes Risiko“ (also ein Indiz) vor, das – wie auch bei einer „normalen“ Risikobeurteilung – nur dann ein hohes Risiko sein soll, wenn dessen Eintrittswahrscheinlichkeit hoch ist. Auf die diesbezüglich vorgeschlagenen weiteren (typisierten) Kriterien zur Bemessung der Eintrittswahrscheinlichkeit soll hier nicht eingegangen werden. Stattdessen schwenken wir an dieser Stelle auf die „normale“ Risikobeurteilung nach der Maßgabe des Kurzpapiers 18 der DSK um, die ebenfalls die Eintrittswahrscheinlichkeit misst, aber nicht auf Basis typisierter Szenarien, sondern auf der Basis konkreter Szenarien, aber typisierter Ursachen und typisierter Indikatoren für die Messung der Schwere des (möglichen) Schadens.

Die „normale“ Risikobeurteilung

Bei negativem Ergebnis einer Schwellwert-Analyse mit typisierten Kriterien ist eine „gewöhnliche“ Risikoanalyse (das Kurzpapier 18 der DSK spricht insoweit von einem „vereinfachten Verfahren“) durchzuführen. In deren Rahmen ist zu untersuchen, durch welche Handlungen oder Umstände es zum Eintritt schädigender Ereignisse (DSGVO-Verstößen) kommen kann, die dann in einen konkreten Schaden münden (Szenarienanalyse). Basierend auf der Analyse möglicher Szenarien ist dann die Eintrittswahrscheinlichkeit des Szenarios und des Schadens (bzw. die Schwere eines wahrscheinlichen Schadens) zu schätzen.

Dabei sind naturgemäß Überschneidungen mit den Inhalten der Schwellwert-Analyse im Kontext einer (etwaigen) Datenschutz-Folgenabschätzung möglich. Eine Schwellwert-Analyse dient ja dem Zweck, anhand von typisierten Kriterien festzustellen, ob ein „hohes Risiko“ vorliegt. Eine gewöhnliche Risikoanalyse unterhalb dieser Schwelle anhand von konkreten Szenarien sollte dann besser nicht zu dem Ergebnis kommen, dass doch ein „hohes Risiko“ vorliegt. Also sollte die Schwellwert-Analyse insoweit zum selben Ergebnis kommen wie die gewöhnliche Risikoanalyse – auch wenn für beide andere Methoden angewandt werden –, sonst läuft etwas falsch. Aber auch die gewöhnliche Risikoanalyse kann dann eigentlich nur noch zwischen „normalem Risiko“ und eventuell noch einem „Nur-Restrisiko“ (Niedrigrisiko) der Verarbeitung unterscheiden, soweit man das Ergebnis nicht – was zumindest in gängigen Checklisten nicht der Fall ist – feingranularer in weitere Risiko-Stufen oder Risiko-Prozentwerte „aufdröselt“. Ob dieses Vorgehen eines solchen datenschutzrechtlichen Risiko-„key performance index“ als „kontextlose Zahl“ überhaupt sinnvoll ist, ist am Ende der Übung noch zu hinterfragen.

Nach dem Standard-Datenschutzmodell ist im Rahmen der Planung und Spezifikation (inkl. Risikoanalyse) die Erarbeitung von „Usecases“ notwendig, um daraus ein Angreifermodell für die Verarbeitung bilden zu können, in denen beteiligte Akteure befugt und unbefugt (als Angreifer) auf Daten zugreifen könnten (Baustein M41.07 des Standard-Datenschutzmodells). Anhand der Usecases und der Akteure können alle relevanten Komponenten erkannt werden, deren Funktionieren datenschutzrechtlich überprüft werden muss, um zum Schluss dann die Risiken der Betroffenen durch den geplanten Betrieb der Verarbeitung rechtlich beurteilen zu können. Das Risiko für die Rechte und Freiheiten Betroffener durch die Verarbeitung ist zunächst für den Fall zu bestimmen, dass die Daten zum vorgesehen Zweck verarbeitet werden und noch keine zusätzlichen technischen und organisatorischen Maßnahmen getroffen werden (M41.08). Dieses Risiko entspricht dann dem Schutzbedarf der Betroffenen. Dies bedeutet: Es geht bei der gewöhnlichen Risikoanalyse in erster Linie darum, die „Risikoszenarien“ im Rahmen der konkreten Umstände des Einzelfalles zu identifizieren und durch gezielte Maßnahmen das Risiko abzuschirmen. Schon dies zeigt, dass die Ermittlung eines „Gesamtrisikos“ als „normal“ oder „Nur-Restrisiko“ für sich genommen wenig aussagt, denn aus dieser „binären“ Aussage allein lassen sich keine konkreten Maßnahmen für die konkrete Situation ableiten.

