Versicherungsbetriebe > Strategie

04.10.2018 von Gordon Preuten und Dr. Anselm Schultze, FINCON Unternehmensberatung GmbH

Datenschutzrisiken erkennen, bewerten und reduzieren

Die Skepsis war groß. Nicht zuletzt vor dem Hintergrund drohender Bußgelder haben Schrecken, Unsicherheit und Panik die Diskussion um den Datenschutz vor dem „Scharfschalten“ der DSGVO beherrscht. Sie ­haben von dem eigentlichen Ziel, einem bewussteren Umgang mit personenbezogenen Daten, abgelenkt und die Chance auf ein gestärktes Kundenvertrauen durch ­transparente Prozesse ausgeblendet.

Die DSGVO hilft verlorengegangenes Kundenvertrauen zurückzugewinnen

In den letzten Jahren ist das Kundenvertrauen deutlich zurückgegangen. Laut einer Studie der SAS Deutschland aus dem Jahr 2015 lag das Kundenvertrauen in den gesetzeskonformen Umgang mit personenbezogenen Daten im Versicherungsbereich bei 41 Prozent. Der überwiegende Teil befürchtet somit, dass die eigenen Daten – ob fahrlässig oder vorsätzlich – zweckentfremdet genutzt werden. Ein bewusster und transparenter Prozess im Umgang mit personenbezogenen Daten hilft somit nicht nur, die Datensouveränität des Kunden zu gewährleisten, sondern auch, verlorengegangenes Vertrauen zurückzugewinnen. Durch die neue DSGVO und dem neuen Instrument der Datenschutz-Folgenabschätzung (DSFA) gibt der Gesetzgeber einen Weg vor, der hierbei unterstützt.

Eine Datenschutz-Folgenabschätzung muss seit dem 25.05.2018 immer dann erfolgen, wenn „eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“ hat (DSGVO Art. 35 Abs. 1). 

Sie sollte als ein laufender Prozess verstanden werden. Immer dann, wenn sich das Risiko für die betroffenen Personen verändert, wird dieses einer Neubewertung im Rahmen einer DSFA unterzogen.

Dabei gelten insbesondere die Risiken:

  • Vernichtung
  • Verlust
  • Veränderung
  • unbefugte Offenlegung von bzw.
  • unbefugter Zugang zu

personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet werden, als kritisch relevant (Erwägungsgrund 75 der ­DSGVO). Eine entsprechende Analyse der Risiken sollte methodisch transparent und logisch nachvollziehbar sein. Die Rechenschaftspflicht (accountability) des für die Verarbeitung Verantwortlichen macht dabei eine umfangreiche Dokumentation notwendig. Effizienz kann hier durch Standardisierung (Templates, Fragebögen etc.), Automatisierung (toolunterstützt) und durch den Aufbau einer Knowledge Base (Risiken, Abhilfemaßnahmen) erreicht werden. Mittlerweile gibt es eine Vielfalt von Hilfsmitteln und Tools zum Thema DSFA auf dem Markt. Besonders hervorzuheben ist das vom Forum Privatheit herausgebrachte White Paper mit dem Titel „Datenschutz-Folgenabschätzung – ein Werkzeug für einen besseren Datenschutz“, das umfangreiche Hinweise zur Durchführung einer DSFA liefert sowie das Open Source Tool PIA, das eine Software-Unterstützung für eine DSFA bietet und von der französischen Aufsichtsbehörde CNIL (Commission Nationale de l’Informatique et des Libertés) herausgegeben wurde. 

Studien belegen, dass trotz der zweijährigen Übergangsfrist noch viele Unternehmen die DSGVO nicht vollständig umgesetzt haben. Dies liegt an dem vielfach zu spät gewählten Startzeitpunkt für die Umsetzung, hat aber auch Ursachen in den oft nicht ausgereiften Compliance- und Risiko­managementsystemen, die in den Unternehmen im Einsatz sind. Unternehmen sind daher gut beraten, wenn sie sich nach der Hektik der letzten Monate nun auf die Umsetzung einer transparenten Datenlogistik konzentrieren, die den Datenschutz miteinschließt. In diesem Sinne kann man die DSGVO als Chance begreifen, um oft liegengebliebene Themenfelder wie Data Governance, Aktualisierung der Dokumentation etc. wieder aufzugreifen und für eine nachhaltige Lösung zu sorgen. Hilfsmittel und Tools, die für einen formalen und häufig nur temporären Mindeststandard sorgen, greifen hier oft zu kurz. Die DSFA bietet einen guten Einstieg, das Datenschutzrisiko systematisch zu analysieren. So muss beispielsweise vor Inbetriebnahme einer neuen Technologie das Rad nicht neu erfunden werden. Bestehende Konzepte zum Risiko­management und zur IT-Sicherheit kann man mit Blick auf den Datenschutz erweitern. Es geht darum, das Risiko für die betroffenen Personen, das durch die Datenverarbeitungsprozesse entsteht, zu erkennen, zu bewerten und zu reduzieren.

