Embed Size (px)
Citation preview
Datenschutz-Grundverordnung der Europäischen Union Risikobasierter Datenschutz – eine Zwischenbilanz im andauernden Trilog-Verfahren der EU Christine Wohlwend elleta AG, August 2015
Inhaltsverzeichnis
0. Einleitung .......................................................................................................................................... 3
1. Normative Verweise ......................................................................................................................... 3
2. Allgemeines ...................................................................................................................................... 3
3. Neuerungen in der Europäischen Union – Die Datenschutz-Grundverordnung ............................ 3
3.1 Privacy Impact Assessment (PIA) ........................................................................................... 5
4. Risikomanagement und Risikoorientierung...................................................................................... 6
5. Bestehende gesetzliche Verankerung des Risikomanagements .................................................... 7
5.1 Sorgfaltspflichtgesetz .............................................................................................................. 7
5.2 Banken und Wertpapierfirmen, Versicherungsgesellschaften ................................................ 7
6. Gewährleistungsziele und damit zusammenhängende Datenschutzrisiken ................................... 8
6.1 Gewährleistungsziele .............................................................................................................. 8
6.1.1 Verfügbarkeit ....................................................................................................................... 9
6.1.2 Integrität ............................................................................................................................... 9
6.1.3 Vertraulichkeit ...................................................................................................................... 9
6.1.4 Transparenz ....................................................................................................................... 10
6.1.5 Nichtverkettbarkeit ............................................................................................................. 10
6.1.6 Intervenierbarkeit ............................................................................................................... 10
6.2 Kombination von Datenschutz und Risikomanagement – Risk based Approach ................ 11
6.3 Datenschutz-Grundverordnung Grundlagen der Risikobewertung ....................................... 12
6.4 Restrisiko und Zusammenarbeit mit der Datenschutzstelle .................................................. 16
6.5 Kurzorientierung für Organisationen...................................................................................... 16
6.6 Geeignete technische und organisatorische Massnahmen .................................................. 18
6.7 Umfang der Risikobewertung ................................................................................................ 19
7. Ausblick .......................................................................................................................................... 19
8. Quellenverzeichnis ......................................................................................................................... 21
9. Abbildungsverzeichnis .................................................................................................................... 23
Risikobasierter Datenschutz
Seite 3 von 23
0. Einleitung Das vorliegende Papier wurde im Auftrag der Liechtensteinischen Datenschutzstelle verfasst. Die Datenschutzstelle beobachtet die Entwicklungen im Hinblick auf die Novellierung der europäischen Datenschutzrichtlinie engmaschig. In diesem Zusammenhang wollte die Datenschutzstelle bereits Entwicklungstendenzen, die sich sehr klar abzeichnen, vorwegnehmen und somit dem Standort Liechtenstein bereits erste grundlegende Informationen zur geplanten Datenschutz-Grundverordnung zur Verfügung stellen.
1. Normative Verweise • Datenschutzgesetz (DSG) vom 14. März 2002, LGBl 2002 Nr. 55 • Verordnung zum Datenschutzgesetz (DSV) vom 09. Juli 2002 • Verordnung über die Datenschutzzertifizierung (VDSZ) vom 10. Dezember 2013 • Kriterienkatalog zur VDSZ vom 10. Dezember 2013 • Richtlinien der Datenschutzstelle (DSS), welche auf der Internetseite der DSS unter
www.dss.llv.li veröffentlicht sind • ISO/IEC 27000 Normenreihe (IT Security Management) • ISO 31000 (Risikomanagement)
2. Allgemeines Um die gesetzlichen Anforderungen an den Datenschutz in einem Unternehmen mit der Dynamik der eigenen Services und Produkte am Markt zu vereinbaren, sind Datenschutzmassnahmen und Datenschutzverfahren notwendig, die zielführende Ergebnisse liefern. Das vorliegende Papier gibt erste praktische Hinweise im Zusammenhang mit der angekündigten Datenschutzreform in der EU für Unternehmen in Liechtenstein. Es berücksichtigt aktuell bekannte Entwicklungen und Beschlüsse aus dem andauernden Trilog-Verfahren zwischen der Europäischen Kommission, dem Europäischen Rat und dem Europäischen Parlament.
3. Neuerungen in der Europäischen Union – Die Datenschutz-Grundverordnung Die bestehende Datenschutzrichtlinie (95/46/EG) in der Europäischen Union befindet sich aktuell in einem weit fortgeschrittenen Überarbeitungsstatus. In der Praxis der letzten 20 Jahre seit Bestehen der Datenschutzrichtlinie hat sich herausgestellt, dass die Datenschutzvorgaben einerseits unternehmerisch und ressourcentechnisch nicht gelebt werden und andererseits die viel wesentlichere Auseinandersetzung mit der Risikoeintrittswahrscheinlichkeit im Unternehmen nicht erfolgt, zumal alles als „gleich schwerwiegend“ vorgegeben wurde. Nach 20-jährigem Bestehen der Richtlinie soll eine Verordnung, die sogenannten Datenschutz-Grundverordnung, bestehende Lücken und Schwächen der gültigen Richtlinie weitestgehend
Risikobasierter Datenschutz
Seite 4 von 23
ausräumen und Unklarheiten in der Adaption schliessen. Somit würde der europäische Binnenmarkt gestärkt und harmonisiert.1 Eine der weitreichendsten Konsequenzen dieser neuen Datenschutz-Grundverordnung für Mitgliedsstaaten ist wohl die Tatsache, dass die Rechtsnorm auch ohne Aufnahme in das nationale Recht der jeweiligen Mitgliedsstaaten direkt anwendbar und gültig sein wird. Mit dieser direkten Anwendbarkeit sollen bestehende Differenzen in nationalen Datenschutzgesetzgebungen innerhalb der EU insofern behoben werden, als dass EU-weit nur noch eine gemeinsam ausgearbeitete Rechtsgrundlage besteht. Der Handlungsspielraum der Mitgliedsstaaten im Hinblick auf eine Abschwächung oder Verstärkung der Datenschutzregelungen im nationalen Recht ist somit minimiert bzw. praktisch ausgeschlossen. Die Datenschutz-Grundverordnung verfolgt einen neuen, risikobasierten Ansatz, wie er bisher nicht gesetzlich vorgesehen war. Die Datenschutzfragen sollen künftig von einem „Verbotsprinzip“ hin zu einer „Risikoorientierung“ entwickelt werden. Hauptkritikpunkt am sogenannten „Risk based Approach“ ist im Gegenzug der Vorwurf der Minimalisierung der Datenschutztätigkeiten auf grössere Risiken und einzelne Stimmen verlangen das Weiterbestehen eines umfassenden personenbezogenen Datenschutzes ohne Abschwächung einzelner Auswirkungen.2 Aktuell gilt für Datensammlungen eine Meldepflicht bei der Datenschutzstelle,3 die nun nicht zuletzt aufgrund fehlender Wirksamkeit abgeschafft werden soll. Meldepflichtig sollen nur noch Prozesse und Verarbeitungen sein, bei denen ein hohes Risiko für den persönlichen Datenschutz besteht.4 Als Ersatz soll die datenverantwortliche Stelle verpflichtet werden, im Vorfeld der geplanten Datenverarbeitung Risikoanalysen und datenschutzrechtliche Folgenabschätzungen durchzuführen, sogenannte Privacy Impact Analysen (siehe Kapitel PIA). Erst im Falle eines hohen Risikos im Hinblick auf die Datenverarbeitung ist die Datenschutzstelle künftig zu informieren, die wiederum nach Würdigung der Massnahmen beratend zur Seite stehen kann. Interessant festzuhalten ist hierbei, dass erstmals auch die Wirtschaftlichkeit im Setzen von Massnahmen für den Datenschutz mit in die Vorlage eingeflossen ist. In Ziffer 66a) des Entwurfs heisst es entsprechend „Where a data protection impact assessment indicates that processing operations involve a high risk which the controller cannot mitigate by appropriate measures in terms of available technology and costs of implementation, a consultation of the supervisory authority should take place prior to the processing.”5 Die bestehenden Risikoanalysen und die Auswirkungen der Datenverarbeitung auf den Datenschutz einer Person sollen ferner analog zu einem unternehmensinternen Risikoprozess laufend aktualisiert und auf Wirksamkeit hin geprüft werden.