Kommen wir wieder zurück zum „vereinfachten Verfahren“ und der Szenarienanalyse. Handlungen oder Umstände im Sinne des Kurzpapiers 18 der DSK sind insbesondere, auch durch höhere Gewalt oder technische Fehlfunktionen,

  • der Abzug der personenbezogenen Daten durch und die Übermittlung an Unbefugte (inkl. Cyberkriminelle, unbefugte staatliche Stellen, Kommunikationspartner, Empfänger von über automatische Schnittstellen übermittelte Daten, aber auch unbefugte Beschäftigte bzw. Beschäftigte, die sich durch Zweckdurchbrechung zum Verantwortlichen „aufschwingen“) sowie die anschließende „Ausbeutung“ dieser Daten auch durch Verknüpfung der Daten untereinander sowie mit anderen Daten (inkl. Profilbildung),
  • die zufällige Vernichtung von Daten,
  • der Ausfall oder Einschränkungen von vorgesehenen Prozessen,
  • die unbeabsichtigte oder vorsätzliche unbefugte Veränderung der Daten,
  • die mutwillige Veränderung der Zweckbindung,
  • die weitere (datenschutzwidrige) Speicherung von Daten, welche die vorstehenden Handlungen oder Umstände ermöglicht.

Man kann das zu folgenden Fallgruppen – jeweils unter Angabe der betroffenen Schutzziele des Standard-Datenschutzmodells – umformulieren:

  • Unbefugter Datenabzug (Kenntnisnahme durch einen unternehmensinternen oder externen Unbefugten) – Vertraulichkeit –,
  • Unbefugte Verkettung (Zusammenführung mit anderen Daten über den Betroffenen, insbesondere durch einen unbefugten Kenntnisnehmer) – Nichtverkettung –,
  • Unbefugte Verwendung (Aktionen gegen den Dritten unter Zuhilfenahme der Daten, insbesondere durch einen unbefugten Kenntnisnehmer) – Intervenierbarkeit, Transparenz, Vertraulichkeit –,
  • Unbefugte Vernichtung/Veränderung (absichtlich oder unabsichtlich, jeweils mit der Folge, dass keine inhaltlich richtigen Daten mehr zur Verfügung stehen), wobei dies auch nur temporär sein kann (Einschränkung der Verfügbarkeit) – Verfügbarkeit, Integrität –,
  • Unbefugte Fortspeicherung (Nichtlöschung durch den Verantwortlichen trotz gebotener Löschung) – Datenminimierung, Vertraulichkeit, Intervenierbarkeit – sowie
  • (Übermäßige) Abschirmung der Daten gegenüber dem Betroffenen (der Betroffene kann die Daten nicht genau einsehen bzw. weiß nicht, welche personenbezogenen Daten über ihn dem Verantwortlichen genau vorliegen) – Transparenz, Intervenierbarkeit.

„Unbefugte“ in diesem Sinne können Befugte (Mitarbeiter des Verantwortlichen) sein, die ihre Befugnisse (vorsätzlich oder fahrlässig) überschreiten, aber natürlich auch Dritte, die sich – meist vorsätzlich bzw. böswillig – Zugriff auf die Daten verschaffen. Schließlich, und darauf ist unten noch zurückzukommen, kann „unbefugt“ auch „einfach so“ meinen, d. h. ohne entsprechende (befugte) Handlung.

Relevante Schäden, die nach dem Kurzpapier 18 der DSK aus solchen Handlungen oder Umständen resultieren können und in die Risikobewertung einzubeziehen sind, sind – neben dem Eingriff in das Grundrecht auf Datenschutz (Art. 8 Abs. 1 der EU-Grundrechtecharta) als solchem – insbesondere:

  • Diskriminierung oder Rufschädigung des Betroffenen (einschließlich gesellschaftlicher Nachteile),
  • Profilerstellung oder Profilnutzung durch eine Bewertung persönlicher Aspekte (Profilbildung),
  • Identitätsmissbrauch oder Identitätsbetrug,
  • finanzielle Verluste bzw. wirtschaftliche Nachteile des Betroffenen,
  • Erschwerung der Ausübung von Rechten und Freiheiten (einschließlich Belästigung des Betroffenen) sowie
  • Verhinderung der Kontrolle (über die Daten) seitens der betroffenen Person selbst.

