Risiko-Analyse & Bewertung - jetzt wird's komplex

Datenschutz Risikoanalyse - Blogbeitrag

So, der dickste Brocken ist geschafft – die Risiken sind identifiziert, die möglichen Ereignisse sind beschrieben! Erstmal durchatmen? Nicht wirklich…

 

Denn nun geht es an das Befüllen des eigentlichen Risikoprozesses. Eine Aufgabe, die nicht „schnell mal eben“ gemacht ist.

 

Wenn die Ereignisse – zum Beispiel über die Identifikationsbögen – gut beschrieben sind, dann ist natürlich die erste Spalte einfach mit Inhalt gefüllt. Nur hilft das alleine recht wenig.

Klar ist, dass man die Risiken nun „analysieren“ und bewerten muss.

 

Da das recht komplex ist, heute mal ein kleiner Exkurs in die Analyse und Bewertung.

 

Ausführlich beschreibe ich die Vorgehensweise in meiner „Anleitung zum Risikoprozess“, die Teil meines – Achtung Eigenwerbung - Dokumentenpakets „Risikobewertung Datenschutz“ ist.  

 

Wie geht man vor?

Ja – man muss sich jedes definierte Risiko-Ereignis einzeln ansehen.

 

Und je nach Verarbeitungsbereich, der betrachtet wird, können das schon mal 50 – 150 oder mehr sein. Und das kostet richtig Zeit. Aber macht man ja nicht täglich.

 

Wer hat das gemacht und warum?

Im ersten Teil stuft man ein, was die Quelle des Risikos ist und welche Handlung dafür verantwortlich ist.

Quellen können externer oder interner, technischer oder organisatorischer Natur sein oder schlicht "höhere Gewalt". 

Handlungen sind die primären Ursachen für die Verletzung des Schutzes personenbezogener Daten wie z.B. Offenlegung, Verlust, Beschädigung, Fehlverhalten, etc. 

 

Wieso sollte man das machen? Weil die Risikoquellen  und die Handlungen, die zum Ereignis führen können auf die Bewertung an sich, auf die Planung von Gegenmaßnahmen und auch auf die Neu-Bewertung des Risikos nach der Implementierung dieser Maßnahmen starken Einfluss nehmen.

 

Um das mal etwas anschaulicher zu machen, nachfolgend ein fiktives Beispiel zu einem Cloud-Service:

Datenschutz Risikoanalyse - Blogbeitrag

 Bild: Auszug Musterdokument "Beispiel Risikoprozess Verarbeitung", www.datenschutzdocs.de

 

Analyze it!

Der nächste Teil behandelt dann die eigentliche Analyse. Und da wird es noch etwas komplexer.

Dort wird betrachtet, welches Datenschutzziel denn nun durch das Ereignis in Zusammenhang mit Risikoquelle und Handlung eigentlich verletzt würde und was die negativen Folgen für die betroffene Person wären.

 

Wer sich jetzt fragt, was denn diese Ziele sind, der wird zum Beispiel in den „Gewährleistungs-Zielen“ des Standard-Datenschutzmodells (SDM) und in Art. 5 Abs. 1 DSGVO fündig.

Neben den Basis-Zielen 

  • Vertraulichkeit
  • Verfügbarkeit
  • Integrität

sind da noch weitere zu finden wie z.B. Transparenz, Datenminimierung, Rechtmäßigkeit, etc.

 

Es können auch mehrere Datenschutzziele durch ein Ereignis verletzt werden. Die Entscheidung, ob man das dann alles „in einem Aufwasch“ (bzw. in einer Zeile) behandelt, liegt beim Verantwortlichen.

 

Aus meiner Sicht macht es mehr Sinn, jede Verletzung eines Datenschutzziels pro Ereignis auch einzeln zu betrachten. Weil eben die Folgen und auch die entsprechenden Gegenmaßnahmen typischerweise unterschiedlich sind.

 

Wichtig hier – für die betroffene Person. Nicht wie bei den klassischen Risiko-Analysen für die Organisation. Die ist hier zweitrangig, auch wenn es im Datenschutz durchaus Sinn macht, organisatorische Mängel mit einzubeziehen.

 

 Datenschutz Risikoanalyse - Blogbeitrag

  Bild: Auszug Musterdokument "Beispiel Risikoprozess Verarbeitung", www.datenschutzdocs.de

 

Das wird Folgen haben...

Und wer sich jetzt zu Recht fragt, welche möglichen Folgen ein Ereignis haben könnte, der ist gut beraten, sich den Erwägungsgrund 75 zum Art. 35 DSGVO mal genauer anzusehen. Der liefert eine Liste von besonders zu berücksichtigen Risiken.

 

Im ersten Teil des Erwägungsgrundes sind die „Folgen“ einer als riskant erachteten Verarbeitung relativ konkret benannt:

 

[…] Verarbeitung, die zu einem

  • physischen,
  • materiellen oder
  • immateriellen Schaden

führen könnte, insbesondere wenn die Verarbeitung zu

  • einer Diskriminierung,
  • einem Identitätsdiebstahl oder -betrug,
  • einem finanziellen Verlust,
  • einer Rufschädigung,
  • einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten,
  • der unbefugten Aufhebung der Pseudonymisierung oder
  • anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen

führen kann, …“ und so weiter.

 

Hat man das alles zusammen, wird darauf basierend dann die Schwere des Schadens und die Eintrittswahrscheinlichkeit benannt.