1 Whitepaper zur geplanten „Datenschutz-Grundverordnung der Europäischen Union“, Stand 12. Juni 2014, http://www.watchdogs.at/science/datenschutz-grundverordnung-der-europaeischen-union, abgerufen am 04.05.2015 2 http://www.cr-online.de/blog/2013/03/07/gute-nachrichten-aus-brussel-vom-verbotsprinzip-zur-risikoorientierung, abgerufen 20.03.2015 3 http://www.llv.li/#/1586/register-der-datensammlungen, abgerufen am 26.05.2015 4 Datenschutz-Grundverordnung, Entwurf 19.12.2014, Ziffer 70), 15395/14, http://amberhawk.typepad.com/files/dapix-text-eu-council-dp-reg-december-2014.pdf, abgerufen am 21.03.2015 5 Datenschutz-Grundverordnung, Entwurf 19.12.2014, Ziffer 66a), 15395/14, http://amberhawk.typepad.com/files/dapix-text-eu-council-dp-reg-december-2014.pdf, abgerufen am 21.03.2015
Risikobasierter Datenschutz
Seite 5 von 23
Diese neue Compliance-Anforderung ist dokumentations- und nachweispflichtig. Fehlt die regelmässige Durchführung von Audits und Compliance-Massnahmen im Datenschutzumfeld eines Unternehmens und kommt es gleichzeitig zu einer Datenschutzverletzung, so wirkt sich dies strafverschärfend aus. Im Gegenzug dazu kann ein Unternehmen künftig bei nachweislich gesetzten Compliance-Massnahmen dies strafmildernd geltend machen.6 Eine Möglichkeit dieses Compliance-Nachweises wäre eine einschlägige Datenschutzzertifizierung und wird auch als solches im Entwurf der Datenschutz-Grundverordnung genannt.7 Zuwiderhandlungen gegen die Datenschutz-Grundverordnung sollen mit merklich höheren Strafen versehen werden können, bis hin zu einem Höchstbetrag von 100 Millionen EUR oder bis zu 5 % des Jahresumsatzes eines Unternehmens.8 Ob diese Regelung jedoch in dieser Höhe und Strenge tatsächlich umgesetzt werden wird, hängt schliesslich von den noch andauernden Diskussionen im Trilog mit den einzelnen beteiligten Gremien ab, dem Rat der Europäischen Union, dem Europäischen Parlament und der Europäischen Kommission. Obgleich die Datenschutz-Grundverordnung noch nicht in Kraft ist und somit noch keine Gültigkeit hat, ist es für Unternehmen empfehlenswert, sich bereits heute mit den wesentlichen Änderungen der Richtlinie vertraut zu machen, zumal die Implementierung eines Risikoprozesses im Bereich Datenschutz nicht zuletzt auch erhebliche organisatorische und technische Folgen haben kann und eine entsprechende Durchlaufzeit im Unternehmen benötigt.
3.1 Privacy Impact Assessment (PIA)
Unter dem Begriff Privacy Impact Assessment (PIA) werden verschiedenste Methoden und Vorgehensweisen zusammengefasst, die proaktiv vor der Einführung und Nutzung einer neuen Technologie oder eines neuen Verfahrens mögliche Auswirkungen und Folgen auf das informationelle Selbstbestimmungsrecht von betroffenen Personen, sprich auf mögliche Datenschutzrisiken, aufzeigen.9 Die Europäische Kommission arbeitet derzeit an einem Entwurf für eine Datenschutz-Grundverordnung, der die verbindlichen Rahmenbedingungen und Anforderungen an ein solches PIA beschreibt. Wie eingangs erwähnt, ist ein PIA immer dann durchzuführen, wenn eine Technologie oder ein Verfahren neu ist und noch nicht eingesetzt wird. Neu heisst hierbei, dass noch keine Erfahrungswerte eben zur Auswirkung einer Technologie auf die Privatsphäre der Betroffenen oder zu Datenschutzrisiken bestehen. Ein erstes richtungsweisendes Framework zu einem PIA wurde auf die RFID-Technologie durch das Bundesamt für Informationssicherheit in Deutschland beispielhaft angewandt und durch die Art. 29 Datenschutz-Arbeitsgruppe verabschiedet.10
6 Knyrim, Trieb: Das künftige EU-Datenschutzrecht – Neue Anforderungen an die unternehmerische Compliance, http://www.preslmayr.at/tl_files/Publikationen/2014/Das%20kuenftige%20EU-Datenschutzrecht%20-%20Neue%20Anforderungen%20an%20die%20unternehmerische%20Compliance_Knyrim_Trieb.pdf, abgerufen am 13.04.2015 7 Datenschutz-Grundverordnung, Entwurf 03.10.2014, Artikel 23, 13772/14, http://data.consilium.europa.eu/doc/document/ST-13772-2014-INIT/de/pdf, abgerufen am 21.03.2015 8 http://www.haufe.de/recht/datenschutz/eu-datenschutzverordnung/sanktionsmassnahmen-werden-erheblich-verschaerft_224_95586.html, abgerufen am 04.05.2015 9 Schulz Gabriel „Anforderungen an Privacy Impact Assessments aus Sicht der Datenschutzaufsichtsbehörden“, S. 1, 2013, https://www.datenschutz-mv.de/datenschutz/publikationen/informat/pia/pia.pdf, abgerufen am 15.01.2015 10 http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2011/wp180_annex_en.pdf, abgerufen am 23.03.2015
Risikobasierter Datenschutz
Seite 6 von 23
Für Verfahren, Technologien und Prozesse, die in einem Unternehmen bereits angewendet werden, ist ein PIA nicht das adäquate Instrument zum Datenschutz-Risikomanagement. Vielmehr sind hier regelmässige und andauernde Prozesse im Rahmen der operativen Tätigkeit zu implementieren, die sowohl die technischen als auch organisatorischen Massnahmen zur Sicherung der informationellen Selbstbestimmung gewährleisten. Das umfassende PIA Verfahren für neuartige Technologien ist nicht Bestandteil dieses Arbeitspapiers, hier soll vielmehr auf die risikobasierte Evaluation bestehender Datenverarbeitungsprozesse eingegangen werden. Dies im Sinne einer Praxisunterstützung für Unternehmen, die mit der neuen Datenschutz-Grundverordnung konfrontiert sein werden.