Der Kern dieser Form der Risikobewertung ist damit die Formulierung hypothetischer Szenarien im konkreten „Setting“ des konkreten Verantwortlichen (und insbesondere seiner IT-Landschaft) sowie die Beantwortung der Frage, ob in dem jeweiligen Szenario der Eintritt eines Schadens der oben genannten Art möglich ist. Die Huber AG müsste sich also im Ausgangsfall jeweils überlegen, ob bzw. wie ein unbefugter Datenabzug beispielsweise aus einem IT-System, das Personalaktendaten verarbeitet, möglich wäre. Ist etwa ein Gesamt-Datenbank-Abzug durch einen „Dump“ bzw. Excel-Export einfach möglich, wäre das Szenario schon im Ansatz ein anderes, als wenn letztlich aufgrund der Struktur der eingesetzten Software nur ein mühsames Kopieren (oder Abfotografieren) einzelner Bildschirm- bzw. Feldinhalt möglich wäre. Führt der Datenabzug – also die Kenntnisnahme durch den Unbefugten – für sich genommen noch nicht zu einem Schaden (üblicherweise bedarf es einer „Verwertung“ der gewonnenen Erkenntnisse), so kann das Szenario in einem weiteren Szenario der „unbefugten Verwendung“ dahingehend ausgedehnt werden, wie der Betroffene mit den im Rahmen des Abzugs „erbeuteten“ Daten dann „angegangen“ – also beschädigt – werden kann. Das kann lediglich eine Belästigung des Betroffenen mit unerwünschter Werbung oder eine Profilerstellung mit der Absicht des Identitätsmissbrauchs sein. Eine unbefugte Veränderung z. B. einer Kontoverbindung kann aber auch zu einer Fehlüberweisung und damit einem (vorläufigen) finanziellen Schaden des Betroffenen führen.

Nur am Rand: Das Szenario „manipulativer Austausch des Betroffenen“ wird bislang in der Praxis wenig beleuchtet, obwohl damit Informationsströme umgeleitet oder – noch gefährlicher – unbemerkt durch einen Angreifer hindurchgeschleust werden können („man in the middle“-Angriff). Würde etwa die E-Mail-Adresse eines Ansprechpartners eines Geschäftskunden der Huber AG durch eine andere (unternehmensfremde) E-Mail-Adresse ausgetauscht, so könnten personenbezogene Daten, die nicht für diesen (dritten) Adressaten bestimmt sind, an diesen gelangen. Die E-Mail des Mitarbeiters des Geschäftskunden der Huber AG, der Maier GmbH, könnte von „p.maier@maier-gmbh.com“ in die um einen Buchstaben unterschiedliche „p.maier@maier-gmbl.com“ geändert werden. Die an diese E-Mail-Adresse gesendeten E-Mails könnten damit entweder dem eigentlichen Adressaten vorenthalten werden oder an diesen weitergeleitet werden (ebenso wie die Rückantworten), sodass die Veränderung des Datums zunächst nicht auffällt. Auch diese Weise können relevante Informationen abfließen und neben einem Kontrollverlust auch zu einer Vertiefung der Möglichkeit eines Identitätsmissbrauchs führen (man denke nur an die sog. „CEO fraud“-Fälle).

Die Eintrittswahrscheinlichkeit der Ursache des Szenarios (also warum etwa ein Datenabzug passiert) und die Schwere des Schadens (also wie schwerwiegend der etwa durch eine unbefugte Verwendung ausgelöste Schaden für den Betroffenen ausfallen kann) spielen hier zunächst keine Rolle. Es geht im ersten Schritt nur darum, dass ein bestimmtes Szenario und ein daraus resultierender Schaden möglich sind. Schon dies ist nicht trivial: Was (etwa im Bereich der Verkettung verschiedener Umstände) der eine als möglich ansehen mag, wird jemand anderes als „völlig praxisfern“ ansehen und deshalb gar nicht weiter untersuchen. Ist es ein taugliches Szenario, dass ein „Täter“ Daten abzieht und auf einer MicroSD-Karte gespeichert im Mund aus dem Gebäude bringt, um eine Leibesvisitation beim Verlassen des Gebäudes unentdeckt zu überstehen, wie Edward Snowden dies von seinem NSA-Datenabzug berichtete? Ist es ein taugliches Szenario, dass Trojaner über Datenträger auf Systeme eingeschleust werden, die nicht selbst mit dem Internet verbunden sind? Ist es ein taugliches Szenario, dass – wie oben beschrieben – ein Beschäftigter mit entsprechender Berechtigung böswillig eine andere E-Mail-Adresse in einem CRM-Programm hinterlegt, um an den entsprechenden Betroffenen gesandte E-Mails (z. B. mit Rabattcodes) abzufangen? Man kann all dies auf die Ebene der Eintrittswahrscheinlichkeit verschieben – dann wird man aber sehr viele Szenarien zu bewerten haben.

