Durchführung einer Sicherheitsrisikoanalyse
Home » IoT » Integrität und Vertraulichkeit » Durchführung einer Sicherheitsrisikoanalyse

Nach dem Grundsatz der Vertraulichkeit sollten die für die Verarbeitung Verantwortlichen die Risiken für die Rechte, Interessen und Freiheiten der betroffenen Personen so gering wie möglich halten. Zu diesem Zweck sollten sie nach einem risikobasierten Ansatz arbeiten (siehe den Abschnitt “Integrität und Vertraulichkeit” in den “Grundsätzen”, Teil II dieser Leitlinien). Der risikobasierte Ansatz des Datenschutzrechts verlangt von den für die Verarbeitung Verantwortlichen, dass sie ihren Verpflichtungen nachkommen und geeignete Maßnahmen im Zusammenhang mit ihren besonderen Umständen ergreifen – der Art, dem Umfang, dem Kontext und den Zwecken der von ihnen beabsichtigten Verarbeitung sowie den Risiken, die dies für die Rechte und Freiheiten natürlicher Personen darstellt. Bei den Überlegungen zur Einhaltung der Vorschriften geht es also darum, die Risiken für die Rechte und Freiheiten natürlicher Personen zu bewerten und zu beurteilen, was unter diesen Umständen angemessen ist. In jedem Fall müssen die für die Verarbeitung Verantwortlichen sicherstellen, dass sie die Datenschutzanforderungen einhalten, und sie müssen in der Lage sein, dies nachzuweisen, z. B. durch Dokumentation (siehe “Rechenschaftspflicht” im Abschnitt “Grundsätze”, Teil II dieser Leitlinien).

Um die Risiken für den Einzelnen, die sich aus der Verarbeitung personenbezogener Daten in IoT-Systemen ergeben, in den Griff zu bekommen, ist es wichtig, dass die für die Verarbeitung Verantwortlichen ein ausgereiftes Verständnis und eine klare Formulierung der Grundrechte, der Risiken und des Ausgleichs dieser und anderer Interessen entwickeln. Letztlich müssen die für die Verarbeitung Verantwortlichen die Risiken für die Rechte natürlicher Personen, die der Einsatz des IoT mit sich bringt, bewerten und festlegen, wie sie diese Risiken angehen müssen und welche Auswirkungen dies auf ihren Einsatz des IoT hat.[1] Zu diesem Zweck müssen zwei Schlüsselfaktoren berücksichtigt werden: [2]

  • Risiken, die sich aus der Verarbeitung selbst ergeben, wie z. B. das Auftreten von Verzerrungen in Verbindung mit Profiling oder automatisierten Entscheidungsfindungssystemen.
  • Risiken, die sich aus der Verarbeitung in Bezug auf den sozialen Kontext ergeben, und die Nebenwirkungen, die indirekt mit dem Gegenstand der Verarbeitung zusammenhängen und auftreten können.
Kasten 9:

Wenn zum Beispiel eine IoT-Anwendung die Sicherheit von Informationen nicht durch Sicherheitsmaßnahmen wie Datenverschlüsselung in den verschiedenen Stadien, die die Informationen durchlaufen, gewährleistet, gefährden wir die Sicherheit. Außerdem müssen die Verschlüsselungstechniken international anerkannte Algorithmen verwenden, die als sicher gelten und einen ausreichend langen Schlüssel haben.

Um solche Risiken zu minimieren, müssen die für die Verarbeitung Verantwortlichen sicherstellen, dass geeignete technische und organisatorische Maßnahmen zur Beseitigung oder zumindest zur Minderung des Sicherheitsrisikos ergriffen werden, um die Wahrscheinlichkeit zu verringern, dass die identifizierten Bedrohungen eintreten, oder um ihre Auswirkungen zu reduzieren. Es ist notwendig, die bereits auf dem Markt existierenden Sicherheitsstandards zu berücksichtigen sowie die Compliance-Standards in Bezug auf den Datenschutz, die für die IoT-Lösung gelten werden, wie z. B. die GDPR für den Datenschutz oder PCI-DSS für Transaktionen mit Zahlungskarten. Darüber hinaus sollten IoT-Entwickler immer daran denken, dass Artikel 32 Absatz 4 DSGVO klarstellt, dass ein wichtiges Element der Sicherheit darin besteht, sicherzustellen, dass Mitarbeiter, die auf die Daten zugreifen, nur auf Anweisung und gemäß den Anweisungen des für die Verarbeitung Verantwortlichen handeln (siehe den Abschnitt “Integrität und Vertraulichkeit” in den “Grundsätzen” in Teil II dieser Leitlinien).