4. Risikomanagement und Risikoorientierung Wie bereits erläutert, enthält die neue Datenschutzgrundverordnung einen risikobasierten Ansatz, sprich die Einführung eines Risikomanagements im Hinblick auf Datenschutzziele in einer Organisation. Risikomanagement ist ein fester Bestandteil der betriebswirtschaftlichen Unternehmensführung und per se keine neue Datenschutzerfindung. Daher soll hier nachfolgend im Sinne eines Exkurses auf die Grundlagen des Risikomanagements und auf die gesetzliche Verankerung der Aufrechterhaltungspflicht eines Risikomanagement-Prozesses eingegangen werden. Die für ein Unternehmen oder für eine Institution bestehenden Risiken leiten sich direkt aus den übergeordneten Unternehmenszielen sowie der Unternehmensstrategie und -politik der Organisation ab. Die sogenannten „Key Risks“ bestehen somit beispielsweise in der Nichterreichung von Unternehmenszielen, bedingt sowohl durch unternehmensinterne als auch unternehmensexterne Faktoren. Ist ein Unternehmensziel, Marktführer zu sein und steht das Unternehmen in preislicher Konkurrenz, so wird dieses Unternehmen somit sein Risiko „fehlende Wettbewerbsfähigkeit“ stark fokussieren. Die Gründe für das Eintreten dieses Risikos können unternehmensexterne Marktschwankungen oder möglicherweise der Markteintritt eines weiteren Konkurrenten sein. Unternehmensintern wird das Unternehmen seinen Fokus auf eine effiziente und effektive Organisation und Struktur legen, sodass trotz geringer Preisstruktur die finanziellen Unternehmensziele erreicht werden könnten. Dieses Key Risk wird somit durch verschiedene auch interne Prozesse gesteuert. Eine veraltete IT-Infrastruktur mit entsprechenden Opportunitätskosten und Kapazitätsverlusten spielt hier ebenso eine Rolle, wie eine unzureichende Ressourcen- und Auftragsplanung, die zu Spitzenlasten und Leerzeiten führen. Das Risikomanagement im Allgemeinen besteht in einer systematischen Analyse bestehender, vor allem unternehmerischen Risiken, deren Beschreibung, deren Bewertung nach Ausmass und Eintrittswahrscheinlichkeit, dem Identifizieren von möglichen Ursachen und nicht zuletzt dem Setzen möglicher Risikominimierungsmassnahmen und dem Bestimmen des sogenannten Residual- oder Restrisikos. Es handelt sich um einen fortlaufenden Prozess, der nachhaltig und vorausschauend die Kernrisiken identifizieren, vermeiden, reduzieren und in Einzelfällen auch zu einer Risikoakzeptanz führen kann, soweit das Unternehmen selbst ein Risiko nicht selbst steuern kann. Verschiedene nationale und internationale Entwicklungen haben dazu geführt, dass sich einzelne Branchen, wie Finanzdienstleister, Versicherungsunternehmen oder ähnliche auf gemeinsame Kernrisiken der Unternehmen verständigt und teilweise gesetzliche Mindestanforderungen an den
Risikobasierter Datenschutz
Seite 7 von 23
Umgang mit solchen Risiken fixiert haben. Ein Beispiel hierfür sind die Eigenkapital- und Liquiditätsvorschriften für Banken, die mit BASEL III als Antwort auf die letzte Finanzkrise im Jahr 2007 verabschiedet wurden.
5. Bestehende gesetzliche Verankerung des Risikomanagements Die Schweiz nahm das risikobasierte Denken als für alle Unternehmen allgemeingültige Regelung in den Gesetzesstatus auf, denn sie verlangt seit dem Jahr 2008 mit der Revision des Obligationenrechtes eine jährliche Risikobeurteilung juristischer Personen, unabhängig davon, ob diese Unternehmen der ordentlichen oder nur der eingeschränkten Revisionspflicht unterstehen. Ferner müssen grössere Gesellschaften ein sogenanntes IKS (internes Kontrollsystem) implementieren und dokumentieren.11 Liechtenstein hat bis dato verzichtet, eine flächendeckende gesetzliche Regelung zum Risikomanagement im Personen- und Gesellschaftsrecht zu verankern. Aufgrund international vereinheitlichter Anforderungen fanden jedoch insbesondere in Spezialgesetzen konkrete Risikomanagementanforderungen Einzug.
5.1 Sorgfaltspflichtgesetz
Im Sorgfaltspflichtgesetz Art. 9 wird die risikoadäquate Überwachung der Geschäftsbeziehung vorgegeben, insbesondere auch, dass eine besondere Aufmerksamkeit Gefahren, die von der Verwendung neuer Technologien ausgehen, zu widmen ist. Gefahren bzw. Risiken sind hier im Zusammenhang mit der Bekämpfung von Geldwäscherei, organisierter Kriminalität und Terrorismusfinanzierung zu verstehen. Der Begriff risikoadäquat bzw. in Englisch „Risk based Approach“ wird in der FMA-Richtlinie 2013/1 wie folgt erläutert: „Grundsätzlich bedeutet die Anwendung des risikobasierten Ansatzes, dass im Falle von erhöhten Risiken verstärkte Sorgfaltspflichten anzuwenden sind und in Fällen geringen Risikos hingegen weniger Aufwand betrieben werden kann.“12
5.2 Banken und Wertpapierfirmen, Versicherungsgesellschaften
Die ursprünglich aus BASEL II+III und nun auch aus SOLVENCY II stammenden Standards führten im Bereich der Banken und Wertpapierfirmen und im Bereich Versicherungswesen zu einschlägigen Vorgaben. Die Bankenverordnung Liechtenstein definiert nebst klassischen Branchenrisiken auch das operationelle Risiko als „das Risiko von Verlusten, die durch die Unangemessenheit oder das Versagen von internen Verfahren, Menschen oder Systemen oder durch externe Ereignisse verursacht werden, einschliesslich Rechtsrisiken.“ Hierunter sind somit auch Risiken im
11 Obligationenrecht Schweiz, OR Art. 663b 12 FMA Richtlinie 2013/1, Richtlinie zum risikobasierten Ansatz im Sinne des Gesetzes über berufliche Sorgfaltspflichten zur Bekämpfung von Geldwäscherei, organisierter Kriminalität und Terrorismusfinanzierung und der dazugehörigen Verordnung, www.fma-li.li, abgerufen am 05.02.2015
Risikobasierter Datenschutz
Seite 8 von 23
Zusammenhang mit beispielsweise IT-Applikationen oder dem Fehlen einer Funktionstrennung zu verstehen. Ebenso enthalten die Gesetze über bestimmte Organismen für gemeinsame Anlagen in Wertpapieren (UCITSG) und das Gesetz über die Alternativen Investment Fonds einschlägige Anforderungen zum Risikomanagement.
Die Implementierung von Risikomanagement-Ansätzen in unternehmerischen Kernprozessen ist somit sicherlich keine Neuerung, sondern vielmehr die Anforderung, dass der Datenschutz durch die Inkraftsetzung der Datenschutz-Grundverordnung sich selbst zum Unternehmensziel erhebt und zwingendermassen Bestandteil des unternehmensinternen Risiko-Assessment Prozesses sein muss.
6. Gewährleistungsziele und damit zusammenhängende Datenschutzrisiken Nebst den Grundprinzipien des Datenschutzes, nämlich der Datensparsamkeit, der Anonymisierung / Pseudonymisierung und dem Zweckbindungsgrundsatz, stehen bei der Überarbeitung der Datenschutzrichtlinie insbesondere Datenschutzrisiken im Zusammenhang mit der Datenverarbeitung im Vordergrund. Gegenständlich wird im Zusammenhang mit dem Datenschutzrecht der Begriff „Gewährleistungsziel“ anstelle des Begriffs „Schutzziel“ verwendet, weil der Begriff Schutzziel von der IT-Sicherheit schon über Jahrzehnte geprägt wurde. So soll beispielsweise der „Schutz der Integrität" nicht nur die Daten betreffen (z. B. durch Bildung und Vergleich von Hashwerten), was einer engen Bestimmung im Sinne der IT-Sicherheit entspräche, sondern vielmehr soll der Schutz der Integrität das gesamte Verfahren betreffen, das die Komponenten Daten, Systeme und Prozesse umfasst. Zu beachten gilt, dass anders als bei der klassischen IT-Sicherheit, wo der Schutz der Daten bei der Wahl der angemessenen Sicherheitsmassnahmen im Vordergrund steht, im Sinne des Datenschutzes nicht die Daten selbst, sondern die Privatsphäre der betroffenen Personen, deren Daten bearbeitet werden, zu schützen ist. Die definierten Gewährleistungsziele können im Sinne des Risikomanagements direkt auf den risikobasierten Datenschutz umgelegt werden. So ist im Sinne des Risikomanagements also per Definition das Risiko die Verletzung eines dieser Gewährleistungsziele. Diese abschliessende Betrachtung der bekannten Gewährleistungsziele auf Verletzungsrisiko vereinfacht die Risikobeurteilung im Datenschutzumfeld.