Dabei wird der Begriff „Risiko“ in der ­DSGVO allerdings nicht explizit definiert. Die deutschen Aufsichtsbehörden beschreiben hingegen ein Risiko – abgeleitet aus der DSGVO – wie folgt: „Ein Risiko im Sinne der DSGVO ist das Bestehen der Möglichkeit des Eintritts eines Ereignisses, das selbst einen Schaden (einschließlich ungerechtfertigter Beeinträchtigung von Rechten und Freiheiten natürlicher Personen) darstellt oder zu einem weiteren Schaden für eine oder mehrere natürliche Personen führen kann.“ (Kurzpapier Nr. 18 der Datenschutzkonferenz: Risiko für die Rechte und Freiheiten natürlicher Personen). Im Rahmen einer Risikoanalyse zur Datenschutzverletzung gemäß Artikel 5 der ­DSGVO werden sowohl die potenzielle Schadenursache, wie etwa ein fehlendes Berechtigungskonzept, als auch ihre jeweiligen Auswirkungen auf den Betroffenen betrachtet, wenn beispielsweise sensible Daten in die Hände nicht berechtigter ­Personen gelangen und unter Umständen zu einer Rufschädigung der betroffenen Person führen. Die Schwere dieser Auswirkung ist zu bewerten.

Bei der DSFA geht es im Kern um das Aufdecken von Risikoursachen (Eintrittswahrscheinlichkeit) und das Einschätzen ihrer Auswirkungen (Schwere des Ereignisses).

Der DSFA Prozess sollte in jedes Projektvorgehen integriert werden und folgende Schritte durchlaufen:

  1. Schwellwertanalyse
  2. Vorbereitung
  3. Durchführung und Bewertung 
  4. Nachverfolgung

Für die Schwellwertanalyse haben die Aufsichtsbehörden nach Artikel 35 Abs. 4 der DSGVO sogenannte Black Lists herausgegeben, die einen Anhaltspunkt dafür bieten, ob eine DSFA durchgeführt werden muss. Ergibt eine DSFA, dass trotz technischer und organisatorischer Maßnahmen zur ­Risikoeindämmung weiterhin ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht (Restrisiko), muss nach Art. 36 DSGVO der Verantwortliche die zuständige Aufsichtsbehörde konsultieren. Er trifft unter Berücksichtigung der Empfehlungen der Aufsichtsbehörde eine Entscheidung, ob die Verarbeitungsvorgänge angesichts der verbleibenden Restrisiken durchgeführt werden können oder ob weitere zusätzliche Abhilfemaßnahmen in diesem Fall zum Einsatz kommen sollen. Die FINCON Unternehmensberatung hat bei Kunden bereits einige DSFA erfolgreich durchgeführt und entwickelt mithilfe von selbsterstellten Checklisten und Templates an Kundenbedürfnissen ausgerichtete Konzepte, von der Vor- und Anforderungsanalyse über die Planungsstufen bis hin zur Realisierung einer nachhaltigen DSGVO Compliance-Strategie. Der Fokus liegt darauf, Kundenfragen und -anforderungen aufzunehmen, Optimierungspotenziale zu identifizieren und risikoadäquate Lösungen zu entwickeln, die auf die individuellen Bedürfnisse abgestimmt sind. Zu weiteren Fragen wie „Wie läuft eine DSFA ab und wer ist daran beteiligt?“ oder „Wie dokumentiere ich eine DSFA“ gibt das bei FINCON erschienene White Paper Antwort, das unter DSGVO@fincon.eu ­kostenlos und unverbindlich angefordert werden kann.