EU Datenschutz Grundverordnung 2018

KW 3: C-IAM GmbH: Industrie 4.0 - Mehr Erfolg durch Risikomanagement

Autor:

Joachim Jakobs

Der Begriff „Risiko“ wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert „als die Kombination aus der Wahrscheinlichkeit, mit der ein Schaden auftritt, und dem Ausmaß dieses Schadens“.

Risikomanagement in der DSGVO

Dieser Begriff ist für die Chefs essentiell, wenn sie ihrer Rechenschaftspflicht aus der Datenschutzgrundverordnung (DSGVO) nachkommen wollen – Artikel 32 Absatz 1 DSGVO verlangt von dem Verantwortlichen und dem Auftragsverarbeiter „geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Dabei sollen der „Stand der Technik“, die „Implementierungskosten“ und die „Art“, der „Umfang“, die „Umstände“ und die „Zwecke der Verarbeitung“ sowie die unterschiedliche „Eintrittswahrscheinlichkeit“ und die „Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen“ berücksichtigt werden.

Absatz 2 dieses Artikels fordert außerdem eine „Beurteilung des angemessenen Schutzniveaus“; dabei müssten die Risiken berücksichtigt werden, die mit der Verarbeitung „unbeabsichtigt oder unrechtmäßig“ einhergingen – „insbesondere durch Vernichtung, Verlust oder Veränderung“. Ausdrücklich wird auch auf den „unbefugten Zugang zu personenbezogenen Daten“ hingewiesen, „die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden“.


C-IAM GmbH:

Beratung für DSGVO 0228 534-592-35


Erwägungsgrund 75 DSGVO präzisiert für die Verarbeiter personenbezogener Daten die „Risiken für die Rechte und Freiheiten natürlicher Personen“, „die zu einem physischen, materiellen oder immateriellen Schaden führen“ könnten. Dabei sei mit „unterschiedlicher Eintrittswahrscheinlichkeit und Schwere“ der Risiken zu rechnen, „insbesondere wenn die Verarbeitung zu

• einer Diskriminierung,
• einem Identitätsdiebstahl oder -betrug,
• einem finanziellen Verlust,
• einer Rufschädigung,
• einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten,
• der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann“

Solche Nachteile seien zu befürchten, wenn Daten verarbeitet würden, aus denen

• „die rassische oder ethnische Herkunft“,
• „politische Meinungen“,
• „religiöse oder weltanschauliche Überzeugungen“
• „die Zugehörigkeit zu einer Gewerkschaft“
• „genetische Daten“
• „Gesundheitsdaten“
• „das Sexualleben“
• „strafrechtliche Verurteilungen und Straftaten“

hervorgingen. Nachteile könnten außerdem entstehen, wenn „persönliche Aspekte“ „analysiert oder prognostiziert werden“, „um persönliche Profile zu erstellen oder zu nutzen“. Zu diesen persönlichen Aspekten zählen

• die „Arbeitsleistung“,
• die „wirtschaftliche Lage“
• die „Gesundheit“
• „persönliche Vorlieben“
• „Interessen“
• „Zuverlässigkeit“
• „Verhalten“
• „Aufenthaltsort oder Ortswechsel“.

Hohe Risiken verlangen nach einer Datenschutz-Folgenabschätzung

Und schließlich sei mit Nachteilen zu rechnen, wenn es sich bei den Betroffenen um „Schutzbedürftige“ – „insbesondere Kinder“ – handele. Mit Nachteilen sei auch zu rechnen, wenn „eine große Menge personenbezogener Daten“ verarbeitet würde oder „eine große Anzahl“ von Personen betroffen sei. Erwägungsgrund 76 fordert die Beurteilung des Risikos „anhand einer objektiven Bewertung“ – damit soll bestimmt werden, „ob die Datenverarbeitung ein Risiko oder ein hohes Risiko birgt“. Sollte es sich um ein hohes Risiko handeln, ist nach Artikel 35 eine „Datenschutz-Folgenabschätzung“ (DSFA) notwendig. Sie ersetzt die bisherige Vorabkontrolle aus § 4d (5) BDSG .

Nach Artikel 35 (3) ist eine DSFA „insbesondere in folgenden Fällen erforderlich“ – nämlich wenn es sich um eine

  1. „systematischee und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
  2. umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder
  3. systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche“

handelt.