6.1 Gewährleistungsziele
Nebst den bekannten drei Schutzzielen (Verfügbarkeit, Integrität und Vertraulichkeit) aus der IT-Sicherheit13 definiert die Datenschutzverordnung drei weitere und somit insgesamt sechs Gewährleistungsziele14:
13 Datenschutzverordnung FL, Art. 9 Allgemeine Massnahmen Abs. 1, http://www.gesetze.li/DisplayLGBl.jsp?Jahr=2002&Nr=102, abgerufen am 26.05.2015 14 Datenschutzverordnung FL, Art. 10 Besondere Massnahmen Abs. 2 Buchstaben a), b) und c) http://www.gesetze.li/DisplayLGBl.jsp?Jahr=2002&Nr=102, abgerufen am 26.05.2015
Risikobasierter Datenschutz
Seite 9 von 23
• Verfügbarkeit • Integrität • Vertraulichkeit • Transparenz • Nichtverkettbarkeit • Intervenierbarkeit
Hier kann direkt von den Gewährleistungszielen auf das gegenläufige Risiko geschlossen werden, nämlich deren Nichteinhaltung. 6.1.1 Verfügbarkeit
Das Gewährleistungsziel Verfügbarkeit bezeichnet die Anforderung, dass personenbezogene Daten zur Verfügung stehen und ordnungsgemäss im vorgesehenen Prozess verwendet werden können. Dazu müssen die Daten im Zugriff des Berechtigten liegen und die vorgesehenen Methoden zu deren Bearbeitung müssen auf sie angewendet werden können. Risikobeispiel: Die Verfügbarkeit der Daten ist zum gegebenen Zeitpunkt nicht sichergestellt Beispielsweise widerspricht eine betroffene Person einer Datenbearbeitung, dieser Widerspruch steht jedoch nicht ordnungsgemäss oder fristgerecht einem Datenbearbeiter zur Verfügung, kann es in weiterer Folge für den Betroffenen zu einer Verletzung dessen Privatsphäre, z. B. durch eine Datenbekanntgabe, kommen. 6.1.2 Integrität
Das Gewährleistungsziel Integrität bezeichnet die Anforderung, dass informationstechnische Prozesse und Systeme die Spezifikationen kontinuierlich einhalten, die zur Ausübung ihrer zweckbestimmten Funktionen für sie festgelegt wurden, und die mit ihnen zu bearbeitenden Daten unversehrt, vollständig und aktuell bleiben. Risikobeispiel: Die Richtigkeit der Daten ist nicht gewährleistet Werden die Kontaktdaten einer betroffenen Person nicht gepflegt, sind veraltet oder falsch, besteht das Risiko, dass persönliche vertrauliche Nachrichten den eigentlichen Empfänger nicht erreichen oder Unbefugten bekannt werden. 6.1.3 Vertraulichkeit
Das Gewährleistungsziel Vertraulichkeit bezeichnet die Anforderung, dass keine Person personenbezogene Daten unbefugt zur Kenntnis nimmt. Unbefugte sind nicht nur Dritte ausserhalb der verantwortlichen Stelle, sondern sämtliche Personen, die keinerlei inhaltlichen Bezug zu einem Verfahren oder zu der oder dem jeweiligen Betroffenen haben. Risikobeispiel: Die Vertraulichkeit der Daten kann nicht gewährleistet werden Wenn vertrauliche Daten einem nicht berechtigten Kreis bekannt werden, zum Beispiel durch eine Sicherheitslücke, besteht das Risiko des Bekanntwerdens von persönlichen Daten, die jegliche Form von Missbrauch der Daten möglich macht (z. B. Identitätsdiebstahl) und es entsteht ggf. auch ein erheblicher Reputationsschaden (sowohl für juristische als auch für natürliche Personen).
Risikobasierter Datenschutz
Seite 10 von 23
6.1.4 Transparenz
Das Gewährleistungsziel Transparenz bezeichnet die Anforderung, dass in einem unterschiedlichen Masse sowohl Betroffene, als auch die Betreiber von Systemen sowie zuständige Kontrollinstanzen erkennen können, welche Daten für welchen Zweck in einem Verfahren erhoben und verarbeitet und welche Systeme und Prozesse dafür genutzt werden. Ferner, wohin die Daten zu welchem Zweck fliessen und wer die rechtliche Verantwortung für die Daten und Systeme in den verschiedenen Phasen einer Datenverarbeitung besitzt. Risikobeispiel: Die notwendige Transparenz im Datenverarbeitungsprozess ist nicht gegeben Der Datenbearbeitungsprozess im Zusammenhang mit der Erstellung einer Kennzahl (Scoring), z. B. für die Bonitätsprüfung, ist nicht nachvollziehbar. Hier besteht das Risiko der Diskriminierung der Betroffenen und die Betroffenen können ihre Rechte nur schwer wahrnehmen. 6.1.5 Nichtverkettbarkeit
Das Gewährleistungsziel Nichtverkettbarkeit bezeichnet die Anforderung, dass Daten nur für den Zweck bearbeitet und ausgewertet werden, für den sie erhoben werden. Datenbestände sind prinzipiell dazu geeignet, für weitere Zwecke eingesetzt und mit anderen, unter Umständen öffentlich zugänglichen Daten, kombiniert zu werden. Rechtlich zulässig ist eine zweckfremde Bearbeitung nur in Ausnahmefällen. Hier ist auf das Phänomen der Big Data Analyse hinzuweisen. Grundsätzlich ist die Big Data Analyse ein klassisches Beispiel von Verkettung von voneinander vorerst unabhängigen Informationen zur Herauskristallisierung von Mustern, Trends oder Abhängigkeiten, die mit unzusammenhängenden Datensätzen nicht oder nur schwer zu erkennen gewesen wären. Der Grundsatz der Nichtverkettbarkeit heisst nun aber nicht, dass die Big Data Analyse per se im Datenschutz untersagt ist. Vielmehr ist gerade bei der vorsätzlichen Verkettung von Informationen auf die Pseudonymisierung bzw. Anonymisierung der Daten zu achten, sodass keine zuordnungsfähigen Personendaten unverhältnismässig verkettet werden. Wie mit Big Data langfristig umgegangen wird und ob die Datenschutzintentionen bei solch einer Datenverarbeitung an ihre Grenzen stossen, ist derzeit noch offen. Risikobeispiel: Das Verketten von Daten erlaubt Rückschlüsse auf eine Person Wenn Daten ohne grossen Aufwand verkettet bzw. zweckfremdet genutzt werden können, besteht das Risiko der Erstellung von Nutzerprofilen und die Diskriminierung von betroffenen Personen ist einfacher möglich. 6.1.6 Intervenierbarkeit
Das Gewährleistungsziel Intervenierbarkeit bezeichnet die Anforderung, dass den Betroffenen die ihnen zustehenden Rechte auf Benachrichtigung, Auskunft, Berichtigung, Sperrung und Löschung jederzeit wirksam gewährt wird und die bearbeitende Stelle verpflichtet ist, die entsprechenden Massnahmen umzusetzen. Dazu müssen die für die Bearbeitungsprozesse verantwortlichen Stellen jederzeit in der Lage sein, in die Datenbearbeitung vom Erheben bis zum Löschen der Daten einzugreifen.
Risikobasierter Datenschutz
Seite 11 von 23
Risikobeispiel: Die betroffene Person kann im Hinblick auf die Datenverarbeitung ihrer Daten nicht intervenieren Wenn Daten nicht auf geeignete Art und Weise gelöscht oder berichtigt werden können oder ein solcher Löschprozess nicht implementiert wurde, besteht das Risiko des nachträglichen Bekanntwerdens von persönliche Daten oder Nachrichten der betroffenen Person trotz gesetzlicher Löschverpflichtung.
