Tipps zum VVT: Risikoabschätzung und Schwellwertanalyse

Jede Verarbeitung personenbezogener Daten stellt eine Beeinträchtigung der Grundrechte von Betroffenen dar. Denn: Wir haben alle – nach Artikel 8 der EU-Grundrechtecharta – das Recht auf den Schutz unserer personenbezogenen Daten. Hinzu kommt, dass keine Verarbeitung ohne Risiko ist.

Ziel ist es daher, den zweckgebunden legitimen Grundrechtseingriff der Verarbeitung von personenbezogenen Daten so minimal und so angemessen wie möglich zu gestalten. Um das Prinzip der Angemessenheit zu gewährleisten, müssen Verantwortliche jede Verarbeitung personenbezogener Daten vorab risikobasiert betrachten und bewerten. Diese erfolgt im ersten Schritt als Schwellwertanalyse.

Doch was genau ist eine Schwellwertanalyse und wann muss sie durchgeführt werden? Und wie funktionieren Umsetzung, Dokumentation und Überprüfung? 

Eine Schwellwertanalyse dient der Risikoabschätzung von Verarbeitungen. Mithilfe der Analyse soll prinzipiell geklärt werden, ob eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Diese Risiken können sich aus verschiedenen Aspekten ergeben, wie Art, Umfang, Umstände oder Zweck der Verarbeitung.

Gemäß Art. 35 DSGVO müssen Sie als Verantwortliche im Sinne der DSGVO für jede Verarbeitung personenbezogener Daten eine Risiko-Abschätzung durchführen. Das heißt, bevor Sie einen Verarbeitungsprozess freigeben und als aktive Verarbeitung in Ihr Verzeichnis für Verarbeitungstätigkeiten (VVT) aufnehmen, sollten Sie prüfen, welche möglichen Risiken mit der geplanten Verarbeitung einhergehen und ob Sie weitere Maßnahmen zum Schutz der Betroffenen ergreifen müssen.

Eine Schwellwertanalyse stellt dabei das erforderliche Minimum dar. Diese müssen Sie in jedem Fall durchführen und die Ergebnisse ausführlich dokumentieren. Denn die Risikobewertung ist ein wesentliches Instrument zum Nachweis der datenschutzkonformen Umsetzung von Verarbeitungen.  

Für die Durchführung von Schwellwertanalysen sind die Verantwortlichen (ggf. unter Einbeziehung der Datenschutzbeauftragten) zuständig. Die Durchführung der Analyse erfolgt anhand von drei Schritten:

Im ersten Schritt betrachten Sie die Verarbeitung und beschreiben das Verfahren, ohne Ihre aktuell ergriffenen/vorhandenen Schutzmaßnahmen zu berücksichtigen. Welchen Zweck erfüllt die Verarbeitung? Um welche Kategorien von Daten und Betroffenen geht es? Welche Systeme, Dienste und Verfahren werden eingesetzt? Und wer ist an der Verarbeitung beteiligt (Auftragsverarbeitung, Drittlandübermittlung)? All diese Informationen erhalten Sie von Ihren Fachabteilungen – im Idealfall über eine Vorlage.

Im Anschluss überprüfen Sie, ob die Einhaltung der Gewährleistungsziele des Datenschutzes gefährdet werden. Zu diesen Zielen gehören:

• Datenminimierung
• Verfügbarkeit
• Integrität
• Vertraulichkeit
• Nichtverkettung
• Transparenz
• Intervenierbarkeit

Die Schäden oder Gefahren können dabei physischer, materieller oder immaterieller Natur sein. Dazu gehören etwa Rufschädigung, Identitätsdiebstahl, finanzieller Verlust sowie Naturkatastrophen oder Stromausfall. Letztlich müssen Sie alle denkbaren negativen Folgen einer Verarbeitung für die Rechte und Freiheiten von Betroffenen betrachten – dazu gehören wirtschaftliche, finanzielle und immaterielle Interessen, der Zugang zu Dienstleistungen und Gütern, ihr berufliches und gesellschaftliches Ansehen oder ihr gesundheitlicher Zustand. All diese möglichen Risiken und Gefährdungen listen Sie für jede Verarbeitung auf.  