Kasten 10:

Enthält die Anwendung beispielsweise ein Modul zur Verwaltung von Bank- oder Zahlungsdaten unter Verwendung von Kredit-/Debitkarten, muss der Standard PCI DSS berücksichtigt werden. Darüber hinaus muss die Anwendung, wenn sie personenbezogene Daten verarbeiten soll, an den in dem jeweiligen Gebiet geltenden Rechtsrahmen angepasst werden, wie z. B. an die GDPR in der Europäischen Union.

Es gibt bereits einige Mythologien zur Risikobewertung:

  • CNIL: https://www.cnil.fr/sites/default/files/typo/document/CNIL-ManagingPrivacyRisks-Methodology.pdf
  • ISO: ISO/IEC 29134

Die allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen muss nach Möglichkeit Teil der Aufzeichnungen über die Verarbeitung werden (Artikel 30 Absatz 1 Buchstabe g für für die Verarbeitung Verantwortliche und Artikel 30 Absatz 2 Buchstabe d für Auftragsverarbeiter), und alle durchgeführten Maßnahmen sind Teil der Datenschutzfolgenabschätzung, da sie Abhilfemaßnahmen zur Risikobegrenzung unterstützen. Sobald die ausgewählten Maßnahmen umgesetzt sind, sollten die verbleibenden Restrisiken bewertet und unter Kontrolle gehalten werden. Sowohl die Risikoanalyse als auch die Datenschutzfolgenabschätzung sind die Instrumente, die dabei zum Einsatz kommen.

Wie in den Anforderungen und Akzeptanztests für den Kauf und/oder die Entwicklung der eingesetzten Software, Hardware und Infrastruktur angegeben, müssen die Risikobewertung und die getroffenen Entscheidungen dokumentiert werden, um die Anforderung des Datenschutzes durch Technik” (von Artikel 25 der Datenschutz-Grundverordnung) zu erfüllen (siehe Abschnitt Datenschutz durch Technik und durch Voreinstellungen” im Abschnitt Hauptkonzepte”, Teil II dieser Leitlinien).

Schließlich sollten sich die für die Verarbeitung Verantwortlichen stets bewusst sein, dass gemäß Artikel 32 Absatz 1 Buchstabe d der Datenschutz-Grundverordnung der Datenschutz ein Prozess ist. Daher sollten sie die Wirksamkeit der technischen und organisatorischen Maßnahmen regelmäßig testen, bewerten und evaluieren. Zu diesem Zeitpunkt sollten Verfahren geschaffen werden, die es den für die Verarbeitung Verantwortlichen ermöglichen, Änderungen zu erkennen, die eine erneute Prüfung der Datenschutzfolgenabschätzung auslösen würden. Wann immer möglich, sollten die für die Verarbeitung Verantwortlichen versuchen, ein dynamisches Modell zur Überwachung der betreffenden Maßnahmen einzuführen (siehe den Abschnitt “Integrität und Vertraulichkeit” im Teil II “Grundsätze” dieser Leitlinien).

  1. ICO (2020) IoT auditing framework – draft guidance for consultation. Information Commissioner’s Office, Wilmslow, S.13-14. Verfügbar unter: https://ico.org.uk/media/about-the-ico/consultations/2617219/guidance-on-the-ai-auditing-framework-draft-for-consultation.pdf (Zugriff am 15. Mai 2020).
  2. AEPD (2020) Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial. Una introducción. Agencia Espanola Proteccion Datos, Madrid, S.30. Verfügbar unter: www.aepd.es/sites/default/files/2020-02/adecuacion-rgpd-ia.pdf (Zugriff am 15. Mai 2020).

 

Skip to content