Schutzbedarfsstufen

Liebe alle:)
ich bin bisher immer davon ausgegangen, dass es im Datenschutz 3 Schutzbedarfsstufen gibt: normal, hoch, sehr hoch. Ich habe nun aber festgestellt, dass das SDM nur noch 2 Schutzbedarsstufen kennt: normal und hoch. Grund dafür ist, dass auch die DS-GVO nur höchstens von einem hohen Risiko für pers.bzg. Daten spricht. Fehlen mir Informationen? Dann bitte ich um Nachhilfe…

Hallo

die aktuelle Version des SDM hat in der Tat nur 2 Stufen. Die v1 des SDM hatte auch noch drei und die Begründung mit der DSGVO ist korrekt.

Ein Beispiel - die Meldung von Datenpannen: Hier spricht die DSGVO Meldung an die ASB wenn ein Risiko (normales) besteht. Eine Meldung an den Betroffen ist aber nur bei einem hohen Risiko notwendig. Eine Aktion bei sehr hohem Risiko ist mir nicht bekannt

Natürlich kann jede Firma ihr DSMS auch mit 3 oder 5 Stufen aufbauen wenn man das will, solange man bei der Risikoeinschätzung zu einem Ergebnis kommt wann eine Meldung erforderlich ist und welcher Schutz bestehen muss. Eine Pflicht zu 2 Stufen sehe ich nicht.

Wir haben bei uns allerdings auch von 3 auf 2 umgestellt.

Die drei Schutzbedarfskategorien “normal”, “hoch” und “sehr hoch” kommen aus dem IT-Grundschutz des BSI. Deswegen kann es durchaus sein, dass eure IT bzw. euer ISB diese drei Stufen verwendet.

Wo steht in der DS-GVO etwas von “normal” bei Verletzungen? Das sind doch unterschiedliche Dinge, selbst wenn man mit dem SDM arbeiten möchte.

Im SDM 2.0b (hängt an) heißt es auf S. 47:
Der Schutzbedarf ergibt sich aus dem Risiko der Verarbeitungstätigkeit, bevor technische und organisatorische Maßnahmen bestimmt und umgesetzt wurden. Die DS-GVO kennt nur die Begriffe „Risiko“ und „hohes Risiko“, wobei „Risiko“ hier als „normales Risiko“ bezeichnet wird. Daneben verwendet die DS-GVO die Formulierung „voraussichtlich nicht zu einem Risiko“ führend (Art. 27 Abs. 2 lit. a und Art. 33 Abs. 1 DS-GVO). Da es vollständig risikolose Verarbeitungen nicht geben kann, wird die Formulierung „nicht zu einem Risiko“ von ihrem Sinn und Zweck ausgehend als „nur zu einem geringen Risiko“ führend verstanden. Erfahrungen aus der Praxis zeigen, dass es solche geringen Risiken gibt, die in der DS-GVO keine gesonderte Erwähnung finden, für die jedoch ebenfalls Maßnahmen zu ergreifen sind. Die Maßnahmen für den normalen Schutzbedarf decken auch solche geringen Risiken ab. Insofern gilt der folgende Zusammenhang zwischen Risiko(höhe), im Sinne eines Ausgangsrisikos, und Schutzbedarf(sstufe):

Wenn kein oder geringes Risiko der Verarbeitung dann normaler Schutzbedarf für von der Verarbeitung betroffene Personen.

Wenn normales Risiko der Verarbeitung dann normaler Schutzbedarf für von der Verarbeitung betroffene Personen.

Wenn hohes Risiko der Verarbeitung dann hoher Schutzbedarf für von der Verarbeitung betroffene Personen“

1 „Gefällt mir“

@haderner - wie @Binavi zitierte es gibt nur Risiko und hohes Risiko. Daher hatte ich auch bei Riskio das “normale” in Klammern gesetzt.

Der Schutzbedarf kommt in der Tat aus der Informationssicherheit (insbes. IT-Grundschutz). Beim Datenschutz ist es vielleicht besser, von Kritikalität zu sprechen, der sich aus der Art der Daten und den Betroffenengruppen ergibt. Dabei machen 3 Stufen schon Sinn, damit man auch sinnvoll unterscheiden kann zwischen relativ unkritischen Daten und kritischen Daten und besonderen Kategorien.
Und das “Risiko” ergibt sich erst dann, wenn es auch Schwachstellen gibt - und dann ist es umso höher, je höher die Kritikalität der Verarbeitung ist.

Die Aufsichtsbehörden haben schon eine dritte Stufe: Nämlich wenn es kein bzw. nur ein vernachlässigbares Risiko gibt. Diese Grauzone kennt die DSGVO zwar nicht, aber es ist eine Stufe, bei der die Aufsicht nicht mit Meldungen zu Datenschutzverletzungen behelligt werden möchte.

Egal! Die TOM müssen jeweils “geeignet” sein. Viel hilft nicht immer viel, sondern es (Spannung…) “kommt drauf an”. Die Risikostufe bzw. der Schutzbedarf lässt sich nicht ausschließlich an der Datenkategorie festmachen. Auch wenig sensible Daten sollten sorgfältiger eingehegt werden, wenn sie in großen Mengen bzw. über lange Zeiträume anfallen. Aber da sind wir schon bei der Folgenabschätzung. (Zumindest eine “Folgenabschätzung Light”, ob die Verarbeitung ein Kandidat dafür wäre läuft immer mit.)

D., der auch die dritte Stufe befürwortet, ohne dass diese vollständig unbetrachtet bleiben darf.

Bei der Betrachtung der Stufenwahl ist nicht zu vergessen, dass die IT-Sec die Risiken für das Unternehmen einstuft, während das SDM sich mit Risiken für den Betroffenen beschäftigt.
So stellt eine unsachgemäße oder gar rechtswidrige Verabeitung für den Betroffenen sicherlich ein (sehr) hohes Risiko dar, ohne dass die IT-Sec überhaupt ein Risiko beschreiben müsste, wenn es aus deren Sicht “sicher” (zugriffssicher, unentdeckbar, verschlüsselt …) abläuft.
Könnte es Unternehmungen geben, die sehr hohe Betroffenenrisiken für sich selbst gar nicht als Risiko einstufen :wink: ? Dabei meine ich nicht unbedingt Einrichtungen, die sowieso nach besonderen Gesetzen handeln (vorhandene gesetzliche Grundlage bedeutet per Definition = kein Betroffenenrisiko, oder?)
Da für datenschutztechnische Sicherheit meist das Vokabular der IT-Sec zur Verfügung steht bzw. angewendet wird, stolpert man auch leicht in die selben Bewertungs-Schemata. Aber Themen wie Nichtverkettbarkeit, Intervenierbarkeit, Abstreitbarkeit etc. kommen bei der IT-Sec praktisch nicht vor, sind aber Datenschutzziele, deren Verletzung Risiken für den Betroffenen birgt.