Durchführung einer Analyse der Sicherheitsrisiken
Home » Soziale Netzwerke zu Forschungszwecken: ethische und rechtliche Anforderungen an den Datenschutz » Integrität und Vertraulichkeit » Durchführung einer Analyse der Sicherheitsrisiken

Nach dem Grundsatz der Vertraulichkeit sollten die Verantwortlichen die Risiken für die Rechte, Interessen und Freiheiten der betroffenen Personen minimieren. Zu diesem Zweck sollten sie einen risikobasierten Ansatz verfolgen (siehe Unterabschnitt „Integrität und Vertraulichkeit“, Abschnitt „Hauptgrundsätze“des allgemeinen Teils dieser Leitlinien). In jedem Fall müssen die Verantwortlichen sicherstellen, dass sie die Datenschutzanforderungen einhalten und in der Lage sind, dies z. B. durch eine Dokumentation nachzuweisen (siehe Unterabschnitt „Rechenschaftspflicht“, Abschnitt „Hauptgrundsätze“des allgemeinen Teils dieser Leitlinien).

Um die Risiken für den Einzelnen infolge der Verarbeitung personenbezogener Daten aus sozialen Netzwerken zu bewältigen, ist es wichtig, dass die Verantwortlichen ein ausgereiftes Verständnis und eine klare Formulierung der Grundrechte, der Risiken und der Abwägung dieser und anderer Interessen entwickeln. Letztlich müssen die Verantwortlichen die Risiken für die Rechte des Einzelnen bewerten, die sich aus der Verwendung der Daten ergeben, und festlegen, wie sie diese Risiken angehen müssen und welche Auswirkungen dies auf die Verwendung der Daten zu Forschungszwecken hat. Zu diesem Zweck müssen zwei Schlüsselfaktoren berücksichtigt werden:[1]

  • Risiken, die sich aus der Verarbeitung selbst ergeben, wie z. B. das Auftreten von Verzerrungen in Verbindung mit Profiling oder automatisierten Entscheidungsfindungssystemen.
  • Risiken, die sich aus der Verarbeitung in Bezug auf den sozialen Kontext ergeben, sowie die Nebenwirkungen, die indirekt mit dem Gegenstand der Verarbeitung zusammenhängen und auftreten können.

Um solche Risiken zu minimieren, müssen die Verantwortlichen sicherstellen, dass geeignete technische und organisatorische Maßnahmen ergriffen werden, um das Sicherheitsrisiko zu eliminieren oder zumindest abzuschwächen,sodass die Eintrittswahrscheinlichkeit der festgestellten Bedrohungen verringert wird oder deren Auswirkungen gemindert werden. Es ist notwendig, die bereits auf dem Markt existierenden Sicherheitsstandards sowie die für die Verarbeitung geltenden Datenschutzstandards zu berücksichtigen. Darüber hinaus sollten Entwickler immer daran denken, dass ein wichtiges Sicherheitselement laut Artikel 32 Absatz 4 DSGVO darin besteht, sicherzustellen, dass alle „natürlichen Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet“(siehe Unterabschnitt „Integrität und Vertraulichkeit“, Abschnitt „Hauptgrundsätze“des allgemeinen Teils dieser Leitlinien).

Die allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen muss nach MöglichkeitTeil des Verzeichnisses vonVerarbeitungstätigkeitenwerden (Artikel 30 Absatz 1 Buchstabe g für Verantwortliche und Artikel 30 Absatz 2 Buchstabe d für Auftragsverarbeiter), und alle durchgeführten Maßnahmen müssen Teil der Datenschutz-Folgenabschätzung als unterstützende Abhilfemaßnahmen zur Risikobegrenzungsein. Sobald die ausgewählten Maßnahmen umgesetzt sind, sollte das verbleibende Restrisiko schließlich bewertet und weiterhin kontrolliert werden.Sowohl die Risikoanalyse als auch die Datenschutz-Folgenabschätzung sind die Instrumente, die dabei zum Einsatz kommen. Die Risikobewertung und die getroffenen Entscheidungen müssen dokumentiert werden, um die Anforderung des „Datenschutzes durch Technikgestaltung“ (Artikel 25 DSGVO) zu erfüllen (siehe Unterabschnitt „Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen“, Abschnitt „Konzepte und Tools“des allgemeinen Teils dieser Leitlinien).

