anlage2zudokument8
This document is part of the request ”IFG-Anfrage: Kommunikation mit Datenschutzbehörden zur Einmalzahlung”.
ff) gg) hh) Zwischenspeichern und Antragsunterbrechung Um eine möglichst benutzerfreundliche und serviceorientierte Digitalisierung einer Verwaltungsleistung anzubieten, ist die Möglichkeit der Zwischenspeicherung zwecks Antragsunterbrechung eine wichtige Funktion. Bei der Konzeption eines Portals ist zu bedenken, ob die Zwischenspeicherung automatisch oder nur auf- grund manueller Speicherung erfolgen soll und wie lange beispielsweise ein unbe- arbeiteter Antrag im Antragssystem bleibt, bis er gelöscht wird. In diesem Zusam- menhang ist weiter zu berücksichtigen, ob eine Löschung automatisch oder nur nach vorheriger Ankündigung erfolgen soll. Offenlegung durch Übermittlung an Fachbehörden Handelt es sich um ein Portal, das ausschließlich bei der Antragstellung unterstützt, werden die Antragsunterlagen, nachdem die Nutzenden sämtliche für die Antrag- stellung erforderlichen Daten eingegeben haben, an die entsprechenden Fachbehör- den übermittelt. Vor dem Absenden der Unterlagen stellen sich Fragen, ob den Nut- zenden beispielsweise die Möglichkeit der Speicherung der Antragsunterlagen als PDF bereitgestellt werden soll und ob und wie sie darüber zu informieren sind, dass Antragsunterlagen erfolgreich übermittelt wurden. Im Hinblick auf die Problematik der Mischverwaltung, die bei Portalprojekten entstehen kann, bei dem Bund und Länder mitwirken, ist zu beachten, dass eine Eingangsbestätigung der Antragsun- terlagen bei der zuständigen Fachbehörde stets nur von dieser an die Nutzenden gesendet werden sollte. Langzeitspeichern nach Übermittlung Für „wiederkehrende“ Anträge bietet es sich an, die Möglichkeit der Langzeitspei- cherung der Antragsunterlagen anzubieten. Ist jedes Jahr erneut ein Antrag zu stel- len, wie zum Beispiel der Antrag auf Berufsausbildungsförderung, ist es benutzer- freundlich, wenn bestimmte Angaben gespeichert und unmittelbar für die Antrag- stellung verwendet werden können. Da es sich dabei um eine Serviceleistung für den Antragstellenden handelt und die Speicherung für eine lange Zeit erfolgen soll, kommt — neben dem Schaffen einer spezialgesetzlichen Rechtgrundlage (siehe hierzu bereits Abschnitt II. 3.) - als Rechtsgrundlage auch das Vorliegen einer in- formierten und freiwilligen Einwilligung der Nutzenden in Betracht. Der Freiwilligkeit der Einwilligung steht insbesondere nicht schon entgegen, dass sie im Verhältnis Bürger-Staat erfolgt (vgl. den Erwägungsgrund 43 S. 1 DSGVO, 31
der eine solche Konstellation nur unter strengere Voraussetzungen stellt). Erforder- lich ist jedoch, dass der Bürger eine echte Wahlfreiheit hat. Soweit die OZG-Leis- tungen den Bürgern auch weiterhin in analoger Form zur Verfügung stehen und an diese analoge Beantragung auch nicht mit zusätzlichen Erschwernissen belegt wird (zB sehr hohen Kosten), kann die Freiwilligkeit bejaht werden. Eine Einwilligungserklärung kann per Klick („Opt-in“-Verfahren) erfolgen. Zu be- achten ist in diesem Zusammenhang, dass eine Einwilligung stets nur für die Daten der Antragsteller selbst möglich ist. Insofern sind etwaige Daten Dritter, die in den Antragsdaten oder in hochgeladenen Nachweisen enthalten sein können, ggf. zu schwärzen oder getrennt von den Antragsdaten der Antragsteller zu löschen. ii) Rückkanal Die Einrichtung eines Rückkanals, der