Für jedes der so ermittelten Szenarien – bestehend aus Handlungen bzw. Umständen und möglichen Schäden – sind Eintrittswahrscheinlichkeit und Schwere des Schadens zu schätzen. Hierfür können die vier Größenordnungen „geringfügig“, „überschaubar“, „substanziell“ und „groß“ verwendet werden, wobei diese eigentlich noch um die Größenordnung „keine erhebliche Wahrscheinlichkeit“ (d. h. es liegt lediglich ein insignifikantes – prinzipiell nie ganz auszuschließendes – Restrisiko vor) ergänzt werden könnte. Im Bereich der Schwere ist beispielsweise zu beurteilen, wie schwerwiegend die möglichen negativen Folgen für die Lebensführung betroffener Personen einzustufen sind. Bei immateriellen Schäden (z. B. Rufschädigung) muss – nach Erwägungsgrund 76 zur DSGVO auf Basis (welcher?) „objektiver Kriterien“ – beurteilt werden, als wie schwerwiegend die möglichen negativen Folgen für die Lebensführung der betroffenen Personen einzustufen sind. Existieren mehrere Szenarien, die zum selben Schaden führen können, summieren sich Eintrittswahrscheinlichkeiten. Letzteres kann allerdings in der Praxis durchaus zu unplausiblen, „monströsen“ Ergebnissen führen.

Die Eintrittswahrscheinlichkeit der ermittelten Szenarien ist bezüglich des auslösenden Ereignisses (Handlung bzw. Umstand) insbesondere anhand folgender Ursachen zu bemessen:

  • unzureichende Vorkehrungen beim Verantwortlichen (Nichtexistenz von technischen und organisatorischen Maßnahmen), wobei es hierbei nicht um mangelhafte IT-Sicherheit geht, die erst im Punkt „technische Fehlfunktionen“ relevant wird,
  • sorgloser Umgang durch Beschäftigte (fahrlässiges Handeln),
  • technische Fehlfunktionen (technisches Versagen, mangelhafte IT-Sicherheit) und
  • „Ausspähung“ bzw. Handeln mit „krimineller Energie“ durch unternehmensinterne oder durch externe Dritte (vorsätzliches Handeln).

Dabei ist zu berücksichtigen, dass bei der gesamten Risikobeurteilung, also bis zur Ermittlung eines „Gesamtrisikos“ der Verarbeitung, ein Zustand ohne diejenigen weiteren (risikosenkenden) technischen und organisatorischen Maßnahmen unterstellt wird, die sich erst infolge der Risikobeurteilung als notwendig bzw. verhältnismäßig erweisen. Es wird also (nur) der Zustand der technischen und organisatorischen Maßnahmen, wie er sich zum Zeitpunkt der Risikobeurteilung darstellt, berücksichtigt. Vor diesem Hintergrund deckt die Fallgruppe „Nichtexistenz von technischen und organisatorischen Maßnahmen“ ausschließlich den Status Quo ab, ohne dass die Elemente der anderen Fallgruppen (wie vorsätzliches Handeln etc.) hinzutreten. In dieser Fallgruppe geschieht demnach eine Datenschutzverletzung „einfach so“ im gewöhnlichen Geschäftsgang bzw. im Rahmen des gewöhnliches Prozesses aufgrund der Abwesenheit technischer und organisatorischer Maßnahmen, ohne dass fahrlässiges oder vorsätzliches Handeln von Mitarbeitern oder Dritten, technisches Versagen oder mangelhafte IT-Sicherheitsmaßnahmen unterstellt werden. Eine signifikante Eintrittswahrscheinlichkeit in dieser Fallgruppe wäre demnach insbesondere Folge eines datenschutzrechtlich fehlerhaften oder „gefährlichen“ Programm-Designs, welches z. B. dazu führt, dass personenbezogene Daten (datenschutzwidrig) übermittelt, veröffentlicht oder nicht gelöscht werden (s. auch Fall 36). Durch diese „Hintertür“ würden somit auch Aspekte von „privacy by design“ bzw. „privacy by default“ in die Risikobewertung einfließen: Softwareprodukte, die „datenschutzunfreundlich“ strukturiert oder parametrisiert wurden, würden bereits in dieser „Basis“-Fallgruppe zu einem erheblichen Risiko führen können.

Neben der Eintrittswahrscheinlichkeit des auslösenden Ereignisses (Handlung bzw. Umstand) ist die Eintrittswahrscheinlichkeit des Schadens selbst – gemessen als wahrscheinliche Schwere des resultierenden Schadens – zu beurteilen. Wesentliche Faktoren für die Bestimmung einer möglichen Schwere sind:

  • Die Verarbeitung besonderer Kategorien personenbezogener Daten.
    Allerdings kann dies nicht bedeuten, dass automatisch ein schwerer Schaden bei der Verarbeitung solcher Daten vorliegen wird, sondern nur, dass hier genau zu bewerten ist, welche Art von „Schindluder“ mit solchen Daten getrieben werden kann.
  • Die Verarbeitung von besonders schützenswerten Kinder- und Beschäftigtendaten.
    Hier muss anhand der Datenkategorien weiter beurteilt werden, ob dies wirklich ein (automatisch) „risikoerhöhendes“ Szenario ist. Geht es etwa (nur) um unternehmensbezogene Kontaktdaten eines Beschäftigten, die vielleicht sogar mit dessen Einverständnis auf der Unternehmens-Webseite veröffentlicht wurden, oder um die Notfall-Kontaktadresse des Kindes eines Beschäftigten (s. im Ausgangsfall betreffend die Huber AG), ist das Risiko ganz anders zu beurteilen als bei Daten über psychische Krankheiten von Kindern.
  • Die Verarbeitung nicht veränderbarer und eindeutig identifizierbarer Daten (Klarnamenverarbeitung).
    Das Kurzpapier Nr. 18 der DSK nennt hier etwa „eindeutige Personenkennzahlen im Vergleich zu pseudonymisierten Daten“, obwohl gerade eine Personenkennziffer ein Pseudonym darstellt (s. dazu auch Fall 32). Trotz dieser Unklarheit ist aber im Grundsatz davon auszugehen, dass ein Schaden bei Kenntnis der „Klarnamenbeziehung“ erheblicher sein kann als nur bei Kenntnis eines Pseudonyms, da in diesem Fall der Täter zusätzlich auch an die Zuordnungsinformation (zwischen pseudonymen Daten einschließlich einer „Personenkennziffer“ und dem Klarnamen) gelangen muss. Dies kann aber nicht bedeuten, dass das „Abhandenkommen“ eines jeden Klarnamens – eine Vielzahl IT-gestützter Datenverarbeitungsvorgänge arbeitet mit Klarnamen (man denke nur an die Angabe des „Bearbeiters“ auf Angeboten, Auftragsbestätigungen, Rechnungen, Lieferscheinen oder an die Angabe des Klarnamens als Alias-Namen im Rahmen einer E-Mail-Adresse) – sofort zu einem schwerwiegenden Schaden führt.
  • Automatisierte Verarbeitungen, die eine systematische und umfassende Bewertung persönlicher Aspekte (einschließlich Profiling) beinhalten und auf deren Grundlage dann Entscheidungen mit erheblichen Rechtswirkungen für betroffene Personen getroffen werden.
    Dieses Kriterium wurde Art. 35 Abs. 3 lit. a DSGVO entnommen und impliziert dort eine hohe Schadensgeneigtheit. Die „erheblichen Rechtswirkungen für betroffene Personen“ sind eine Umschreibung eines hohen Schadens, der im Umkehrschluss auch ein hohes Risiko (und damit die Notwendigkeit der Durchführung einer Datenschutz-Folgenabschätzung)
  • Vollständige oder überwiegende Irreversibilität des Schadens (Irreversibilität).
    Dies dürfte in erster Linie bei Veröffentlichungen von Daten bzw. Rufschädigung der Fall sein. Aber auch die Neutralisierung eines Identitätsmissbrauchs kann eine sehr lange Zeit in Anspruch nehmen. Daher darf daraus nicht im Umkehrschluss gefolgert werden, dass reversible Schäden grundsätzlich „unerheblich“ wären. Die Reversibilität kann nur ein Indiz für das Vorliegen eines niedrigen Schadenspotenzials sein.
  • Der Betroffene hat nur wenige oder beschränkte Möglichkeiten, die Verarbeitung selbst zu prüfen oder gerichtlich prüfen zu lassen oder sich dieser Verarbeitung zu entziehen, etwa, weil er von der Verarbeitung gar keine Kenntnis hat (Intransparenz).
    Eine derart intransparente Verarbeitung würde aber auch immer bedeuten, dass schon ein Datenschutzverstoß – zumindest in Form unterlassener Pflichtinformationen – bei der Erhebung der Daten vorlag. Eine weitere relevante Fallgruppe könnte hier die (Schadenswahrscheinlichkeit aufgrund der) Übermittlung in Drittländer sein, insbesondere bei Verstoß gegen die dem außereuropäischen Dritten auferlegten Pflichten (Standardklauseln der EU-Kommission, Privacy Shield etc.).
  • Die Verarbeitung ermöglicht eine systematische Überwachung.
    Dieser Faktor ist Art. 35 Abs. 3 lit. c DSGVO entnommen (dort aber auf öffentliche Bereiche eingeengt) und dürfte in vielen Fällen bereits zum Vorliegen eines hohen Risikos und damit zur Erforderlichkeit einer Datenschutz-Folgenabschätzung führen.
  • Die Reichweite der Verarbeitung, namentlich die Anzahl der betroffenen Personen, die Anzahl der Datensätze, die Anzahl der Merkmale in einem Datensatz sowie die geographische Abdeckung, die mit den verarbeiteten Daten erreicht wird (Verarbeitungsreichweite).
    Auch dies überschneidet sich mit den Kriterien im Rahmen der Schwellwert-Analyse.