Schließlich sollten sich die Verantwortlichen stets bewusst sein, dass gemäß Artikel 32 Absatz 1 Buchstabe d DSGVO der Datenschutz ein Verfahren ist. Daher sollten sie die Wirksamkeit der technischen und organisatorischen Maßnahmen regelmäßig überprüfen, bewerten und evaluieren. Zu diesem Zeitpunkt sollten Verfahren geschaffen werden, die den Verantwortlichen dabei helfen, Änderungen zu erkennen, die eine erneute Überprüfung der Datenschutzfolgenabschätzung auslösen würden. DieVerantwortlichen sollten nach Möglichkeit versuchen, ein dynamisches Modell zur Überwachung der betreffenden Maßnahmen einzuführen (siehe Unterabschnitt „Integrität und Vertraulichkeit“, Abschnitt „Hauptgrundsätze“ des allgemeinen Teils dieser Leitlinien).

Checkliste: Integrität und Vertraulichkeit

☐ Die Verantwortlichen haben die erforderlichen Verfahren eingeführt, um sicherzustellen, dass die Rechte der betroffenen Personen angemessen gewahrt werden, unabhängig davon, ob es sich bei den betroffenen Personen um Endnutzer oder Dritte handelt.

☐ Die Verantwortlichen haben die erforderlichen Verfahren eingeführt, um sicherzustellen, dass die Rechte der betroffenen Person rechtzeitig wahrgenommen werden (höchstens einen Monat nach Antrag).

☐ Die Verantwortlichen haben effiziente Instrumente eingeführt, um sicherzustellen, dass die betroffenen Personen ihre Rechte auf praktische Weise wahrnehmen können, beispielsweise durch die Einführung von Standards für die Interoperabilität von Daten.

☐ Die betroffenen Personen haben Zugang zu all ihren personenbezogenen Daten, einschließlich der Rohdaten, die in den sozialen Netzwerken erhoben werden.

☐ Die Verantwortlichen haben Instrumente implementiert, mit denen die Daten lokal gelesen, bearbeitet und geändert werden können, bevor sie an einen anderen Verantwortlichen übermittelt werden. Außerdem werden die von einem Gerät verarbeiteten personenbezogenen Daten in einem Format gespeichert, das die Datenübertragbarkeit ermöglicht

☐ Die Verantwortlichen haben Instrumente eingeführt, die es ermöglichen, jedem Empfänger, dem die personenbezogenen Daten mitgeteilt wurden, berichtigte Daten zu übermitteln, es sei denn, dies erweist sich als unmöglich oder ist mit unverhältnismäßigem Aufwand verbunden.

☐ Die Verantwortlichen haben Instrumente eingeführt, mit denen sichergestellt werden kann, dass alle Daten auf Antrag der betroffenen Personen wirksam gelöscht werden, wenn keine rechtmäßigen Gründe gegen diesen Antrag sprechen.

☐ Die Verantwortlichen haben dafür gesorgt, dass die Rücknahmeregelungen feinkörnig sind und sich auf Folgendes erstrecken:

(1) alle Daten, die mit einem bestimmten Mittel erhoben wurden;

(2) eine bestimmte Art von Daten, die mit beliebigen Mitteln erhoben werden;

(3) eine spezifische Datenverarbeitung

☐ Die Verantwortlichen haben alle Informationen zu diesen Fragen dokumentiert.

 

Quellenangaben

1AEPD (2020) Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial. Una introducción. Agencia EspanolaProteccion Datos, Madrid, S.30. Verfügbar unter: www.aepd.es/sites/default/files/2020-02/adecuacion-rgpd-ia.pdf (abgerufen am 15. Mai 2020).

 

Skip to content