beispielsweise dafür genutzt werden kann, einen digitalen Verwaltungsakt als verfahrensabschließende Handlung bereitzustel- len, entspricht der Stufe 3 des OZG-Reifegradmodells”. Bei der Einrichtung des Rückkanals sind für die Sonderkonstellation einer Zusammenarbeit von Bund und Ländern die Fragen der Mischverwaltung in verfassungsrechtlicher Hinsicht im Auge zu behalten. In verwaltungsrechtlicher Hinsicht sind die Vorgaben des Ver- waltungsverfahrensrechts zur Bereitstellung von digitalen Verwaltungsakten über öffentlich zugängliche Netze zu berücksichtigen. Aus den entsprechenden Vor- schriften ergeben sich eine Reihe von praktisch umzusetzenden, technischen Vor- kehrungen, die im Einzelnen unter D. erläutert werden. j)) Löschung und Korrektur, Nachreichen von Daten Schließlich stellen sich Fragen der Kontoverwaltung (Löschung und Korrektur, Nachreichen von Daten). Optional könnten die automatische oder manuelle Lö- schung von Nutzerkonten, eine Möglichkeit zur Korrektur von Antragsdaten, zum Nachreichen von Antragsunterlagen oder Nachweisen vorgesehen sein. Hinsicht- lich der Löschung ist stets darauf zu achten, dass keine überlange Speicherdauer verwaister Nutzerkonten möglich ist: Wird ein Nutzerkonto über längere Zeit nicht genutzt, sollte dafür eine Löschfrist vorgesehen sein?”. 36 Reifegradmodell für die OZG-Umsetzung: https://leitfaden.ozg-umsetzung.de/display/OZG/2.2+Digitale+Servicestim+SinnetdestOZG 37 So etwa explizit geregelt in $ 14 Abs. 5 WiPG NRW. 32
b) Zusätzliche Datenverarbeitung / „Sur-Plus-Verarbeitung“ Datenschutzrechtliche Erlaubnistatbestände finden sich vielfach in Fachgesetzen, die ex- plizit auch eine elektronische Verarbeitung der Daten von Antragsteller legitimieren. Häufig bietet es sich aber zur effektiven Umsetzung einer digitalen Verwaltungsleistung an, dass eine öffentliche Stelle zentral ein Antragsportal zur Verfügung stellt, das bei der Antragstellung und Zusammenstellung der Unterlagen unterstützt? und die vollständigen Unterlagen an die jeweiligen Fachstellen übermittelt. Durch dieses Serviceangebot kommt es neben der fachspezifischen zu einer zusätzlichen Datenverarbeitung (hier im Folgenden plakativ als „Sur-Plus-Verarbeitung“ bezeichnet). Um welche Daten es sich hier im Einzelnen handelt, hängt von der jeweiligen Art und den Kategorien der Daten ab, die für die jeweilige Antragsstellung auf die spezifische Verwaltungsleistung erfor- derlich sind. Auch diese Verarbeitung unter gesonderter Verantwortlichkeit muss sich auf datenschutzrechtliche Rechtsgrundlagen stützen können (siehe dazu allgemein bereits oben unter Abschnitt C II. 3. sowie unter IV. 2. a) gg)). Da es im OZG für die insoweit erfolgende Sur-Plus-Datenverarbeitung keine General- klausel gibt, sind ggf. in Fachgesetzen entsprechende Verarbeitungsgrundlagen zu prüfen. In einigen Fachgesetzen finden sich bereits Normen, die eine Sur-Plus-Datenverarbeitung in einem übergreifenden Portal rechtfertigen. So heißt es in $ 5a Abs. 2 EGovG NRW: „(2) Die Ministerpräsidentin oder der Ministerpräsident und die Ministerien können neben dem Serviceportal. NRW weitere elektronische, über allgemein zugängliche Netze aufrufbare Verwaltungsportale errichten und betreiben, die die landesweite, elektronische Abwicklung von Verwal- tungsleistungen im Sinne des $ 5, die im engen sachlichen Zusammenhang mit ihrer jeweiligen Zuständigkeit stehen, ermöglichen (Fachportale). [...]