Man wird hier insgesamt bemerken, dass solche Kriterien nur sehr eingeschränkt zur Bemessung eines hypothetischen Schadens taugen. Sie betreffen tendenziell eher – wieder einmal – die Intensität der Verarbeitungshandlungen selbst und nicht so sehr die Frage, ob ein Schaden, wenn er eintritt, hoch ist. Daher erscheinen die Kriterien (mit Ausnahmen) eher willkürlich und nicht „zielgerecht“. Ohnehin kann im Bereich immaterieller Schäden, d. h. ohne Rückgriff auf Geldbeträge, eine Schadenshöhe schwer beziffert werden. Im Bereich der Schmerzensgeldbemessung bei Körperverletzungen mussten Gerichte auch im Laufe vieler Jahre eine Ansicht dazu entwickeln, ob eine Arm- oder Beinamputation für den Betroffenen „schädlicher“ ist (nicht im Sinne von Behandlungskosten, sondern im Sinne des Verlusts als solchem). Die ersten (deutschen) Urteile in Sachen „Datenschutzschadenbemessung“ (s. etwa Fall 9) lassen zumindest bislang eine eher skeptische Grundhaltung der Richter erkennen. So wurde in mehreren Gerichtsurteilen festgehalten, dass ein geldmäßiger Ersatz immaterieller Schäden eine gewisse Erheblichkeit der Datenschutzverletzung voraussetzt, und im konkreten Fall eine solche Erheblichkeit stets verneint. Mit den angedrohten Bußgeldern sind solche Beträge jedenfalls bislang nicht zu vergleichen.

Die verschiedenen Ursachen, die zuvor auf ihre Eintrittswahrscheinlichkeit hin untersucht wurden, spielen bei der Ermittlung der voraussichtlichen Schwere eines Schadens keine wesentliche Rolle. Hier ist nur zu untersuchen, welches Szenario zu welcher Schadenshöhe beim Betroffenen führen kann, gleich, wodurch es letztlich ausgelöst wurde. Dabei dürfte auch mit einzubeziehen sein, inwieweit in der Vergangenheit Vorfälle der untersuchten Art beobachtet wurden, denn aufgrund früherer Vorfälle könnte eine Eintrittswahrscheinlichkeit bzw. Schwere eines Schadens höher anzusetzen sein.

Die Matrix

Nach der im Kurzpapier 18 der DSK skizzierten Methodik hat auf dieser Basis anhand einer Risikomatrix eine Risikobewertung des mit dem Verarbeitungsvorgang einhergehenden Risikos zu erfolgen:

Auch nach dieser Methodik kann sich also – unabhängig von den etwas abweichenden, oben verwendeten Katalogen typisierter Kriterien im Rahmen der Schwellwert-Analyse für die Datenschutz-Folgenabschätzung – als Ergebnis der Risikobewertung noch ein „hohes Risiko“ ergeben, welches die Durchführung einer Datenschutz-Folgenabschätzung notwendig macht. Dies bedeutet wohl letztlich, dass eine Schwellwert-Analyse und, selbst wenn diese „unauffällig“ geblieben ist, eine „normale Risikobewertung“ notwendig sind, um ein „hohes Risiko“ überhaupt definitiv zu identifizieren.

Übrigens führt das Kurzpapier 18 der DSK ergänzend aus, dass es sich in den Grenzbereichen in der obigen Matrix nicht um die Anwendung eines eindeutigen Schemas handelt, sondern eine Einzelfallbetrachtung notwendig ist:

Bei der Abschätzung des Risikos anhand der Matrix können Fälle eintreten, in denen der Eintritt des Schadens relativ wahrscheinlich ist oder der potentielle Schaden besonders schwer wiegen würde und somit Grenzbereiche zwischen den Risikobereichen betroffen sein können. Hier sind in den Feldern der Matrix zwei Farben eingetragen. Dies macht deutlich, dass in diesen Grenzfällen eine Einzelfallbetrachtung notwendig ist. Diese kann im Zweifel zu dem Schluss kommen, dass trotz des Ergebnisses der generischen Abschätzung anhand der Matrix, der Einzelfall als so schwerwiegend erscheint, dass dennoch ein hohes Risiko gegeben ist. Umgekehrt kann im Einzelfall z. B. auch ein geringfügiger möglicher Schaden, der eine überschaubare Eintrittswahrscheinlichkeit hat, ein geringes Risiko darstellen.