Für jedes identifizierte Risiko bestimmen Sie im zweiten Schritt die Eintrittswahrscheinlichkeit: Mit welcher Wahrscheinlichkeit tritt ein bestimmtes Ereignis (z. B. Diebstahl) ein und kommt es dadurch zu Folgeschäden? Außerdem bestimmen Sie die mögliche Schadenshöhe für Betroffene, wenn es zu einer Verletzung eines oder mehrerer Gewährleistungsziele kommt. Die Bestimmung der Schadenshöhe hängt dabei wesentlich von bestimmten Faktoren ab. Bei besonderen Kategorien von personenbezogenen Daten, wie Angaben zur Sexualität oder Gesundheit, besteht grundsätzlich ein hohes Schadenspotenzial. Gleiches gilt für schutzwürdige Betroffene wie Minderjährige oder wenn beispielsweise eine systematische Überwachung von Aktivitäten im Rahmen der Verarbeitung geplant wird. 

Die Datenschutzkonferenz (DSK) der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hat ergänzend zu den allgemeinen Regelungen des Art. 35 DSGVO für diesen Zweck eine Liste von Verarbeitungstätigkeiten, für die eine Datenschutz-Folgenabschätzung notwendig ist, zusammengestellt. Bei den aufgeführten Verarbeitungen können Sie grundsätzlich von einem erhöhten Risiko ausgehen und müssen eine ausführliche Risikobetrachtung vornehmen.

Die Höhe des zu erwartenden Risikos einer Verarbeitung ergibt sich aus einer einfachen Rechnung: Schadenspotenzial x Eintrittswahrscheinlichkeit = Höhe des zu erwartenden Risikos. Je höher das Schadenspotenzial und die Eintrittswahrscheinlichkeit, desto höher ist auch das zu erwartende Risiko. Diese beiden Faktoren ergeben die beiden Achsen der Risikomatrix, mit der Sie eine Einordnung in Risikoklassen vornehmen können, wie hier im Vorschlag der Datenschutzkonferenz zu sehen.

Die Risikoklassen sind zwar nicht gesetzlich definiert, aber es bietet sich eine Unterteilung in „geringes Risiko“, „Risiko“ und „hohes Risiko“ an.

Das Risiko der Verarbeitung insgesamt ist mindestens die höchste Risikoklasse der Einzelrisiken. Im Einzelfall kann es allerdings erforderlich sein, eine höhere Risikoklasse zu wählen, wenn sich die Einzelrisiken in einer Risikoklasse häufen.

Stellt sich heraus, dass das Risiko, das aus der geplanten Verarbeitung ihrer Daten entsteht, für Betroffene voraussichtlich hoch ist, müssen Sie im nächsten Schritt eine sogenannte Datenschutz-Folgenabschätzung (Art. 35 DSGVO) durchführen. Hierbei muss nicht nur die Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck bewertet werden. Vielmehr ist zu prüfen, ob der geplante Einsatz weiterer zusätzlicher Maßnahmen geeignet ist, den Schutz personenbezogener Daten sicherzustellen und den Nachweis zu erbringen, dass die DSGVO bei dieser Verarbeitung eingehalten wird.  

Ist keine Datenschutz-Folgenabschätzung (DSFA) notwendig, sollten Sie die Ergebnisse der Schwellwertanalyse sowie die Begründung der Einschätzung genau dokumentieren. Die Ergebnisse sollten Sie einer Verarbeitung oder Verarbeitungsgruppe zugeordnet in Ihrem Dokumentensystem ablegen. Aus Ihrem VVT können Sie dann auf diesen Ablageort verweisen.

Allerdings sollten Sie zur Erfüllung Ihrer Dokumentations- und Nachweispflichten Ihre Verarbeitungen – in Abhängigkeit vom zu erwartenden Risiko – regelmäßig überprüfen. Bei einem geringen Risiko empfehlen wir ein Intervall von maximal zwei Jahren. Verarbeitungen mit hohem Risiko sollten Sie halbjährig prüfen. Bei jeder Veränderung einer Verarbeitung (z. B. bei Einsatz einer neuen Software oder eines weiteren/anderen Dienstleisters) müssen Sie zudem erneut eine Risikobewertung durchführen und dokumentieren. 

Risikoabschätzungen sind ein notwendiges Instrument, um die Eingriffe in die Grundrechte von Betroffenen im Sinne des Datenschutzes zweckgebunden möglichst gering zu halten. Sie sind vorab systematisch durchzuführen. Die dokumentierte Schwellwertanalyse ergänzt Ihr VVT im erweiterten Sinne und ist ein wichtiger Baustein, um die zweckgebundene Rechtmäßigkeit von Verarbeitungen und die Einhaltung der DSGVO nachzuweisen.

Zuvor in unserer Themenreihe „Tipps zum VVT“:

• Warum Sie ein VVT im weiteren Sinne führen sollten
• Wie Sie ein Berechtigungskonzept erstellen
• Erfassung, Pflege und Anbindung