Welche Bedeutung hat die Risikoanalyse im Datenschutz?

Datenschutzgesetz - Nachzügler neuer Technologien

Digitalisierung verändert die Welt

Beide Gesetze, das revidierte Schweizer Datenschutzgesetz als auch die EU-DSGVO, müssen nicht nur konform, sondern auch angemessen, d.h. mit einem risikobasierten Ansatz auf die individuellen Rahmenbedingungen des Unternehmens abgestimmt, umgesetzt werden.

Mit dem Fortschritt elektronischer Datenverarbeitungstechnologien und dem Aufkommen immer grösserer Mengen personenbezogener Daten steht die Frage im Raum, wie die Folgen der Technisierung auf die Persönlichkeitsrechte der Betroffenen systematisch analysiert und entsprechende Handlungsmassnahmen ergriffen werden können.

Digitalisierung_CyberWehr RMS GmbH

Wo stehen Sie in der Umsetzung des revidierten Datenschutz Gesetzes / der EU-DSGVO?

Einzelne Massnahmen im Datenschutz
Datenschutz Sparring

Wir stehen da zur
Verfügung, wo Sie es
brauchen

Datenschutzfolgenanalyse

Wir stehen da zur
Verfügung, wo Sie es
brauchen

Datensicherheit, - Sicherung

Wir stehen da zur
Verfügung, wo Sie es
brauchen

DSG / DSGVO Compliance

Wir stehen da zur
Verfügung, wo Sie es
brauchen

Sprechen Sie uns an  T. +41 79 348 55 63 

FINDEN SIE HERAUS, WELCHE DIENSTLEISTUNG ZU IHNEN PASST. Kostenlos. In 10 Minuten.

Erhalten Sie ein erstes Feedback zu Ihrer Ausgangslage 

Was gilt es zu beachten?

Automatisierte Entscheidungen personenbezogener Daten

Risikograd Veränderung_CyberWehr RMS GmbH

Computer, Software, Applikationen, Geräte, Maschinen und sogar Drucker speichern personenbezogene Daten. Personenbezogene Daten sind neben äusseren Merkmalen wie zum Beispiel der Augenfarbe auch innere Zustände (z.B. Meinungen und Handlungsmotive) sowie Beziehungen zu Dritten und der Umwelt (z.B. Verträge, Chatverläufe). Diese Daten sind selbst dann personenbezogen, wenn sie im Internet nur einem Pseudonym (= Nutzernamen) zugeordnet werden können, weil mithilfe des Internetproviders die wirkliche Identität des Nutzers herausgefunden werden kann. Daher sind auch IP-Adressen als personenbezogene Daten einzustufen!

Weitere Beispiele personenbezogener Daten sind:

Vorname, Nachname, Künstlername, Geburtstag, E-Mail, private Adresse, biometrische Daten wie Fingerabdruck und Gesichtserkennung, Gesundheitsdaten, rassische und ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugungen, Finanz- und Versicherungsdaten, Gewerkschaftszugehörigkeit, Fotos mit erkennbaren Personen, elektronische Einwilligungen, Usernamen, Standortdaten, Kennnummern, Online-Identifyer, zugeordnete Cookies, individuelle Vermerke zu Kunden.

Automatisierte Entscheidungen werden u.a. in Bonitätsermittlung und  Betrugsbekämpfung eingesetzt, aber auch, wenn Algorythmen den geeigneten Stellenbewerber für die neue, zu besetzende Position ermitteln.

Was bedeutet das «Risiko» für personenbezogene Daten gemäss revidierten DSG / EU-DSGVO?

Der Begriff „Risiko“ ist im Gesetz nicht explizit bestimmt. Der Erwägungsgrund 75 der EU-DSGVO besagt:

Ein Risiko im Sinne der EU-DSGVO ist das Bestehen der Möglichkeit des Eintritts eines Ereignisses, das selbst einen Schaden – einschliesslich ungerechtfertigter Beeinträchtigungen von Rechten und Freiheiten natürlicher Personen – darstellt oder zu einem weiteren Schaden für eine oder mehrere natürliche Personen führen kann. 
Das Risiko hat zwei Dimensionen: die Schwere des Schadens und die Wahrscheinlichkeit, unter denen Ereignis und Folgeschäden eintreten.

Risikoanalyse

Risikoidentifikation: Welche potentiellen Gefahren drohen der betroffenen Person?