Ganz unabhängig davon, ob und wie diese Vorgaben in der Praxis umgesetzt werden können, wurde allerdings oben bereits darauf hingewiesen, dass die bloße Erkenntnis, dass der Datenverarbeitungsprozess X mit einem „normalen Risiko“ versehen ist, nicht viel bringt. So sollen nach den besagten Checklisten normale Risiken „mit den üblichen Basismaßnahmen bereits adäquat adressiert werden“. Welche genau das aber sein sollen – es ist ja nicht einmal klar, ob es um analoge oder digitale Sachverhalte geht –, bleibt offen. Es gibt gerade keinen Standard-Katalog technischer und organisatorischer Maßnahmen, die bei einem „normalen Risiko“ anzuwenden wären, abgesehen vielleicht vom IT-Grundschutzkatalog des BSI im digitalen Bereich. Womöglich kann ein solcher Standard-Katalog auch gar nicht existieren, weil die Realität zu vielfältig ist. Vielmehr müssen technische und organisatorische Maßnahmen zu einem großen Teil individuell anhand der konkreten Verarbeitungssituation an die individuell identifizierten Risiken angepasst werden. Dies zeigt aber, dass die „Holzschnittartigkeit“ des oben skizzierten Vorgehens bei der Risikobewertung nur zu wenig handfesten Konsequenzen führt. Die Datenschutzbehörden planen dennoch, die von ihnen aufgelisteten – und durchaus umfangreichen – „generischen Maßnahmen“ in Abschnitt D1 des Standard-Datenschutzmodells (im Prinzip Vorschläge zur Entwicklung spezifischer technischer und organisatorischer Maßnahmen) um einen „Referenzmaßnahmen-Katalog“ zu ergänzen, der Vorgaben für Maßnahmen „bei normalem Ausgangsrisiko bzw. bei normalem Schutzbedarf“ sowie zusätzlich für Maßnahmen bei hohem Verarbeitungsrisiko enthalten soll. Bis dahin sind im Rahmen des vom Standard-Datenschutzmodells vorgesehenen Datenschutzmanagement-Prozesses (Abschnitt D4.4) die individuell aufgrund der Risikostruktur gewählten Maßnahmen mit den generischen Maßnahmen „abzugleichen“.

Der im Rahmen des Standard-Datenschutzmodells vorgeschlagene Datenschutzmanagement-Prozess geht im Rahmen der Spezifikation von Datenverarbeitungsvorgängen davon aus, dass (risikoabhängig) Maßnahmen im technischen und organisatorischen Bereich festgelegt werden (Soll-Maßnahmen). Konkreter könnte man für den IT-Bereich sagen, dass Funktionen (bzw. die Überführung von Input- zu Output-Zuständen) von Systemen und Programmen definiert werden (Soll-Funktionalitäten). So könnte die Huber AG für sich festlegen, dass Stammdaten von Beschäftigten zehn Jahr nach deren Ausscheiden gelöscht werden müssen. Nach der Implementation entsprechender Funktionen wird der Ist-Zustand erhoben, insbesondere durch Protokollierung des „Outputs“ (bzw. durch eine Kontrolldokumentation). Im Rahmen der Überprüfung der Maßnahmen können sich sog. „funktionale Soll-Ist-Differenzen“ ergeben. Die von der Huber AG parametrisierte Software könnte etwa nicht in der Lage sein, bestimmte, von der Huber AG im Wege von Sonderentwicklungen hinzugefügte Datenfelder (die über den Standard-Lieferumfang der von der Huber AG eingesetzten Software hinausgehen) zu löschen. Diese Differenzen können, vereinfacht gesagt, noch akzeptabel sein, weil sie das Restrisiko nicht signifikant erhöhen, oder nicht mehr akzeptabel sein, sodass der Prozess noch einmal durchlaufen werden muss. Die Huber AG müsste also bewerten, ob die „stehengelassenen“ Daten für sich alleine so „risikoarm“ oder anonym sind, dass ihre Löschung – oder deren Kontrolle – nicht zwingend erforderlich ist. Dabei muss die Huber AG sicherstellen, dass sie sämtliche relevanten Funktionen tatsächlich spezifiziert und prüft und nicht einzelne Funktionen ungeprüft einsetzt (s. dazu Fall 40).

All das gibt natürlich nicht die DSGVO selbst vor; es ist eher anzunehmen, dass die Autoren der DSGVO nicht einmal wussten, dass es solche Prozesse, die später (zum Teil auch früher) so komplex von den deutschen Datenschutzbehörden als „eigener Vorschlag“ zur Umsetzung eines hochabstrakten Gesetzestextes formuliert wurden, überhaupt gibt. Sonst hätte ja auch das Standard-Datenschutzmodell die DSGVO bilden können und man hätte sich das „Mapping“ von mehrdeutigem Gesetzestext und der eigenen Nomenklatur der Datenschutzbehörden – den „Gewährleistungszielen“ – sparen können. Vielleicht sollte sich in Zukunft – wie im Steuerrecht – die vollziehende Verwaltung das dann von ihr anzuwendende Datenschutzrecht selbst schreiben und nicht ideologische Parlamentarier, denen es vorrangig nicht um europäische mittelständische Unternehmen, sondern um „die großen internationalen Datenkraken“ ging (die mit der DSGVO bislang nicht getroffen wurden).

