Newsletter

Dienstag,

Datenschutzrisiken erkennen, bewerten und reduzieren

Die Datenschutz-Folgenabschätzung: Neues Whitepaper der FINCON

Vor dem "Scharfschalten" der Datenschutz-Grundverordnung (DSGVO) am 25.05.2018 beherrschten Schrecken, Unsicherheit und Panik die Diskussion um den Datenschutz – nicht zuletzt vor dem Hintergrund drohender Bußgelder. Sie hat von dem eigentlichen Ziel, einem bewussteren Umgang mit personenbezogenen Daten, abgelenkt und die Chance auf ein gestärktes Kundenvertrauen durch transparente Prozesse ausgeblendet.


In den letzten Jahren ist das Kundenvertrauen deutlich zurückgegangen. Laut einer Studie der SAS Deutschland aus dem Jahr 2015 lag das Kundenvertrauen in den gesetzeskonformen Umgang personenbezogener Daten im Versicherungsbereich bei 41%. Der überwiegende Teil befürchtet somit, dass seine Daten – ob fahrlässig oder vorsätzlich – zweckentfremdet genutzt werden. Ein bewusster und transparenter Prozess im Umgang mit personenbezogenen Daten hilft somit nicht nur, die Datensouveränität des Kunden zu gewährleisten, sondern auch, verlorengegangenes Vertrauen wieder zurückzugewinnen. Mit dem neuen Instrument der Datenschutz-Folgenabschätzung (DSFA) aus der DSGVO will der Gesetzgeber hier unterstützen.

 

Eine Datenschutz-Folgenabschätzung muss seit dem 25.05.2018 immer dann erfolgen, wenn

 

eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“ hat. (DSGVO Art. 35 Abs. 1)

 

Sie sollte als ein laufender Prozess verstanden werden. Immer dann, wenn sich das Risiko für die betroffenen Personen verändert, wird eine Neubewertung der Risiken im Rahmen einer DSFA erforderlich.

 

Dabei gelten insbesondere die Risiken:

 

  • Vernichtung
  • Verlust
  • Veränderung
  • unbefugte Offenlegung von bzw.
  • unbefugter Zugang zu

 

personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet werden, als kritisch relevant (Erwägungsgrund 75 der DSGVO).

 

Eine entsprechende Analyse der Risiken sollte methodisch transparent und logisch nachvollziehbar sein. Die Rechenschaftspflicht (accountability) des für die Verarbeitung Verantwortlichen macht eine umfangreiche Dokumentation notwendig. Effizienz kann dabei durch Standardisierung (Templates, Fragebögen etc.), Automatisierung (toolunterstützt) und durch den Aufbau einer Knowledge Base (Risiken, Abhilfemaßnahmen) erreicht werden.

 

Studien belegen, dass trotz der zweijährigen Übergangsfrist noch viele Unternehmen die DSGVO nicht vollständig umgesetzt haben. Dies liegt zum einen an dem vielfach zu spät gewählten Startzeitpunkt für die Umsetzung, hat aber auch Ursachen in den oft nicht ausgereiften Compliance- und Risikomanagementsystemen, die in den Unternehmen im Einsatz sind.

Unternehmen sind daher gut beraten, wenn sie sich nach der Hektik der letzten Monate nun auf die Umsetzung einer transparenten Datenlogistik konzentrieren, die den Datenschutz miteinschließt.

In diesem Sinne kann man die DSGVO als Chance begreifen, um oft liegengebliebene Themenfelder wie Data-Governance, nachhaltige Dokumentation etc. wieder aufzugreifen.

 

Die DSFA bietet einen guten Einstieg, das Datenschutzrisiko systematisch zu analysieren. So muss beispielsweise vor Inbetriebnahme einer neuen Technologie das Rad nicht neu erfunden werden. Bestehende Konzepte zum Risikomanagement und zur IT-Sicherheit kann man mit Blick auf den Datenschutz erweitern. Es geht darum, das Risiko für die betroffenen Personen, welches durch die Datenverarbeitungsprozesse entsteht, zu erkennen zu bewerten und zu reduzieren.

 

Dabei wird der Begriff „Risiko“ in der DSGVO allerdings nicht explizit definiert. Die deutschen Aufsichtsbehörden beschreiben hingegen ein Risiko – abgeleitet aus der DSGVO – wie folgt:

„Ein Risiko im Sinne der DSGVO ist das Bestehen der Möglichkeit des Eintritts eines Ereignisses, das selbst einen Schaden (einschließlich ungerechtfertigter Beeinträchtigung von Rechten und Freiheiten natürlicher Personen) darstellt oder zu einem weiteren Schaden für eine oder mehrere natürliche Personen führen kann.“  (Kurzpapier Nr. 18 der Datenschutzkonferenz: Risiko für die Rechte und Freiheiten natürlicher Personen)

 

Im Rahmen einer Risikoanalyse zur Datenschutzverletzung gem. Artikel 5 der DSGVO werden sowohl die potenzielle Schadenursache, wie z.B. ein fehlendes Berechtigungskonzept als auch ihre jeweiligen Auswirkungen auf den Betroffenen betrachtet, wenn beispielsweise sensible Daten in die Hände nicht berechtigter Personen gelangen und unter Umständen zu einer Rufschädigung führen. Die Schwere dieser Auswirkung ist zu bewerten.