“ Mit dieser Norm hat der Landesgesetzgeber eine Rechtsgrundlage der Landesregierung für die Errichtung übergreifender Verwaltungsportale geschaffen, über die dann die Ab- wicklung von Verwaltungsleistungen möglich sein soll, die eigentlich in die fachliche Zuständigkeit beispielsweise der Kommunen fallen. Insoweit erweist sich die Sur-Plus- 3° Die Unterstützungsleistung besteht darin, dass Antragsformulare, die bisher im analogen Verfahren von Hand ausgefüllt werden mussten, digital in einer Eingabemaske im Antragsportal dargestellt werden und die An- tragsdaten inkl. etwaig erforderlicher Nachweise im Anschluss medienbruchfrei ohne Ausdruck und Unter- schrift sowie postalischer Versendung an die zuständige Fachbehörde übermittelt werden. 33
Datenverarbeitung als die Erfüllung einer öffentlichen Aufgabe, was den Anwendungs- bereich der landesdatenschutzrechtlichen Generalklauseln eröffnet und die Datenverar- beitung legitimiert (siehe nachfolgend). c) Mitgliedschaftliche datenschutzrechtliche Rechtsgrundlagen Hier ist zu prüfen, ob, um insbesondere den recht hohen Anforderungen des BVerfG an eine wirksame Datenverarbeitungsnorm zu genügen, eine (spezialgesetzlichen) Verarbei- tungsnorm in dem jeweiligen Fachgesetz geschaffen werden muss. Hintergrund ist, dass grundsätzlich mit jeder Datenverarbeitung ein Eingriff in das Recht auf informationelle Selbstbestimmung verbunden ist, und nur eine den konkreten Verarbeitungsprozess ab- bildende Norm dem verfassungsrechtlichen Bestimmtheits- und Verhältnismäßigkeits- grundsatz zu genügen vermag. Parallel zur technischen Entwicklung der OZG-gestützten Beantragung einer Leistung hat daher stets auch die Schaffung einer entsprechenden Rechtgrundlage zu erfolgen. Datenverarbeitungen können daher nur ganz ausnahmsweise auf Art. 6 Abs. 1 lit. e DSGVO i.V.m. den — als Auffangnormen konzipierten und natur- gemäß sehr allgemein gehaltenen — Generalklauseln des BDSG ($ 3 bzw. $ 22 BDSG) bzw. der Landesdatenschutzgesetze gestützt werden. Denkbar ist dies insbesondere dann, wenn eine besondere Eilbedürftigkeit besteht und nur eine kurze, zeitlich sehr überschau- bare Übergangszeit bis zum Inkrafttreten der spezialgesetzlichen Verarbeitungsnorm überbrückt werden soll und zudem die Datenverarbeitung wenig grundrechtsintensiv er- scheint, also nur eine sehr geringe Eingriffsintensität aufweist. Generalklauseln erlauben Datenverarbeitung einer öffentlichen Stelle, soweit sie zur Erfüllung der in der Zustän- digkeit des Verantwortlichen liegenden Aufgabe erforderlich sind. aa) $&3 BDSG und landesrechtliche Entsprechungen39 Nach der datenschutzrechtlichen Generalklausel in $ 3 BDSG ist die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle zulässig, wenn sie zur Er- füllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde, erfor- derlich ist. Die entsprechenden landesrechtlichen Regelungen ähneln meist der For- mulierung im Bundesdatenschutzgesetz. bb) $& 22 BDSG und besondere Kategorien personenbezogener Daten 3? Siehe zu der Zulässigkeit der datenschutzrechtlichen Generalklausel die Ausführungen oben unter C.IL3. 34