Was sagt uns das?

Wer bis hierher gelesen hat, wird nun sicherlich für jeden End-to-End-Prozess der Datenverarbeitung in einem mittelständigen (oder gar größeren) Unternehmen eine permanente Risikobewertung einfach umsetzen können. Dabei bleibt natürlich zu hoffen, dass dieses pseudomathematische Risiko-Evaluierungsmodell nicht am Ende noch in Richtung Notwendigkeit einer Datenschutz-Folgenabschätzung führt. Oder anders ausgedrückt: Wenn man den hier wiedergegebenen (und kommentierten) Maßstab anwendet, wird jeder aufmerksame Betrachter ein Haar in der Suppe – sprich: im Ergebnis der Risikobewertung – finden können. Denn jeden unbestimmten (Rechts-)Begriff im Rahmen dieses Maßstabs kann man auch anders auslegen. Aber auch die Abgrenzung zwischen dem „vereinfachten Verfahren“ und der vollen Datenschutz-Folgenabschätzung bleibt, was die Analysetiefe angeht, im Unklaren. Ist etwa entscheidend, dass im „vereinfachten Verfahren“ Angriffsszenarien mit „Angreifern“ entwickelt werden sollen, während bei einer Datenschutz-Folgenabschätzung nur „neutrale Begriffe“ wie „beteiligte Akteure“ statt „Angreifer“ verwendet werden sollen, „um möglichst unvoreingenommen [Szenarien] sammeln zu können“? Oder ist beides am Ende eine Aneinanderreihung von wohlfeilen Floskeln aus „anerkannten“ Mustern, die sich mit dem Wiederkäuen allgemeiner Prinzipien letztlich in Beliebigkeit und Austauschbarkeit verlieren?

Was bleibt, ist zunächst die Einsicht, dass der Zweck von Risikobewertungen in erster Linie darin besteht, demonstrieren zu können, dass sich ein Verantwortlicher überhaupt (vermeintlich) systematisch Gedanken über seine Verarbeitungshandlungen gemacht hat. Und unabhängig von der Risikoeinschätzung selbst ist die richtige Rückkopplung an die technisch-organisatorischen Maßnahmen entscheidend: Die szenario-spezifischen Risiken müssen durch adäquate (szenario-spezifische oder allgemeine) Maßnahmen der Datensicherheit soweit abgeschirmt werden, bis sie ein Maß erreichen, das vom Kurzpapier 18 der DSK als „Restrisiko“ bezeichnet wird. Welches Restrisiko akzeptabel ist, wird nicht definiert. Ausschlaggebend dürfte die Verhältnismäßigkeit zwischen Maßnahmen (d. h. insbesondere dem für die Implementierung notwendigen Aufwand) und der dadurch (noch) erreichten Risikoeindämmung sein (Art. 24, 25, 32 DSGVO). Abschnitt D4.3 des Standard-Datenschutzmodell führt aus, risikonotwendig (und daher zu ergreifen) seien die Maßnahmen, die „mit einem Aufwand ergriffen werden können, der in angemessenem Verhältnis zum Zweck der Verarbeitung besteht“. Interessant ist dabei, aber das nur am Rande, dass auf den „Zweck“, aber nicht auf das „Risiko“ der Verarbeitung abgestellt wird. Dieses Verhältnis muss im Grundsatz spezifisch für den jeweiligen unternehmensinternen „end to end“-Prozess sowie im Hinblick auf die konkret betroffenen Datenkategorien bewertet und seine Angemessenheit „abgesegnet“ werden. Letztlich muss das Restrisiko, wenn es nach dieser Verhältnismäßigkeitsformel nicht weitergehend abgeschirmt werden muss, dem Verantwortlichen auch „akzeptabel“ erscheinen dürfen, denn ein Null-Prozent-Risiko kann nur durch Aufgabe der entsprechenden Verarbeitungshandlung erreicht werden. Was das alles im Detail heißt, weiß niemand. Nur eines ist sicher: Wenn am Ende etwas schief geht, wird es entweder an einer falschen Risikobewertung oder an „risiko-inadäquaten“ Maßnahmen liegen (denn „nachher ist man immer schlauer“). Und wenn nichts schief geht, wird schon alles richtig gewesen sein.

Diese News könnten Sie auch interessieren
Alle News
Mehr laden
Diese Vorträge & Veröffentlichungen könnten Sie interessieren
Alle Vorträge & Veröffentlichungen
Mehr laden