Die Aufsichtsbehörden sollen dazu eine Liste von Verarbeitungsvorgängen erstellen, für die eine DSFA erforderlich sein soll (Art. 35 (4) DSGVO), oder können außerdem auch eine Liste von Verarbeitungsvorgängen erstellen, für die keine DSFA notwendig ist (Art. 35 (5) DSGVO).

Nach Absatz 7 enthält die DSFA „zumindest Folgendes“:

  1. „eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
  2. eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
  3. eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und
  4. die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.“

Risikomanagements im Verkehrswesen – früher und heute

Um zu verstehen, was das für Ihr Unternehmen bedeutet, müssen Sie sich klarmachen, was mit den Risiken gemeint ist, die mit der Verarbeitung „unbeabsichtigt oder unrechtmäßig“ einhergehen:

Ein Postkutscher im 19. Jahrhundert konnte womöglich sechs Personen auf einmal befördern. Wenn er dann zu schnell gefahren ist, konnte er beim Aufprall mit einer anderen Postkutsche womöglich sechs weitere Personen gefährden. Auf schlechten Wegen konnte es passieren, dass das Gefährt im Schlamm stecken blieb und es bestand die Gefahr, dass der Kutscher nach übermäßigem Alkoholkonsum fahruntauglich war. Und: Es konnte sein, dass die Postkutsche samt Passagieren unterwegs von Banditen ausgeraubt wurde. Um den Fahrpreis realistisch zu kalkulieren, musste der Postkutschen-Unternehmer zunächst die Risiken erfassen – die Bedrohungen (Überfall, schlechte Verkehrswege, Alkoholangebot) mussten mit den Schwachstellen (geringe Geschwindigkeit/Einbruchsicherheit der Kutsche, mangelhafte Qualität von Achsen und Rädern, unzuverlässiges Personal) zu Gefährdungen verknüpft werden. Aus der Verbindung von Gefährdung und deren Eintrittswahrscheinlichkeit ergeben sich in der Summe die Risiken.

Hielt der Unternehmer einen Wolkenbruch für unwahrscheinlich oder bestand lediglich die Gefahr, dass die Passagiere nasse Füße bekommen, hat er vermutlich einen geringen Schutzbedarf erkannt und der Postkutsche womöglich ein paar zusätzliche Decken mitgegeben.

Ein hoher Schutzbedarf konnte sich ergeben, wenn Wegelagerern Reiseroute und Reisezeit bekannt gewesen sein sollte und schon mehrfach Überfälle stattfanden. Ein solch hoher Schutzbedarf könnte dann zur Bewaffnung des Kutschers geführt haben.

Im Vergleich dazu hat sich das Risikoprofil der späteren Dampfloks erheblich verändert: Die höhere Transportkapazität und Geschwindigkeit führten zu höheren physikalischen Belastungen – und der Werkstoff Holz musste durch Stahl ersetzt werden. Sonst hätten die Achsen brechen können. Und zur Vermeidung katastrophaler Ereignisse musste das Aufeinandertreffen von zwei Zügen auf eingleisiger Strecke vermieden werden.

Die Bedeutung des Risikomanagements steigt mit der Digitalisierung

Heute fahren 40.000 Züge über 33.000 Kilometer Gleise der Deutschen Bahn. Theoretisch sind mehr Züge unterwegs als Gleise verlegt wurden. Da ist äußerste Konzentration seitens derer notwendig, die das koordinieren sollen. Offenbar hat die Bahn das allgegenwärtige Angebot an Computerspielen und die verbreitete Spielsucht der Menschen (Schwachstelle) zwar in ihr Risikomanagement einbezogen, aber das Spielen nicht technisch verhindert. So kam es im Februar 2016 in Bad Aibling zum Zusammenstoß zweier Züge (katastrophales Ereignis); das Ergebnis: 12 Tote und 90 teils schwer Verletzte. Der Autokonzern General Motors will demnächst Autos „autonom“ – ohne Lenkrad und Gaspedal – fahren lassen. Damit wäre die Gefährdung durch Spielsüchtige (Schwachstelle) in Kombination mit Computerspielen am Steuer (Bedrohung) eliminiert – jedoch könnten Kriminelle dadurch in die Lage versetzt werden, fehlerhafte „Fernsteuerungen“ (Schwachstelle) in Ampelanlagen und/oder Fahrzeugen mit Hilfe von Botnetzen (Bedrohung) anzugreifen. Das Risikomanagement selbst ist also kein Ziel – sondern eine nicht endende Reise und verlangt nach ständiger Überprüfung der Parameter Organisation, Technik und (rollenspezifischer) Fortbildung der Beteiligten.

