Wie unterscheidet sich eine DSFA von einer Sicherheitsbewertung?
Home » DSGVO » Wichtigste Werkzeuge und Maßnahmen » Datenschutz-Folgenabschätzung » Wie unterscheidet sich eine DSFA von einer Sicherheitsbewertung?

Viele Menschen sind eher mit IT-Sicherheit als mit Datenschutz vertraut und verwenden Sicherheitsmetaphern, um auch an Datenschutz zu denken. Da dies höchst irreführend ist und zu inakzeptablen Datenschutz-Folgenabschätzungen führen kann, wird in diesem Abschnitt der Unterschied zwischen Datenschutz-Folgenabschätzung und Sicherheitsbewertung erläutert.

In der DSGVO wird für den Datenschutz und damit für die Einhaltung der Vorschriften die Umsetzung technischer und organisatorischer Maßnahmen gefordert[1]. Es ist etwas irreführend, dass die Verzeichnisse von Verarbeitungstätigkeiten, mit denen die Einhaltung der Vorschriften[2] nachgewiesen werden soll, nur Informationen über technische und organisatorische Sicherheitsmaßnahmen enthalten[3]. Es ist daher wichtig zu beachten, dass eine Datenschutz-Folgenabschätzung über die bloße Beschreibung von Maßnahmen hinausgeht und dass die in einer Datenschutz-Folgenabschätzung berichteten Maßnahmen (Artikel 35 Absatz 7 Buchstabe d DSGVO) keineswegs nur auf Sicherheitsaspekte beschränkt sind.

Unter dem Gesichtspunkt der Sicherheit müssen Daten vor externen und internen Angriffen und unerwünschten Ereignissen (z. B. technischen Ausfällen) geschützt werden. Oft spricht man vom Schutz der Daten im Ruhezustand, bei der Übertragung und bei der Nutzung. Ob ein Restrisiko akzeptabel ist, wird in Abhängigkeit von der Organisation des Verantwortlichen entschieden. Diese Sichtweise ist auf den Datenschutz nicht anwendbar, auch wenn die Formulierung „Schutz der Daten vor Angriffen“ so verstanden werden könnte.

Beim Datenschutz geht es zwar auch um den Schutz vor Angriffen und unerwünschten Ereignissen, d. h. um Sicherheit[4], doch umfasst dieser Aspekt nur einen[5] der sechs[6] Datenschutzgrundsätze (siehe „Integrität und Vertraulichkeit“ in Teil II Abschnitt „Grundsätze“ dieser Leitlinien). Mit anderen Worten: IT-Sicherheit ist eine Voraussetzung für eine konforme Verarbeitung, reicht aber bei weitem nicht aus, um die Anforderungen zu erfüllen.

Über die Sicherheit hinaus betrachtet, gehen die größten Risiken für die Rechte und Freiheiten natürlicher Personen von der geplanten Verarbeitung aus, d. h. auch wenn keine unerwünschten Ereignisse und Angriffe vorliegen. Der Datenschutz verlangt, dass die negativen Auswirkungen der Verarbeitung für die betroffenen Personen minimiert werden. Eine Datenschutz-Folgenabschätzung muss daher nachweisen, dass alle Verarbeitungsvorgänge tatsächlich notwendig und im Hinblick auf die Zwecke verhältnismäßig sind. Dies unterscheidet sich natürlich stark von einer Sicherheitsbewertung: Eine Verarbeitungstätigkeit kann hochgradig sicher gegen Vorfälle und Angriffe sein und dennoch unannehmbare Risiken für die Rechte und Freiheiten von Personen bergen.

Im Bereich der Sicherheit sind die Maßnahmen zur Schadensbegrenzung meist technischer Natur und verhindern Angriffe oder mildern die Auswirkungen unerwünschter Ereignisse auf das Vermögen des Verantwortlichen. Beim Datenschutz hingegen sind organisatorische Maßnahmen ebenso wichtig, wobei die Maßnahmen die negativen Auswirkungen für die betroffenen Personen minimieren. Beispiele für organisatorische Maßnahmen sind Schulungen und Sensibilisierungskampagnen für Mitarbeiter, Geheimhaltungsvereinbarungen und spezielle Vertragsklauseln für die an Auftragsverarbeiter ausgelagerte Datenverarbeitung.

Im Bereich der Sicherheit kann das Risiko der Verletzung der Rechte und Freiheiten nur weniger Personen lediglich unbedeutende Auswirkungen auf das Vermögen einer Organisation haben und daher für einen Verantwortlichen akzeptabel sein. Beim Datenschutz liegt der Schwerpunkt dagegen auf den betroffenen Personen, und auch wenn nur wenige betroffen sind, kann das Risiko für sie keinesfalls akzeptabel sein[7].

Während bei der Sicherheit die Maßnahmen auf die Abwehr von Angriffen und Ereignissen ausgerichtet sind, minimieren sie beim Datenschutz die negativen Auswirkungen für die betroffenen Personen. Dies zeigt sich zum Beispiel in der Begrenzung der Speicherfrist, die die möglichen Auswirkungen zeitlich begrenzt. Ebenso verhindert die Pseudonymisierung eine einfache Identifizierung der betroffenen Personen und senkt damit deren Risiko. Andere Maßnahmen zielen darauf ab, Transparenz zu schaffen, damit die betroffenen Personen den Entscheidungen der Verantwortlichen nicht hilflos ausgeliefert sind, sondern die Möglichkeit haben, ihre Rechte zu schützen, wenn ihre Rechte und Freiheiten übermäßig oder unrechtmäßig verletzt werden. Maßnahmen zur Umsetzung der Rechte der betroffenen Personen ermöglichen es diesen, zum Schutz ihrer Rechte einzugreifen. Diese Beispiele für Datenschutzmaßnahmen verdeutlichen den weitgehend anderen Charakter im Vergleich zu Maßnahmen für die Sicherheit.

 

Quellenangaben

1In Artikel 24 Absatz 1 DSGVO heißt es: „Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt.“ (Hervorhebungen durch die Autoren).

2In Erwägungsgrund 82 der DSGVO heißt es: „Zum Nachweis der Einhaltung dieser Verordnung sollte der Verantwortliche oder der Auftragsverarbeiter ein Verzeichnis der Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen, führen.“ (Hervorhebung durch die Autoren).

3In Artikel 30 Absatz 1 Buchstabe g heißt es, dass die Verzeichnise von Verarbeitungstätigkeitenstätigkeiten „wenn möglich eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1“ enthalten müssen.

4Insbesondere Artikel 32 DSGVO „Sicherheit der Verarbeitung“ befasst sich mit der Sicherheit.

5Siehe Artikel 5 Absatz 1 Buchstabe f der Datenschutz-Grundverordnung, in dem die Sicherheit als einer der sechs Datenschutzgrundsätze aufgeführt ist.

6Die sechs Datenschutzgrundsätze sind in Artikel 5 Absatz 1 Buchstaben a bis f der Datenschutz-Grundverordnung aufgeführt.

7Die Artikel 29-Datenschutzgruppe erklärt: „Anmerkung: Die DSFA im Sinne der DSGVO ist ein Instrument für das Management von Risiken, die für die Rechte der betroffenen Personen bestehen, und wird demnach in bestimmten Bereichen aus deren Perspektive behandelt (z. B. gesellschaftliche Sicherheit). In anderen Bereichen wiederum (z. B. Informationssicherheit) liegt der Schwerpunkt des Risikomanagements auf der Organisation.“, wp248rev.01, Seite 17, Abschnitt III.D.c, Absatz 3.

 

Skip to content