Der Datenschutz sieht in der Risikoanalyse nur diejenigen Risiken, die Einfluss auf natürliche Personen haben. Ein Risiko ist auch im Datenschutz definiert als die Multiplikation des Schadens mit der Eintrittswahrscheinlichkeit. Bei Datenschutz-Risiken bezieht sich der Schaden auf die Person. Ein Schaden könnte demnach sein:

  • finanzieller Schaden
  • wirtschaftliche Nachteile
  • gesellschaftliche Nachteile
  • Identitätsdiebstahl
  • Lebensgefahr
  • Existenzgefährdung
  • Diskriminierung
  • Rufschädigung
  • Blossstellung
  • Verlust des Arbeitsplatzes
  • Geheimnisoffenbarung
  • Weitere Schadenskategorien sind möglich

Risiken gilt es zu vermeiden. Deshalb fordert das Datenschutzgesetz eine Analyse der Risiken für natürliche Personen, d.h. von Kunden, Lieferanten, Patienten, der angestellten Mitarbeiter bzw. von Kooperationspartnern in der Datenverarbeitung. Damit sind die sogenannten „Auftragsverarbeiter“ gemeint: z.B. Labore, das Outsourcen der IT an einen externen Dienstleister, etc.  

Warum ist eine Risikoanalyse erforderlich?

Das Unternehmen und jede Organisation ist verpflichtet, den Datenschutzzielen folgend, angemessene technische und organisatorische Schutzmassnahmen zu identifizieren und zu ergreifen, um die Integrität, Vertraulichkeit, Transparenz, Datenminimierung und Verfügbarkeit der Daten zu gewährleisten und die Verarbeitung personenbezogener Daten systematisch zu schützen. Die neutrale, ganzheitliche Risikoanalyse umfasst die strategische, informationstechnische, organisatorische und rechtliche Ebene. Wir beziehen Ihre Sicherheit vor Cyberangriffen mit ein und nutzen die Synergien zum Qualitätsmanagement .

Wann ist die Risikoanalyse zwingend im Gesetz vorgeschrieben?

„Privacy by Design“: d.h. Geräte, Applikationen, Informationssysteme etc. müssen bereits bei ihrer technischen Entwicklung so konzipiert werden, dass sie möglichst datenschutzfreundlich sind. Wo auch immer möglich, müssen Informationen anonymisiert erfasst und nur das absolut notwendige Minimum an Daten erhoben werden.

 

«Privacy by Default»: Geräte und Applikationen müssen bei ihrer ersten Inbetriebnahme durch die Nutzerinnen und Nutzer über strengst-mögliche Voreinstellungen verfügen.

Bei der Verarbeitung besonders sensibler Daten, insbesondere von Gesundheitsdaten, oder dem Einsatz einer Videokamera auf dem (beschränkt-öffentlichem) Betriebsgelände ist die Datenschutz-Folgenabschätzung, eine Risiko-Folgenabschätzung, die auf der vorhergehenden Risikoanalyse beruht, zwingend vorgeschrieben. Ein anderer Fall sind Big-Data-Analysen: sie werden gern von Banken eingesetzt bei der Betrugsbekämpfung und Bonitätsberechnung und können zu diskriminierenden Entscheidungen führen, die es abzuwehren gilt.

 

Im Fall von automatisierten Entscheidungen „Profiling“ wird bspw. das Persönlichkeitsprofil des idealen Stellenbewerbers definiert und der Computer beurteilt, wer diesem am besten entspricht. Man versucht damit, bestimmte persönliche Aspekte vorherzusagen und zu bewerten, wie Aspekte der Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel, um dann eine Entscheidung für die Person treffen zu können, die am besten in das Team passt.Risk Management Matrix_CyberWehr RMS GmbH

Der Umfang der Risikoanalyse:

Die Risikoanalyse umfasst alle Aktivitäten zur Identifikation, Einschätzung, Bewertung und Priorisierung der Risiken und Chancen in der Datenverarbeitung. Sie schliesst die Prozesse und Geschäftsabläufe mit ein. Und liefert damit die Ausgangsbasis für alle weiteren Schritte der risikomindernden Massnahmenplanung und -bewertung, wie auch für Risikoüberwachungen und Kontrollen von Schutzmassnahmen.

In die Risikoabwägung werden sowohl der Stand der Technik, die Impelmentierungskosten, die Art des Umfangs, die Umstände und die Zwecke der Datenverarbeitung berücksichtigt. In der systematischen Prüfung der  Datenverarbeitung werden Zweckgebundenheit und Rechtmässigkeit der Datenverarbeitung berücksichtigt. Ist die Verarbeitung angesichts der bestehenden Risiken notwendig und verhältnismässig?

CyberWehr RMS GmbH

Alte Landstrasse 109

8803 Rüschlikon (ZRH), Switzerland

2020 © All rights reserved by CyberWehr