6.2 Kombination von Datenschutz und Risikomanagement – Risk based Approach
Bis dato wurden der Datenschutz und seine Gewährleistungsziele unabhängig von den bearbeitenden Datenkategorien angewendet. Das aktuelle Datenschutzgesetz spricht zwar von sogenannten „besonders schützenswerten Personendaten / Persönlichkeitsprofilen“, wie beispielsweise Daten über die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit, ohne jedoch auf die übrigen Personendaten und das im Zusammenhang mit der Bearbeitung mögliche inhärente Schutzverletzungsrisiko einzugehen. Zur angemessenen und geeigneten Handhabung von etwaigen Datenschutzrisiken in einem Unternehmen und zur Implementierung eines Datenschutzmanagements eignen sich bereits etablierte und einschlägig normierte Methoden und Vorgehensweisen des Risikomanagements. Risikomanagement und Risiko Assessment Methoden sind gängige Praxen zur Evaluation möglicher Auswirkungen von Risiken auf unternehmerische Schutzziele. Um die Risikomanagement-Strategien auch im Kontext des Datenschutzmanagements anzuwenden, müssen somit nicht grundlegend neue Methoden und Vorgehensweisen etabliert werden. Es sind lediglich die durch den Datenschutz vorgegebenen Gewährleistungsziele in den bestehenden Risiko-Assessmentprozess eines Unternehmens oder einer Institution mit aufzunehmen. Die zusätzlichen Neuerungen betreffen jedoch die Ausdehnung der unternehmerischen Ziele / Risiken auf mögliche Datenschutzrisiken. Die Datenschutz-Gewährleistungsziele sind in vielen Fällen nicht mit den unternehmenseigenen Schutzzielen deckungsgleich, da der Fokus der Gewährleistungsziele auf dem Datensubjekt, also den Interessen eines Individuums liegt und nicht vorwiegend auf den unternehmerischen Interessen. Der risikobasierte Ansatz in der Bewertung von Unternehmens- oder Kundenrisiken ist in weitreichenden Bereichen (siehe Kapitel gesetzliche Verankerungen des Risikomanagements in Liechtenstein) bereits umgesetzt und hat sich bewährt. Faktisch erlaubt es den Unternehmen, sich auf die Kernrisiken bzw. auf solche zu konzentrieren, die einerseits folgenschwere Konsequenzen oder andererseits eine hohe Eintrittswahrscheinlichkeit aufweisen. Somit können die Ressourcen auf die wesentlichen Herausforderungen gebündelt werden. Kritiker am sogenannten „Risk based Approach“ verlautbaren gerade im Bereich des Datenschutzes jedoch, dass es keine Unterscheidung der Risiken im Bereich der Bearbeitung des Personendatenschutzes geben dürfe, denn alle Personendaten seien schutzwürdig, nicht nur die „besonders schützenswerten“ oder die „Persönlichkeitsprofile“. Dieser theoretische Werteansatz ist jedoch in der Praxis de facto nicht umsetzbar, zumal die mit dem technischen und organisatorischen Schutz von Personendaten einhergehenden Pflichten für ein Unternehmen auch tatsächlich umgesetzt und gelebt werden müssen. Es muss also gewährleistet
Risikobasierter Datenschutz
Seite 12 von 23
sein, dass alle gesetzlichen Pflichten erfüllt werden. Diese müssen überprüfbar und dokumentiert sein und gleichzeitig müssen Abweichungen hierzu sanktioniert werden. Dies bedeutet für die jeweiligen Datenschutzstellen eine stets wachsende Kontrollfunktion, für Unternehmen die Implementierung von weitläufigen administrativen und organisatorischen Prozessen, die möglicherweise nicht im Verhältnis zur tatsächlichen Datenschutzbedrohung stehen. Diese Überlegungen haben bereits in diversen Branchen zur risikobasierten Betrachtungsweise geführt, um Kräfte zu bündeln und es gleichzeitig den Aufsichtsbehörden zu ermöglichen, auf eben diese Kernrisiken einzugehen und somit die grösstmögliche praktische Sicherheit und Prävention zu erlauben. Genau diese Sichtweise soll, im Interesse und zum Schutz der betroffenen Personen, nun auch im Bereich des Datenschutzes gelebt werden. Jeder Kritik zum Trotz sei hier also darauf hingewiesen, dass ein risikobasierter Ansatz sicherlich nicht eine Lockerung, sondern vielmehr zielgerichteter und somit eine Steigerung des Datenschutzes sein wird. Der Entwurf der Datenschutz-Grundverordnung beinhaltet bereits allgemein gültige Hinweise, die auf die Eintrittswahrscheinlichkeit oder die Schwere einer Datenschutzverletzung hinweisen. So werden bereits Datenkategorien definiert, deren Datenschutzverletzung eine besondere Schwere aufweisen. Auch in der aktuellen Datenschutzgesetzgebung findet bereits ein zweistufiges Schutzniveau Anwendung, einerseits für „besonders schützenswerte Daten und Persönlichkeitsprofile“ und „andere“ Personendaten, wobei die besonders schützenswerten Daten und die Persönlichkeitsprofile einen erhöhten Schutz des Gesetzes geniessen.15
6.3 Datenschutz-Grundverordnung Grundlagen der Risikobewertung
Der für die Verarbeitung personenbezogener Daten Verantwortliche muss gemäss Entwurf der Datenschutz-Grundverordnung geeignete Massnahmen ergreifen und den Nachweis erbringen, dass die Verarbeitungstätigkeit im Einklang mit der Verordnung steht. Hier muss er „die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung und das Risiko für die persönlichen Rechte und Freiheiten berücksichtigen.“16 Es wird bei diesen Risiken in der Folge (Randziffer 60a) zwischen Eintrittswahrscheinlichkeit und Schwere des möglichen Risikos unterschieden. Im Anschluss werden zahlreiche Beispiele genannt, die einerseits Auswirkungen auf die Persönlichkeit beim Eintritt einer Datenschutzverletzung beschreiben und weiterhin generell Datenkategorien, die schliesslich per se eine grosse Auswirkung bzw. Schwere in sich tragen, sofern es zu einer Datenschutzverletzung mit solchen Daten kommt: Als besonders schwerwiegend werden also Auswirkungen beispielhaft aufgeführt, die • zu einer physischen, materiellen oder moralischen Schädigung führen können. Dies sei
insbesondere der Fall, wenn die Verarbeitung • zu einer Diskriminierung • einem Identitätsdiebstahl oder –betrug • einem finanziellen Verlust
15 Mittelberger, P., Das liechtensteinische Datenschutzgesetz – Eine Einführung, Liechtensteinische Juristenzeitung 2/03, S. 50, http://www.llv.li/files/dss/pdf-llv-sds-ljz-abhandlung-2.pdf 16 Datenschutz-Grundverordnung, Entwurf 03.10.2014, Ziffer 60), 13772/14, http://data.consilium.europa.eu/doc/document/ST-13772-2014-INIT/de/pdf, abgerufen am 21.03.2015
Risikobasierter Datenschutz
Seite 13 von 23
• einer Rufschädigung • einem Verlust der Vertraulichkeit des Berufsgeheimnisses • einer Verletzung der Pseudonymität oder • anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führt oder • wenn die betroffene Person um ihre Rechte und Freiheiten gebracht werde und • wenn die Kontrolle über die personenbezogenen Daten verhindert wird
Generell gelten als besonders schwerwiegend und als Risiken mit einer grossen Auswirkung auf die persönlichen Rechte und Freiheiten Datenverarbeitungen und Datenschutzverletzungen folgender Kategorien (enumerativ): • Rassische oder ethnische Herkunft • Politische Meinungen • Religiöse oder philosophische Überzeugung • Zugehörigkeit zu einer Gewerkschaft • Genetische Daten • Daten über Gesundheit • Daten über Sexualleben • Strafrechtliche Verurteilungen • Straftaten oder damit zusammenhängende Sicherungsmassregeln • Daten von schutzbedürftigen Personen, insbesondere von Kindern