 

Schwer zu sagen!

Wie „schwer“ ist denn nun ein Schaden und wie „hoch“ ist die Wahrscheinlichkeit, dass ein Ereignis eintritt? Mit hoher Wahrscheinlichkeit schwer zu sagen! (ui, der war flach...)

 

Schauen wir uns die beiden Kriterien mal an.

 

Eintrittswahrscheinlichkeit

Hier muss immer auf die individuelle Verarbeitungssituation eingegangen werden. Maßgeblich sind also Art, Umfang, Umstände und Zwecke der Verarbeitung.

 

Eine direktere Antwort kann auch aus den folgenden Fragen abgeleitet werden:

  • Wie schwierig oder einfach ist es, eine Datenschutzverletzung herbeizuführen (beabsichtigt oder unbeabsichtigt)?
  • Sind Gegenmaßnahmen vorhanden und wie stark sind diese gegenüber den Risikoquellen?

Zusätzlich kann man noch die Motivation der „Verursacher“ und die Vergangenheit (wie oft ist so etwas schon vorgekommen?) in die Überlegungen mit einbeziehen.

 

Und hier werden sich in der Praxis durchaus viele Fragen ergeben, die z.B. nur die IT-Spezialisten beantworten können. Oder können Sie zum Beispiel direkt sagen, wie schwierig oder einfach es für einen Angreifer wäre, unverschlüsselte E-Mails zwischen Geschäftsleitung und Personalbüro mitzulesen?

 

Schwere des Schadens

Die Schwere des Schadens kann nur subjektiv betrachtet werden. Hierzu wird betrachtet, wie groß die Folgen für die betroffene(n) Person(en) sein könnten und wie bzw. ob diese Folgen behebbar wären.

Und diese Betrachtung sollte – ebenso wie die Betrachtung der Eintrittswahrscheinlichkeit - nachvollziehbar und begründbar sein.

 

Dafür erstellt man auch für die Bewertung der Schwere des Schadens eine entsprechende Matrix, die als Grundlage für die Einstufung im Risikoprozess-Dokument dient.  

 

Beispiel Matrix Schwere des Schadens:

Datenschutz Risikoanalyse - Blogbeitrag

 

Beispiel Matrix Eintrittswahrscheinlichkeit:

Datenschutz Risikoanalyse - Blogbeitrag

 

Mein Tipp:

Gehen Sie hier sehr sorgfältig vor und rechnen Sie Risiken nicht kleiner als sie potentiell sind. Denn diese beiden Werte sind die Basis für die eigentliche Risikobewertung.

 

Risikobewertung 

Der Risikograd im Rahmen der Risikobewertung ergibt sich aus den oben genannten beiden Werten der Risiko-Analyse. Anhand der eingetragenen Werte wird ein Risikowert berechnet und entsprechend farblich markiert.

 

Die simple Rechnung:

Eintrittswahrscheinlichkeit (A) x Schwere des Schadens (B) = Risikograd (C)

 

Datenschutz Risikoanalyse - Blogbeitrag

 

Das wird normalerweise auch in einer schönen Risiko-Matrix grafisch dargestellt. Ein Beispiel für eine Matrix findet man wieder bei der BayLDA. Aber die kann sich auch jeder individuell erstellen.

 

Es gibt bei der Risikobewertung keine konkreten Vorgaben, wie abgestuft das Ganze sein muss. Nur soviel: Es muss nachvollziehbar sein. Zu viele Stufen verwässern die Ergebnisse, zu wenige machen eine vernünftige Granularität der Ergebnisse unmöglich.

 

Die Grenzen zwischen den Einfärbungen können auch fließend sein. Diese Einstufung und weitere Behandlung von Risiken ist die Entscheidung des Verantwortlichen.

 

Ja und dann?

 

Im vierten Teil der Artikel-Serie sollte es eigentlich um die Risikobehandlung gehen, also die Frage, was kann (und muss) ich also als Verantwortlicher mit den Ergebnissen der Risikobewertung anfangen. 

 

Aber dieser Teil ist so simpel, dass er keinen ganzen Blog-Artikel füllt: 

 

Der Verantwortliche muss zusammen mit seinen IT- und Datenschutz-Spezialisten entscheiden, welche Maßnahmen ergriffen werden müssen, um ggf. noch bestehende hohe Risiken abzumildern.

 

Dazu kann er IT-Security Produkte shoppen gehen, organisatorische Maßnahmen (wie z.B. zusätzliche Schulungen oder interne Anweisungen) implementieren oder auch entscheiden, diese hohen Risiken zu akzeptieren. Das sollte er aber - im Rahmen einer DSFA - besser nicht tun, denn dann wäre die Konsultation der Aufsichtsbehörde erforderlich. Und auch ansonsten ist es keine gute Idee. 

 

Auslagern bzw. Verschieben des hohen Risikos geht übrigens im Datenschutz nicht (Zitat OH des BayLfD zur DSFA, externer Link, BayLfD:  "Im Datenschutz ist nur eine Risikoreduktion bis hin zu angemessenen Restrisiken oder Risikovermeidung, also insbesondere kein Transfer von Risiken – etwa auf Versicherungen – möglich.")

 

Danach: Die betreffenden Risiken nach der Implementierung neu bewerten und die Risikobewertung anpassen. 

 

Hier geht es zu Teil 1,

hier geht es zu Teil 2 der Artikel-Reihe.