Nach der datenschutzrechtlichen Generalklausel des $ 22 BDSG ist die Verarbei- tung besonders schutzbedürftiger Daten nach Art. 9 Abs. 1 DSGVO zulässig, wenn sie beispielsweise aus Gründen erheblichen öffentlichen Interesses (Art. 9 Abs. 2 lit. g DSGVO in Verbindung mit $ 22 Abs. 1 Nr. 1 a) BDSG) oder zur Abwehr erheblicher Nachteile für das Gemeinwohl (Art. 9 Abs. 2 lit. gDSGVO in Verbin- dung mit $ 22 Abs. 1 Nr. 2 c 1. HS BDSG) zwingend erforderlich ist. Auf Landes- ebene existieren meist entsprechende Normen; die folgenden Hinweise können des- halb - sofern die landesrechtliche Rechtsgrundlage der bundesrechtlichen inhaltlich entspricht — gleichermaßen genutzt werden. Ein erhebliches öffentliches Interesse im Sinne von Art. 9 Abs. 2 lit. g DSGVO besteht dann, wenn Belange des Allgemeinwohls in besonderem Maße berührt wer- den. Erwägungsgrund 46 führt dafür beispielhaft die Bekämpfung von Epidemien oder die Hilfeleistung im Katastrophenfall auf. Das öffentliche Interesse ist nur er- heblich, wenn es sich auf besonders schützenswerte Belange des Gemeinwohls be- zieht und diese in besonderem Maße berührt werden.“ Dabei ist wegen der beson- deren Schutzbedürftigkeit sensibler Daten eine konkrete Bedrohungslage für das Gemeinwohl erforderlich, um eine Verarbeitung zu rechtfertigen.*! d) _Datenverarbeitung öffentlicher Stellen auf Einwilligungsbasis Grundsätzlich bietet die Einholung der informierten und freiwilligen Einwilligung der Betroffenen eine taugliche Rechtsgrundlage für die Verarbeitung personenbezogener Da- ten (Art. 6 Abs. 1 lit. a DSGVO). Dabei kann die Einwilligung rechtsdogmatisch auch in eine gesetzliche Rechtsgrundlage inkorporiert werden und als Tatbestandsmerkmal fun- gieren; eine solche Regelung in Form eines sog. Mischtatbestandes ist besonders daten- schutzfreundlich. Soll auf die Einwilligung gegenüber öffentlichen Stellen als Rechts- grundlage zurückgegriffen werden, sind aber einige Besonderheiten zu beachten. Zum einen sollen öffentliche Stellen grundsätzlich eher subsidiär auf diese Rechtsgrund- lage zurückgreifen, da sie anders als private Stellen grundsätzlich in der Lage sind, ge- setzliche Grundlagen durch Nutzung der Öffnungsklauseln der DSGVO für die spezielle Datenverarbeitung zu schaffen. 4 Rose, in: Taeger/Gabel, 3. Aufl. 2019, BDSG $ 22 Rn. 35. 41 Rose, in: Taeger/Gabel, 3. Aufl. 2019, BDSG $ 22 Rn. 34. 35
Zum anderen ist besonderes Augenmerk auf die Freiwilligkeit der Einwilligung gegen- über öffentlichen Stellen zu legen (Art. 4 Nr. 11, Art. 7 Abs. 4, Erwägungsgrund 43 DSGVO). Nach Erwägungsgrund 43 der DSGVO soll die Einwilligung nämlich dann keine Rechtsgrundlage liefern, wenn zwischen dem Betroffenen und dem Verantwortli- chen ein Ungleichgewicht besteht, insbesondere wenn es sich bei dem Verantwortlichen um eine Behörde handelt. Die von Erwägungsgrund 43 gesicherte Freiwilligkeit ist ge- genüber öffentlichen Stellen in der Regel jedoch dann gewahrt, wenn Nutzenden eine echte Wahlmöglichkeit gegeben wird — beispielsweise, wenn Betroffenen neben der In- anspruchnahme der Verwaltungsleistung auf digitalem Wege diese auch analog angebo- ten wird. Zudem ist allgemein zu bedenken, dass die datenschutzrechtliche Einwilligungserklärung stets widerruflich ist, Art. 7 Abs. 3 S. 1 DSGVO. Dies muss bei der technischen Umset- zung einer einwilligungsbasierten Datenverarbeitung im Rahmen eines Tools zum Ein- willigungsmanagement berücksichtigt werden. Mit dem Widerruf der Einwilligung ent- fällt die Rechtsgrundlage für die Datenverarbeitung. Der Widerruf erfolgt für die Zukunft. Die bis dahin erfolgte Verarbeitung bleibt von dem Widerruf unberührt, sie wird also nicht etwa im Nachhinein rechtswidrig. Die Einwilligung kann der Betroffene durch einfachen