Ferner gelten ebenfalls als besonders schwerwiegende Datenverarbeitungen zum Zweck der Bewertung der Persönlichkeit, wie: • Arbeitsleistung • Wirtschaftliche Lage • Gesundheit • Persönliche Vorlieben oder Interessen • Zuverlässigkeit oder Verhalten • Aufenthaltsort oder Ortswechsel, wenn diese analysiert und prognostiziert werden, um ein Profil
zu erstellen
Generell haben auch Datenschutzverletzungen, die nicht in einer dieser Kategorien oder Prozesse subsummiert werden können, jedoch eine grosse Menge personenbezogener Daten betreffen und eine grosse Anzahl von Personen betroffen sind, schwerwiegende Auswirkungen auf die Privatsphäre der Betroffenen. Die auf den ersten Blick sehr umfassende Aufzählung von schwerwiegenden Datenschutzfolgen lässt sich jedoch grob in drei Kategorien einteilen:
A. Datenverarbeitungen, bei denen eine Datenschutzverletzung grosse Auswirkungen (Schwere) auf die persönlichen Rechte und Freiheiten haben, und zwar vorerst unabhängig von der Kategorie der bearbeiteten Daten
B. Datenkategorien oder –typen, von denen impliziert wird, dass die Auswirkungen
schwerwiegend sind für die persönlichen Rechte und Freiheiten
Risikobasierter Datenschutz
Seite 14 von 23
C. Datenbewertungen, die in Kombination auf ein Persönlichkeitsprofil im weitesten Sinne schliessen lassen
Im Grunde genommen bilden die unter Punkt B. genannten Datenkategorien somit einen integralen Bestandteil der unter Punkt A. genannten schwerwiegenden Folgen und dienen der einfacheren Orientierung für den Datenverarbeiter, ob der sich mit einer Auswirkung besonderer Schwere konfrontiert sieht. Sollte somit ein Datenverarbeiter Datenkategorien wie unter Punkt B. aufgeführt bearbeiten, so muss er unter Umständen selbst bei einer geringen Eintrittswahrscheinlichkeit von die Privatsphäre kompromittierenden Ereignissen stärkere präventive Risikomanagement-Massnahmen treffen, als wenn er beispielsweise bei höherer Eintrittswahrscheinlichkeit andere Datenkategorien bearbeitet. Ebenso, wenn Persönlichkeitsprofile erstellt werden könnten oder grössere Mengen an Daten und Personen bearbeitet werden. Ein interessanter Aspekt ist hier, dass bereits ohne eine nunmehr offizielle Kategorisierung der Datenbearbeitungen nach Risiko und Schwere bereits heute die liechtensteinische Datenschutzstelle, sicherlich nicht zuletzt um ihre Ressourcen adäquat einzusetzen, Schwerpunktthemen für ihre Tätigkeit festgelegt hat. Diese liegen gemäss Tätigkeitsbericht 2012 auf den Gebieten Gesundheit und Soziales, Finanzen, Datensicherheit und Jugendliche.17 Diese Gebiete repräsentieren grob die nun wieder aufgegriffenen Themen der europäischen Grundverordnung, bedürfen jedoch sicherlich selbst noch einmal einer risikobasierten Reflexion und ggf. Anpassung. Diese risikobasierte Reflexion und die damit zusammenhängenden Verpflichtungen eines Datenbearbeiters werden auch von der Working Group 29 aufgegriffen und unterstützt.18 Nachfolgende Darstellung soll die prinzipielle Einteilung der Eintrittswahrscheinlichkeit und der Schwere / Auswirkung im Hinblick auf die Einordnung eines Datenschutzrisikos grafisch erläutern:
Ein
tritts
wah
rsch
einl
ichk
eit
hoch
Risiko-Massnahmen sehr stark
mitt
el
gerin
g
Risiko-Massnahmen gering
gering mittel hoch
Schwere / Auswirkung
Abbildung 1: Einordnung Risiken
17 Liechtensteinische Datenschutzstelle, Tätigkeitsbericht 2012, S. 26. http://www.llv.li/files/dss/pdf-llv-dss-taetigkeitsbericht_2012.pdf, abgerufen am 30.08.2015 18 Article 29 Data Protection Working Party, 14/EN WP 218, Statement on the role of a risk-based approach in data protection legal frameworks, adopted on 30 May 2014, Ziff. 5
Risikobasierter Datenschutz
Seite 15 von 23
Die einzelnen Kombinationen und Klassifikationen können zu unterschiedlich starken bzw. engmaschigen Risikomanagement-Massnahmen führen, sowohl technischer als auch organisatorischer Art. Die hierbei getroffenen Massnahmen müssen • im Einklang mit den Datenschutz-Gewährleistungszielen stehen (Verfügbarkeit, Integrität,
Vertraulichkeit, Transparenz, Nichtverkettbarkeit, Intervenierbarkeit) • zu einer physischen, materiellen oder moralischen Schädigung führen können. Dies sei
insbesondere der Fall, wenn die Verarbeitung • dokumentiert sein • regelmässig auf ihre Wirksamkeit hin überprüft werden
Beispiel 1: Hohe Eintrittswahrscheinlichkeit Risiko „Vertraulichkeit“ und hohe Schwere bzw. Auswirkungen: Ein Kinderarzt speichert seine Patientendaten auf einem internen IT-System, auf das sein IT-Lieferant vollen Administrationszugriff hat. Die Daten sind lesbar und nicht verschlüsselt. Der Lieferant greift regelmässig per Fernwartung auf die Systeme zu und führt notwendige Arbeiten an den Systemen durch. Einschätzung: Die Tatsache, dass es sich um die Kategorien „Daten von schutzbedürftigen Personen, insbesondere Kinder“ und „Gesundheitsdaten“ handelt, führt zu einer Klassifikation „hoch“ der Schwere einer Datenschutzverletzung. Die Eintrittswahrscheinlichkeit, dass Daten von Patienten durch Unbefugte wahrgenommen und gelesen werden könnten, ist in diesem dargelegten Fall ebenfalls „hoch“, zumal der IT-Lieferant theoretisch vollen Zugriff auf sämtliche Daten hat. Massnahmen: Der Kinderarzt muss in diesem Fall organisatorische oder technische Massnahmen treffen, die zumindest auf der Ebene der Eintrittswahrscheinlichkeit eine Risikominimierung herbeiführen. Hier könnte zum Beispiel eine Datenverschlüsselung oder aber der überwachte Zugriff des Lieferanten angewendet werden. Beispiel 2: Geringe Eintrittswahrscheinlichkeit und Schwere des Risikos „Vertraulichkeit“: Ein Unternehmen verfügt über ein grösseres CRM, in dem Kundenadressen, Kontaktdetails und letzte Kontakte zu Rechnungs- und Kundenbetreuungszwecken verwaltet werden. Generell haben nur Mitarbeiter in der Administration und aus der Kundenbetreuung Zugriff. Einschätzung: Grundsätzlich ist eine Datenschutzverletzung hier sowohl von der Schwere als auch von der Eintrittswahrscheinlichkeit eher als gering bis mittel einzustufen, sofern nicht das Unternehmen selbst in einer Branche tätig ist, in der bereits eine geringe Eintrittswahrscheinlichkeit zu einer schweren Verletzung der Rechte der Persönlichkeit führen würde, beispielsweise weil durch die alleinige Tatsache, dass eine Person Kunde dort ist, bereits eine Rufschädigung eintreten könnte (sexuelle Neigungen oder philosophische Ansichten). Massnahmen: Sofern die Datenkategorie nicht im Bereich mittlere oder hohe Schwere liegt, sind keine zusätzlichen Massnahmen zu treffen. Diese Risikobewertung ist jedoch ebenfalls regelmässig neu zu bewerten,
Risikobasierter Datenschutz
Seite 16 von 23
spätestens wenn sich an den bearbeiteten Datenkategorien oder an der technischen Lösung und den damit zusammenhängenden Berechtigungen grundlegende Änderungen ergeben.