 

> Abbildung anschauen

 

Bei der DSFA geht es im Kern um das Aufdecken von Risikoursachen (Eintrittswahrscheinlichkeit) und das Einschätzen ihrer Auswirkungen (Schwere des Ereignisses).

 

Der DSFA-Prozess sollte in jedes Projektvorgehen integriert werden und folgende Schritte durchlaufen:

 

  • Schwellwertanalyse
  • Vorbereitung
  • Durchführung und Bewertung
  • Nachverfolgung

 

Für die Schwellwertanalyse haben die Aufsichtsbehörden nach Artikel 35 Abs.4 der DSGVO sog. Black Lists herausgegeben, die einen Anhaltspunkt dafür bieten, ob eine DSFA durchgeführt werden muss.

 

Ergibt eine DSFA, dass trotz technischer und organisatorischer Maßnahmen zur Risikoeindämmung weiterhin ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht (Restrisiko), muss nach Art. 36 DSGVO der Verantwortliche die zuständige Aufsichtsbehörde konsultieren. Er trifft unter Berücksichtigung der Empfehlungen der Aufsichtsbehörde eine Entscheidung, ob die Verarbeitungsvorgänge angesichts der verbleibenden Restrisiken durchgeführt werden können oder ob weitere zusätzliche Abhilfemaßnahmen in diesem Fall zum Einsatz kommen sollen.

       

Die FINCON hat bei Kunden bereits einige DSFAen erfolgreich durchgeführt. Mit Checklisten und Templates können wir auch Ihnen die Arbeit erleichtern. Wir entwickeln an Ihren Bedürfnissen ausgerichtete Konzepte, beraten und unterstützen Sie von der Vor- und Anforderungsanalyse über die Planungsstufen bis hin zur Realisierung einer nachhaltigen DSGVO Compliance-Strategie. Unser Fokus ist es dabei, Ihre Fragen und Anforderungen aufzunehmen, Optimierungspotentiale zu identifizieren und risikoadäquate Lösungen zu entwickeln, die auf Ihre individuellen Vorstellungen abgestimmt sind. Profitieren Sie von unseren Erfahrungen.

 

Zu weiteren Fragen „Wie läuft eine DSFA ab und wer ist daran beteiligt?“ oder „Wie dokumentiere ich eine DSFA?“ gibt unser kürzlich erschienenes White Paper Antwort: Fordern Sie es unter DSGVO[at]fincon.eu kostenlos und unverbindlich an.

 

Zur Seite DSFA

 

Zu den Autoren:

 

Gordon Preuten ist Business Consultant bei FINCON und seit knapp 10 Jahren im Versicherungsumfeld mit den Schwerpunkten Vertriebssteuerung und Prozessoptimierung tätig. Für die Umsetzung der Datenschutz-Folgenabschätzung wählte er einen pragmatischen und nachvollziehbaren Ansatz, der sich schnell in bestehende Prozesse integrieren lässt. Aktuell entwickelt er die fachlichen Anforderungen einer Migration der Bestandssysteme im Bereich Krankenversicherung.

 

Dr. Anselm Schultze ist Senior Consultant bei der FINCON und beschäftigt sich seit über 20 Jahren u. a. mit Analytischen Informationssystemen und Data Governance. Bereits vor dem ersten Entwurf der DSGVO setzte er sich intensiv mit Konzepten und deren Umsetzung zum Datenschutz auseinander. Aktuell etabliert er bei einer Krankenkasse den DSFA-Prozess.

 

 

Lassen Sie uns jetzt reden.

Sie haben direkt Fragen? Dann füllen Sie einfach unser Kontaktformular aus.
Mit "*" gekennzeichnete Angaben sind Pflichtangaben.

Rufen Sie uns an

 

Rufen Sie uns an

 

Tel: +49 40 650565-0

Hamburg

Dorotheenstraße 64

22301 Hamburg

 

Tel: +49 40 650565-0

Fax: +49 40 650565-25

 

Berlin

Am Borsigturm 29

13507 Berlin

 

Tel: +49 30 2532150-0

Fax: +49 30 2532150-25

Bremen

Otto-Lilienthal-Str. 29

28199 Bremen

 

Tel: +49 421 80072-0

 

Frankfurt / Main

Kastor-Tower, 20. Etage
Platz der Einheit 1
60327 Frankfurt/Main

 

Tel: +49 69 9511664-88
Fax: +49 69 9511664-25

Köln

Sachsenring 69
50677 Köln

 

Tel: +49 221 937097-0
Fax: +49 221 937097-20

München

c/o acondas GmbH

Innere Wiener Strasse 5
81667 München

Münster

Langeworth 91
48159 Münster

 

Tel: +49 251 28711-19
Fax: +49 251 28711-18