Klick (Opt-in) in einer Checkbox erklären. Da der Verantwortliche jedoch nach Art. 7 Abs. 1 DSGVO nachweisen können muss, dass eine Einwilligung erfolgt ist, sind bestimmte (Meta-)Daten zu diesem Zweck vom Verantwortlichgen zu speichern und bis zum Ende der Verjährungsfrist einer mög- lichen Beschwerde von Betroffenen aufzubewahren. Erforderlich ist die Speicherung von Daten, die nachweisen, dass, durch wen, wann und für welche konkrete Datenverarbei- tung die Einwilligungserklärung abgegeben wurde.” Eine besondere Herausforderung, auch für die technische Umsetzung, stellt die Einholung von Einwilligungserklärungen Dritter dar. Es könnte beispielsweise für eine Antragsstel- lung erforderlich sein, dass Antragsteller Daten Dritter (bspw. der Eltern) eingeben müs- sen. Soll die gesamte Datenverarbeitung auf Einwilligungserklärungen gestützt werden, so müssten in diesem Zusammenhang auch von Dritten Einwilligungserklärungen einge- holt werden. Zwar mag auch eine vertretungsweise Einwilligung zulässig sein; der Ver- antwortliche bleibt aber in der Pflicht, im Zweifel nachweisen zu müssen, dass eine wirk- same Vertretungsmacht vorlag. Eine Einwilligung von Dritten kann technisch etwa per #2 Vgl. dazu im Einzelnen unten D. II. 3. b). 36
E-Mail („Double-opt-in“-Verfahren) oder per Erklärung des Betroffenen eingeholt wer- den, die bestätigt, dass ihm eine solche Einwilligung der Dritten vorliegt. Meistens lassen sich für eine verantwortliche öffentliche Stelle gesetzliche Rechtsgrund- lagen finden, die die Datenverarbeitung rechtfertigen. Sinnvoll kann die Einholung einer Einwilligungserklärung aber beispielsweise für die langfristige Speicherung von Antrags- daten oder für reine Service-Zusatzleistungen sein”, die für die Durchführung der digita- len Verwaltungsleistung an sich nicht erforderlich sind, aber eine besonders anwender- freundliche Nutzung des Onlinedienstes ermöglichen. Konkret könnte eine Checkbox folgendermaßen formuliert sein, auch wenn die genaue Formulierung stets eine Frage des Einzelfalls ist: Ja, ich habe die Nutzungsbedingungen (verlinken) und die Datenschut- zerklärung (verlinken) zur Kenntnis genommen und willige in die Erhe- bung und Verarbeitung meiner für [Zweck ergänzen] erforderlichen per- sonenbezogenen Daten ein. Die Einwilligung kann jederzeit widerrufen werden, die Rechtmäßigkeit der bis zum Zeitpunkt des Widerrufs verar- beiteten personenbezogenen Daten bleibt davon unberührt. V. Technische Aspekte der Datenverarbeitung Für den umfangreichen Pflichtenkatalog der DSGVO, der den Verantwortlichen adressiert, sind die Risiken für die Rechte und Freiheiten der betroffenen Personen zu berücksichtigen. Vor der Aufnahme oder Durchführung einer Verarbeitung personenbezogener Daten sind „Eintritts- wahrscheinlichkeit und Schwere der Risiken“ zu berücksichtigen. Ob eine Datenschutz-Fol- genabschätzung durchzuführen ist, beurteilt sich nach der gemäß Art. 24 Abs. 1 Satz 1 DSGVO vorzunehmenden Risikobewertung (siehe dazu Ziffer VI.). Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Ein- trittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Per- sonen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und orga- nisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, #3 Wie beispielsweise die nochmalige Zusammenfassung der Daten in einem Extra-PDF am Ende der Antrag- stellung. 37