6.4 Restrisiko und Zusammenarbeit mit der Datenschutzstelle
Nach dem Setzen einzelner Massnahmen zur Reduktion der Eintrittswahrscheinlichkeit eines Datenschutzverletzungsrisikos ist der Datenverarbeitungsprozess erneut zu bewerten und das Restrisiko zu bestimmen.
6.5 Kurzorientierung für Organisationen
Im Wesentlichen ist eine Organisation gefordert, die Arten der Personendaten, die bearbeitet werden, zu identifizieren. Werden besonders schützenswerte Daten / Persönlichkeitsprofile bearbeitet (siehe Kapitel 6.3), so sind auch bei einer geringen Eintrittswahrscheinlichkeit die technischen und organisatorischen Massnahmen zur Wahrung der Gewährleistungsziele entsprechend hoch anzusetzen. Im umgekehrten Falle auch bei einer eher geringen Schwere und hoher Eintrittswahrscheinlichkeit. Sind keine Massnahmen technischer oder organisatorischer Art anwendbar, die ein identifiziertes Risiko von grosser Schwere oder hoher Eintrittswahrscheinlichkeit auf eine niedrigere Stufe umsetzen, sei es aus Gründen der Möglichkeit oder Wirtschaftlichkeit, so hat die Organisation dies mit der Datenschutzsstelle idealerweise vor Beginn der Bearbeitung oder aber bei bestehenden Prozessen sehr zeitnah nach erfolgter Risikobewertung abzusprechen. Die Datenschutzsstelle steht beratend zur Verfügung. In einem ersten Schritt sind die einzelnen Datenschutzrisiken in der Organisation zu erheben und ganz im Grundsatz zu bewerten. Die Schwere einer Datenschutzverletzung ist einerseits vorgegeben (z. B. bei besonders schützenswerten Daten / Persönlichkeitsprofilen als hoch) oder kann insgesamt aus der Art der bearbeiteten Daten gestuft bewertet werden. Die Eintrittswahrscheinlichkeit einer Datenschutzverletzung wiederum ist meist nicht auf eine bestimmte Schwachstelle in der Organisation zurückzuführen, sondern lässt sich kumulativ durch verschiedene Bearbeitungsschritte im Unternehmen abschätzen. So kann die Vertraulichkeit der Daten beispielsweise in der IT durch einen fehlenden Passwortschutz gefährdet werden, im Archiv durch die Zugangsmöglichkeit von nicht berechtigten Personen wie Reinigungskräfte und im Bereich Personal durch die Verletzung der Vertraulichkeitsvereinbarungen durch einen Mitarbeiter, der Dritten über die Personendaten berichtet. Aus diesem Grund ist das jeweilig identifizierte Datenschutzrisiko in einem zweiten Schritt jeweils detailliert auf die einzelnen involvierten Bearbeitungseinheiten zu konkretisieren. Hier können somit mehrere Massnahmen, die an verschiedenen Stellen gesetzt werden, das Gesamtrisiko deutlich reduzieren. Die im Kapitel 6.3 bezeichneten gesetzlichen Grundlagen gelten insbesondere für Organisationen, die Daten über die wirtschaftliche Situation einer Person oder deren Vermögenssituation bearbeiten. Insofern können solche Unternehmen bestehende Risiko-Assessments jeweils um die Kategorie Datenschutzrisiken ergänzen.
Risikobasierter Datenschutz
Seite 17 von 23
Weitere Organisationen, wie beispielweise solche aus dem Gesundheitsbereich, wo ein solches Risikomanagementsystem gesetzlich noch nicht verankert ist, werden die Risiken in ihrer Organisation breiter abschätzen müssen und einen entsprechenden Risikoassessment Prozess implementieren und aufrecht erhalten. Eine mögliche Übersicht über die übergeordneten Datenschutzrisiken inklusive Bewertung könnte wie beispielhaft hier dargestellt zusammengefasst werden:
Abbildung 2: Übersicht Risikomatrix
Risikobasierter Datenschutz
Seite 18 von 23
In der Detailübersicht wiederum sind zu den jeweilig identifizierten Risiken die Massnahmen zu beschreiben:
Abbildung 3: Beschreibung der Massnahmen Wird an einem Prozess organisatorisch oder technisch eine Änderung erwirkt, so muss das betroffene Datenschutzrisiko erneut bewertet werden. Idealerweise werden die Änderungen im Vorfeld auf mögliche negative (oder auch positive) Auswirkungen auf die Datenschutzziele hin beurteilt. Erst durch eine entsprechende Risikobeurteilung ist es dem Verantwortlichen auch möglich, die notwendigen technischen und organisatorischen Massnahmen für einen bestimmten Datenbearbeitungsprozess zu identifizieren oder aber nachweislich den Schutzbedarf für einen bestimmten Datenbearbeitungsprozess im Verhältnis zu reduzieren. Dies regt auch die Article 29 Data Protection Working Party an.19
6.6 Geeignete technische und organisatorische Massnahmen
Ist ein Datenschutzrisiko identifiziert, ist es mit anerkannten Standards möglich, die adäquaten Massnahmen zu setzen. Im Bereich der technischen Sicherheitsmassnahmen empfiehlt sich hier die Orientierung an der ISO 27000er Reihe. Hierzu sind ausführliche Literatur und Schulungsmaterial verfügbar, sodass zumindest im technischen und teilweise auch im organisatorischen Bereich (Datenschutzmanagement) den Gewährleistungszielen gerecht wird. Eine weitere Möglichkeit, die eigenen Gewährleistungsziele und deren Einhaltung auch Dritten gegenüber zu demonstrieren, ist die Durchführung einer Datenschutzzertifizierung. In Liechtenstein ist die Erlangung einer solchen seit Beginn 2014 gesetzlich verankert und möglich. Die Datenschutzzertifizierung setzt sich spezifisch mit den Anforderungen an Gewährleistungsziele auseinander, baut jedoch in den wesentlichen Fragen auf gängigen Standards auf.
19 Article 29 Data Protection Working Party, 14/EN WP 218, Statement on the role of a risk-based approach in data protection legal frameworks, adopted on 30 May 2014; Ziff. 5 http://ec.europa.eu/justice/data-protection/index_en.htm 01.08.2015
Risikobasierter Datenschutz
Seite 19 von 23
6.7 Umfang der Risikobewertung
Der Risikobewertungsprozess sollte ein regelmässiger, der Organisation angepasster, jedoch mindestens jährlicher Prozess sein. Die Berichterstattung über die Ergebnisse der Beurteilung ergeht dabei an Gremien, die in der Organisation für die Einhaltung von Compliance-Vorgaben verantwortlich sind, dies sind üblicherweise die obersten Organe wie Verwaltungsräte oder Stiftungsräte. Abschliessend ist zu bemerken, dass die Implementierung eines Risikobeurteilungsprozesses inklusive der regelmässigen Überwachung und Überprüfung der Massnahmen ausreichend Ressourcen in der Organisation benötigt und, sollte ein solcher Prozess derzeit noch vollständig fehlen, eine Durchlaufzeit von geschätzt einem Jahr verlangt. Insofern ist es für die Organisationen relevant, sich frühzeitig mit dem risikobasierten Datenschutz auseinanderzusetzen, um nicht durch gesetzliche Regelungen und damit einhergehende Pflichten überholt zu werden.