Die Kunst liegt nun darin, die Balance zu halten: Gefahren sollten im Vorhinein erkannt und eingedämmt werden – andererseits soll die Risikomanagerin die Entwicklung des Unternehmens nicht abwürgen. Die Digitalisierung der Welt trennt dabei die Spreu vom Weizen mit zunehmender Geschwindigkeit. Es ist von besonderer Bedeutung, dass diese Zusammenhänge von den Entscheidern in Politik, Wirtschaft und öffentlicher Verwaltung zur Kenntnis genommen werden. Denn sie wirken als Vorbild gegenüber allen, die an der Informationsgesellschaft teilhaben.

Bis hier taucht „wahrscheinlich“ ein halbes Dutzend mal auf… Wer aber definiert den Maßstab für „wahrscheinlich“? Der Eigene sollte es jedenfalls nicht sein – da gibt’s einen bemerkenswerten Spruch vom Oberverwaltungsgericht Münster (AZ: 10A 363/86 vom 11.12.1987): „Es entspricht der Lebenserfahrung, dass mit der Entstehung eines Brandes praktisch jederzeit gerechnet werden muss. Der Umstand, dass in vielen Gebäuden jahrzehntelang kein Brand ausbricht, beweist nicht, dass keine Gefahr besteht, sondern stellt für die Betroffenen einen Glücksfall dar, mit dessen Ende jederzeit gerechnet werden muss."

Es ist also sicher sinnvoll zur Beurteilung der Wahrscheinlichkeit nicht den eigenen Glauben zum Maßstab zu erheben, sondern Menschen mit Erfahrung zu Rate zu ziehen.

„Risikomanagement als Erfolgsfaktor der Zukunft“ lautete konsequenterweise der Titel eines Vortrags von Robin Kleer, Professor für Technologie- und Innovationsmanagement der TU Berlin im Januar 2017.

Werkzeuge fürs Risikomanagement

Für das Risikomanagement bieten sich diverse Anbieter mit diversen Werkzeugen an – etwa das Projekt R oder auch Verinice . Ich habe diese Anwendungen beispielhaft genannt, da sie unter Freien Softwarelizenzen veröffentlicht wurden. Weshalb ich Freie Software aus Sicherheitsgründen bevorzuge, werde ich in einem separaten Beitrag erläutern. Die Liste erhebt jedenfalls keinen Anspruch auf Vollständigkeit und ich kann auch nicht sagen, ob diese genannten Anwendungen dem Stand der Technik entsprechen. Risknet.de hält jedenfalls die Software R für „ein geeignetes Instrument zur Durchführung quantitativer Risikoanalysen auf hohem Niveau“. Die Telekom-Tochter T-Systems schwört auf „Verinice“.

Die Häufigkeit, mit der solche Systeme tatsächlich genutzt werden, lässt sich offenbar noch steigern – 2017 beklagte die VdS Schadenverhütung: „Zudem führen nur die wenigsten Firmen systematische Risikoanalysen durch, welche eine wichtige Basis für die jeweils individuellen Schutzziele bilden“.

In der nächsten Woche geht’s um das Wörtchen „unbeabsichtigt“: das SOLL bezüglich Sicherheit unterschreiten die Unternehmen bezüglich Aufbau- und Ablauforganisation; das Verhalten der dort Beschäftigen ist genauso verbesserungswürdig wie die eingesetzte Technik. Und der Zoo an Hard- und Software, „Apps“ und Diensten wächst mit schwindelerregender Geschwindigkeit. Die Wahrscheinlichkeit, dass Ihre Risikoanalyse ein hohes Risiko ausspuckt, steigt parallel zur Zunahme von Vorsilben wie „smart“ und „Tele-“ oder der Nachsilbe „4.0“ in Ihrem Laden.