Art. 32 Abs. 1 S. 1 DSGVO. Durch diese Bestandsaufnahme werden vor Beginn einer Verar- beitung mögliche Risiken** identifiziert, bewertet und Maßnahmen benannt, mit denen diese Ereignisse auf ein akzeptables Maß gesenkt werden können. Die Revision der Risikoanalyse, - bewertung und -behandlung erfolgt regelmäßig. Eine weitverbreitete Möglichkeit der Revision ist die Dokumentation und Pflege im Rahmen der Aktualisierung des Datenschutzkonzepts. Dafür sind Analyse-, Bewertungs- und Entscheidungsprozesse zu dokumentieren. Während ei- ner datenschutzrechtlichen Revision oder Prüfung muss nachvollziehbar sein, welche techni- schen und organisatorischen Maßnahmen in Bezug auf welche Verarbeitungstätigkeiten ergrif- fen worden sind. Die von Art. 32 DSGVO vorgegebenen Bewertungskriterien betreffen neben der Risikobewer- tung auch den Schutzbedarf. Die Schutzbedarfsfeststellung erfolgt anhand der festgelegten Ge- währleistungsziele „Vertraulichkeit“, „Integrität“, Verfügbarkeit“, „Belastbarkeit“ und defi- nierter Schutzbedarfsskalen, die die Grundlage für die Ausarbeitung der Maßnahmenliste und deren Bewertung darstellen.*° Um die Anforderungen, die insbesondere Art. 32 DSGVO aus technischer Perspektive an die Datenverarbeitung stellt, zu verwirklichen, empfiehlt es sich, die folgenden Schritte*® durchzu- führen: Schutzbedarf feststellen (1.), Risiko bewerten (2.), Maßnahmen treffen und Nachweise erbringen (3.). 1. Durchführung einer Schutzbedarfsermittlung Zur Ermittlung des angemessenen Schutzniveaus nach Art. 32 DSGVO muss für den Verant- wortlichen klar sein, welchen Schutzbedarf die relevanten personenbezogenen Daten besitzen. In der Praxis gibt es dafür verschiedene Ansätze, die regelmäßig auf das Schadenspotential abzielen. Vereinfacht wird man in Kategorien des Schutzbedarfs „kein/gering“, „normal“ und „hoch“ sprechen und handeln können. Die Schutzbedarfsfeststellung ist als ein erster Schritt #4 Vgl. zur Begriffsdefinition „Risiko“, die innerhalb der DSGVO nicht erfolgt, das Kurzpapier Nr. 18 der Da- tenschutzkonferenz, S. 2: „Ein Risiko im Sinne der DSGVO ist das Bestehen der Möglichkeit des Eintritts eines Ereignisses, das selbst einen Schaden (einschließlich ungerechtfertigter Beeinträchtigung von Rechten und Freiheiten natürlicher Personen) darstellt oder zu einem weiteren Schaden für eine oder mehrere natür- liche Personen führen kann. “, Alt, DS 2020, 169; Nach Erwägungsgrund 75 sind mögliche Schäden für die Rechte und Freiheiten natürlicher Personen physische, materielle und immaterielle Schäden zu fassen. # Vgl. dazu im Einzelnen SDM, Version 2.0b, S. 9 ff. 4 Vgl. dazu den Abschnitt „D3 Risiken und Schutzbedarf“ des SDM, Version 2.0b, S. 42 ff, sowie das Papier des BayLDA zur „Sicherheit der Verarbeitung - Art. 32 DSGVO“. 38
essentiell, wenn es darum geht, geeignete technische und organisatorische Maßnahmen auszu- wählen.*’ Das Risiko, das eine Verarbeitungstätigkeit ohne implementierte Schutzmaßnahmen erzeugt, definiert den notwendigen Schutzbedarf. Eine Dokumentation der Risikoanalyse und der Schutzbedarfsfeststellung kann auch gemeinsam erstellt werden, um den Schutzbedarf in- klusive möglicher auftretender Schadensszenarien sowie der Risiken zu ermitteln. Unterschied- liche Modelle und Konzepte“? bieten dazu Leitfäden und Verfahrensvorschläge. 