7. Ausblick Das Trilogverfahren ist andauernd und die Ansichten des Europäischen Rates weichen in wesentlichen Bereichen von denen des Parlamentes ab. Es ist beispielsweise unklar, ob eine Grössenkondition eingeführt werden soll, die für Kleinstunternehmen die Hürden niedriger setzen soll, als für grössere Unternehmen. Dieser Ansatz scheint zwar auf den ersten Blick sehr wirtschaftsfreundlich, jedoch widerspricht er im Ganzen dem risikobasierten Ansatz, denn auch kleine Unternehmen könnten sensible Personendaten mit unzureichendem Schutzniveau bearbeiten. Ebenfalls ist offen, wie stark die Meldepflichten bei Datenschutzverletzungen greifen sollen und welche Kompetenzen eine Datenschutzstelle bei der Kontrolle von Prozessen in Organisationen erlangen soll. Eine wesentliche Anforderung an die neue Datenschutz-Grundverordnung wird im Statement der Article 29 Data Protection Working Party zum Thema “risk-based approach in data protection legal frameworks” festgehalten: „Implementation of controllers‘ obligations through accountability tools and measures (e.g. impact assessment, data protection by design, data breach notification, security measures, certifications) can and should be varied according to the type of processing and the privacy risks for data subjects. There should be recognition that not every accountability obligation is necessary in every case – for example where processing is small-scale, simple and low risk.”20 Die Trends der Datenschutz-Grundverordnung, nämlich der risikobasierte Ansatz und im weitesten Sinne die Privacy Impact Analyse, sind jedoch jetzt bereits verankert. Unternehmen oder allgemein Organisationen sollten daher auf dem Weg der nachhaltigen Implementierung eins „Risk based Approach“ begleitet und unterstützt werden.
20 Article 29 Data Protection Working Party, 14/EN WP 218, Statement on the role of a risk-based approach in data protection legal frameworks, adopted on 30 May 2014, Ziff. 5 http://ec.europa.eu/justice/data-protection/index_en.htm 01.08.2015
Risikobasierter Datenschutz
Seite 20 von 23
Mögliche Massnahmen wären hier:
• Die Durchführung von Informationsveranstaltungen • Die Durchführung einer Schulung (in Zusammenarbeit mit anderen Institutionen) oder aber die
Bereitstellung von Schulungsunterlagen zu dieser Thematik
Die Datenschutzstelle selbst sollte das risikobasierte Verfahren auch zu internen Zwecken anwenden, um Organisationen in der Anwendung unterstützen und ihre Ressourcen optimal einsetzen zu können. Eine Kooperation mit europäischen Datenschutzstellen in Detailfragen, wie der Umsetzung von Privacy Impact Analysen, würde die Datenschutzstelle sicherlich langfristig entlasten. Ebenso ist zu definieren, in welchem Umfang die Datenschutzstelle beratend oder unterstützend bei der Implementierung der Grundverordnung tätig werden kann und soll, dies vor allem im Lichte der Strafen, mit denen sich eine Organisation bei Verletzung der Compliance Anforderungen konfrontiert sieht. Die Positionierung und die Konkretisierung dieser Fragen erlaubt es der nationalen Datenschutzstelle, im Rahmen ihrer regulatorischen Verpflichtungen eine kompetente Ansprechorganisation für Organisationen zu werden. Abschliessend ist festzuhalten, dass nach Finalisierung der europäischen Datenschutz Grundverordnung die wesentlichen Inhalte der Verordnung erneut auf ihre tatsächliche praktische Umsetzung hin geprüft werden sollten. Die Inhalte dieses Papiers sind somit weder abschliessend noch umfassend, zumal sich die Verordnung erst in einem Entwurf vorliegt.
Risikobasierter Datenschutz
Seite 21 von 23
8. Quellenverzeichnis Article 29 Data Protection Working Party, 14/EN WP 218, Statement on the role of a risk-based approach in data protection legal frameworks, adopted on 30 May 2014 http://ec.europa.eu/justice/data-protection/index_en.htm 01.08.2015 Whitepaper zur geplanten „Datenschutz-Grundverordnung der Europäischen Union“, Stand 12. Juni 2014: http://www.watchdogs.at/science/datenschutz-grundverordnung-der-europaeischen-union 04.05.2015 http://www.cr-online.de/blog/2013/03/07/gute-nachrichten-aus-brussel-vom-verbotsprinzip-zur-risikoorientierung 20.03.2015 http://www.llv.li/#/1586/register-der-datensammlungen 26.05.2015 Datenschutz-Grundverordnung, Entwurf 19.12.2014, Ziffer 70), 15395/14: http://amberhawk.typepad.com/files/dapix-text-eu-council-dp-reg-december-2014.pdf 21.03.2015 Datenschutz-Grundverordnung, Entwurf 19.12.2014, Ziffer 66a), 15395/14: http://amberhawk.typepad.com/files/dapix-text-eu-council-dp-reg-december-2014.pdf 21.03.2015 Knyrim, Trieb: Das künftige EU-Datenschutzrecht – Neue Anforderungen an die unternehmerische Compliance: http://www.preslmayr.at/tl_files/Publikationen/2014/Das%20kuenftige%20EU-Datenschutzrecht%20-%20Neue%20Anforderungen%20an%20die%20unternehmerische%20Compliance_Knyrim_Trieb.pdf 13.04.2015 Datenschutz-Grundverordnung, Entwurf 03.10.2014, Artikel 23, 13772/14: http://data.consilium.europa.eu/doc/document/ST-13772-2014-INIT/de/pdf 21.03.2015 http://www.haufe.de/recht/datenschutz/eu-datenschutzverordnung/sanktionsmassnahmen-werden-erheblich-verschaerft_224_95586.html 04.05.2015 Schulz Gabriel „Anforderungen an Privacy Impact Assessments aus Sicht der Datenschutzaufsichtsbehörden“, S. 1, 2013: https://www.datenschutz-mv.de/datenschutz/publikationen/informat/pia/pia.pdf 15.01.2015 http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2011/wp180_annex_en.pdf 23.03.2015 Obligationenrecht Schweiz, OR Art. 663b FMA Richtlinie 2013/1, Richtlinie zum risikobasierten Ansatz im Sinne des Gesetzes über berufliche Sorgfaltspflichten zur Bekämpfung von Geldwäscherei, organisierter Kriminalität und Terrorismusfinanzierung und der dazugehörigen Verordnung: www.fma-li.li 05.02.2015 Mittelberger, P., Das liechtensteinische Datenschutzgesetz – Eine Einführung, Liechtensteinische Juristenzeitung 2/03, S. 50, http://www.llv.li/files/dss/pdf-llv-sds-ljz-abhandlung-2.pdf 30.08.2015 Liechtensteinische Datenschutzstelle, Tätigkeitsbericht 2012, S. 26. http://www.llv.li/files/dss/pdf-llv-dss-taetigkeitsbericht_2012.pdf, 30.08.2015 Datenschutzverordnung FL, Art. 9 Allgemeine Massnahmen Abs. 1 http://www.gesetze.li/DisplayLGBl.jsp?Jahr=2002&Nr=102 26.05.2015 Datenschutzverordnung FL, Art. 10 Besondere Massnahmen Abs. 2 Buchstaben a), b) und c) http://www.gesetze.li/DisplayLGBl.jsp?Jahr=2002&Nr=102
Risikobasierter Datenschutz
Seite 22 von 23
26.05.2015 Datenschutz-Grundverordnung, Entwurf 03.10.2014, Ziffer 60), 13772/14: http://data.consilium.europa.eu/doc/document/ST-13772-2014-INIT/de/pdf 21.03.2015
Risikobasierter Datenschutz
Seite 23 von 23
9. Abbildungsverzeichnis Abbildung 1: Einordnung Risiken ……………….…………………………………………………………….14
Abbildung 2: Übersicht Risikomatrix ………………..………………………………………………………...17
Abbildung 3: Beschreibung der Massnahmen ……………………………………………………………….18