Herr Edel

mit Interesse haben wir Ihre Pressemitteilung 887981 vom 08.01.2018 gelesen. Dazu möchten wir gerne wie folgt Stellungnehmen:

Im Abschnitt "Die knallharten Daumenschrauben der DSGVO" zitieren Sie die Berliner Landesbeauftragte für den Datenschutz Maja Smoltczyk, die eine Empfehlung der "VdS 3473" als Basis für ein Datenschutzmanagementsystem "aus aufsichtsbehördlicher Sicht nicht mittragen" könne. Die VdS 3473 könne keine Alternative für den BSI Grundschutz oder die ISO 27001 darstellen.

Tatsache ist, dass die VdS 3473 einen Ansatz für ein Informationssicherheits-Managementsystem (ISMS) beschreibt, der speziell auf KMUs zugeschnitten ist. Ein vollständiger Ersatz für BSI Grundschutz oder ISO 27001 ist sie nicht; wohl aber eine wohlgewichtete, praxistaugliche Teilmenge aus deren Anforderungen. Ein mittelständisches Unternehmen kann, ja sollte mit der zertifizierungsfähigen VdS 3473 starten und kann jederzeit auf BSI Grundschutz oder ISO 27001 upgraden, wenn es die Situation erfordert.

Einen Ansatz für ein Datenschutz-Managementsystem (DSMS) beschreibt die VdS 3473 jedoch in keinem Fall - BSI Grundschutz und ISO 27001 im Übrigen eben so wenig. Dafür hat VdS Schadenverhütung jüngst die VdS 10010 entwickelt, die eben dies wiederum mit Fokus auf KMU, Verwaltungen, Verbände und Behörden beschreibt. Mit der VdS 10010 existiert erstmalig ein praktikabler und zertifizierungsfähiger DSMS-Ansatz zur Umsetzung der Anforderungen der DSGVO (Anlage).

Beide Managementsysteme gleichzeitig zu implementieren verspricht hohe Synergien im Bereich der Dokumentation, Zuordnung von Verantwortlichkeiten, etc. Dennoch darf ISMS keinesfalls mit DSMS gleichgesetzt werden.

VdS Schadenverhütung bietet neben den Richtlinien für ISMS (VdS 3473) und DSMS (VdS 10010) [https://vds.de/fileadmin/vds_publikationen/vds_10010_web.pdf] auch die zugehörigen Lehrgänge, Audits und Zertifizierungsprogramme sowie ein kostenfreies Portal zur Selbstbewertung unter www.vds-quick-check.de [www.vds-quick-check.de] an.

@Autor: to Herr Edel

Guten Morgen Herr Edel,

herzlichen Dank für Ihre ausführliche Nachricht!

Offensichtlich existieren erhebliche Differenzen darüber, wie Unternehmen und Behörden ihrer Rechenschaftspflicht nachkommen können.

Das Schlimme daran ist: Es sind nicht die Verpflichteten, die sich gegen vermeintlich zu hohe Ansprüche wehren, sondern die Experten sind sich offenbar uneins. Und das wenige Monate bevor die DSGVO anzuwenden ist. Mir scheint, wir versagen in eklatanter Weise bei der Umsetzung.

Glücklicherweise treten diese Differenzen jetzt durch die Initiative von Chefsache: Datensicherheit! zu Tage!

Lieber Herr Edel: Dürfen wir Ihre Nachricht veröffentlichen? Ich hoffe, dass sich dann auch Andere an der Diskussion beteiligen. Wir müssen die Mauer des Schweigens brechen: Es bringt nichts, wenn wir uns in geschlossener Runde austauschen. Ansonsten läuft das ganze Land gegen die Wand. Die kommenden Beiträge werden das eindrucksvoll unterstreichen.

Herzlichen Dank auch für Ihren Hinweis auf die VdS 10010 -- ich werde die Richtlinie in diesen Beiträgen gern aufgreifen.

Ich würde mich ausserdem freuen, wenn Sie Chefsache: Datensicherheit! weiterhin kritisch begleiten! Für den Fall, dass Sie die Debatte befördern wollen, füge ich das Logo des Blogs bei. Das können Sie auf Ihre Seite legen und es mit dem Blog verlinken [http://blog.c-iam.com]