2. Risikoanalyse Die Risikoanalyse kann sich methodisch an einem vereinfachten Gefährdungsmodell bzw. Schutzstufenmodell orientieren. Die Höhe des Risikos hängt sowohl von der Eintrittswahr- scheinlichkeit (Eintrittseinschätzung) der Gefährdung als auch von der Höhe des möglichen Schadens ab. Der Risikoanteil „Höhe des Schadens“ kann nur von der Behörde selbst auf Grundlage von Erfahrungswerten bewertet werden. Beim Eintritt einer Gefährdung müssen die Art des Schadens und mögliche Folgeschäden eingeschätzt werden. Eine mögliche Berücksich- tigung schließt ein, ob und wie ein Schaden zu beheben und welche Zeit zur Schadensbehebung zu berücksichtigen ist. Die Eintrittshäufigkeit muss durch geeignetes Fachpersonal — unterstützt durch Statistiken und Erfahrungen - beurteilt werden. a) Durchführung einer Schwellwertanalyse Eine Schwellwertanalyse stellt die Höhe des Risikos fest und gibt Antwort darauf, ob ein „normales“ oder „hohes“ Risiko für eine Verarbeitungstätigkeit vorliegt. Wenn eines der Regelbeispiele nach Art. 35 Abs. 3 DSGVO vorliegt, wird das Risiko mit „hoch“ bewertet und die Durchführung einer Schwellwertanalyse ist nicht mehr notwendig, die Daten- schutz-Folgenabschätzung ist deshalb zwingend vorzunehmen (s.u.). Es bestehen keine Vorgaben zur Durchführung von Schwellwertanalysen, sodass die Bewertung anhand der Methodik des Verfahrenseigentümers vorgenommen werden. Die Schwellwertanalyse sollte anhand von festgelegten Kriterien erfolgen und sich in den Datenschutzmaßnahmen #7 Vgl. SDM, Version 2.0b, S. 47f.; siehe auch das Papier des BayLDA zur „Sicherheit der Verarbeitung - Art. 32 DSGVO“. # Vgl. zum Beispiel das „Schutzstufenkonzept“ der LDI Niedersachsen, den „BSI-Standard 200-1: Manage- mentsysteme für Informationssicherheit (ISMS)‘“ sowie das Standard-Datenschutz-Modell des Arbeitskreises Technik der DSK. Letzteres ist eine Methode zur Datenschutzberatung und -prüfung auf der Basis einheitli- cher Gewährleistungsziele. Als Orientierungshilfe bietet es standardisierte Empfehlungen der Aufsichtsbe- hörden sowie eine vordefinierte Umsetzungssystematik. 39
3, wiederspiegeln. Aus Art. 5 Abs. 1 DSGVO lassen sich sieben „Grundsätze“ bzw. „Ge- währleistungsziele“ entnehmen, anhand derer eine Schwellwertanalyse durchgeführt wer- den kann: o Transparenz, . Nichtverkettung, ° Datenminimierung, o Intervenierbarkeit, ° Verfügbarkeit, ® Integrität und e Vertraulichkeit.” Eine Methodik könnte daher sein, die Erfüllung der Gewährleistungsziele für jede Verar- beitungstätigkeit zu prüfen. b) Durchführung einer Risikobewertung Nachdem mittels der Schwellwertanalyse die Liste der möglichen Risiken identifiziert wurde, erfolgt im nächsten Schritt die Risikobewertung zur Identifizierung der Höhe des Schadens sowie der Eintrittswahrscheinlichkeit. Für jedes ermittelte Risiko werden so- mit drei Faktoren bewertet: . Schwere des Schadens . Eintrittswahrscheinlichkeit . Umfang des Risikos Wenn die verantwortliche Stelle noch keine festgelegte Methodik zur Durchführung der Schwellwertanalyse bzw. der Risikobewertung aufgesetzt und etabliert hat, kann Anlage Nr. 3 „Vorlage: Risikoanalyse und Datenschutzfolgenabschätzung“ als Vorlage inkl. re- levanter Fragen und Ausfüllhinweise verwendet werden. Maßnahmen und Nachweise Auf Basis der Risikoanalyse und -bewertung denkbarer Schäden sowie der Schutzbedarfsfest- stellung werden die notwendigen technischen oder organisatorischen Maßnahmen ermittelt, die diese Risiken minimieren und die zum Schutz der Rechte der Betroffenen erforderlich sind. Die ®% Vgl. auch SDM, Version 2.0b, S. 10. 40
