Die EU-DSGVO befasst sich im Kern mit Datenschutzrisiken. Um Datenschutzverletzungen zu vermeiden, müssen Datenschutzrisiken verstanden und minimiert werden. Doch was ist ein Datenschutzrisiko? Die EU-DSGVO erwähnt es 75 Mal, erläutert aber nicht, wie man es misst. Zwar warnt sie, dass die groß angelegte Datenverarbeitung zum Zwecke der Profilerstellung zu riskantem Verhalten gehört. Sie enthält sogar eine Empfehlung zur Beseitigung von Identifizierungsrisiken durch De-Identifizierung – aber sie beschreibt nicht, wie ein Unternehmen die Überwachung von Datenschutzrisiken operationalisieren und umsetzen kann.
Unsicherheit erkennen
Risikomessung ist in den letzten Jahrzehnten in der Sicherheitsbranche zum Trend geworden. Es zeigt sich, dass Unsicherheit nicht einfach aus dem Nichts entsteht. Sie ist die Anhäufung kleiner, unbeabsichtigter Fehltritte. Kleine Fehler, Irrtümer und Fehlverhalten führen zu Schwachstellen. Das Identifizieren und Eliminieren dieser Risikofaktoren garantiert zwar keine Sicherheitsverletzungen, kann aber deren Wahrscheinlichkeit deutlich reduzieren. Daher nutzen Unternehmen heute Tools zur Messung von Code-Sicherheitsrisiken, Open-Source-Risiken, Firewall-Risiken, Website-Risiken und Partnerrisiken, um nur einige zu nennen. Datenschutzrisiken haben jedoch nicht die gleiche Aufmerksamkeit oder Operationalisierung erfahren.
Redux für Datenschutzrisiken
Es gibt mehrere Gründe, warum die Messung von Datenschutzrisiken nie die gleiche Popularität erlangte wie die Messung von Sicherheitsrisiken. Erstens hatten Juristen – die traditionellen Verantwortlichen für Datenschutzrichtlinien – naturgemäß Vorbehalte gegenüber dem Begriff. Zweitens wurde beim Datenschutz nie viel Wert auf Technologie gelegt – Menschen und Prozesse zwar, aber nicht auf Produkte –, was die Quantifizierung von Risiken erschwerte und deren Umsetzung nahezu unmöglich machte. Schließlich fehlte der Idee der Risikobewertung im Datenschutz der Antrieb, um sie voranzutreiben. Während Sicherheitsvorschriften wie SOX mit der Gefahr von Verstößen oder hohen Bußgeldern verbunden waren, war Datenschutzrisiko – bis zur DSGVO – nicht vergleichbar dringlich.
Risiko in Zahlen
Die Datenschutz-Grundverordnung (DSGVO) und andere neue nationale Datenschutzbestimmungen legen zwar nicht fest, wie Datenschutzrisiken gemessen werden sollen, sie formulieren jedoch klare Datenschutzerwartungen an Sammler und Verarbeiter personenbezogener Daten. Werden diese Erwartungen nicht erfüllt, stellt dies einen potenziellen Verstoß gegen die Verordnung dar. Die Unternehmen müssen daher im Hinblick auf ihre Datenrechte und -pflichten einen Satz von Kennzahlen zur Messung von Datenschutzrisiken definieren – vorausgesetzt, diese Kennzahlen lassen sich leicht quantifizieren und vergleichen. Die meisten Unternehmen wünschen sich jedoch auch die Flexibilität, diese verordnungsbedingten Risikoparameter durch unternehmensspezifische Einstellungen zu ergänzen. Diese basieren auf gefundenen Daten, Metadaten und Datenzugriffsverhalten wie Datentyp, Datennutzung, Sensibilität der betroffenen Person, Sensibilität der Geschäftsprozesse (über eine Datenflusskarte), Einwilligung oder Zugriffsverhalten. Diese Daten sind nicht immer leicht zu ermitteln. Neue Datenmapping-Tools wie BigID machen das Auffinden und Verwenden dieser Informationen jedoch praktikabel und machen sie somit für die Risikoanalyse nützlich.
Sobald ein Unternehmen ein datenbasiertes Data-Mapping-Tool einführt, stehen auch andere objektive Risikomessgrößen zur Verfügung. Viele Unternehmen erlassen beispielsweise interne Richtlinien zur Datenaufbewahrung, zu grenzüberschreitenden Datenflüssen, zur Reidentifizierbarkeit anonymisierter Daten oder zur Tokenisierung von Daten. All diese Daten können mit einem Data-Mapping-Tool wie BigID gemessen und in einem Risiko-Score verwendet werden.
Wissen Sie es, wenn Sie es messen
Sicherheitsexperten haben schon vor langer Zeit gelernt, dass die Messung von Sicherheitsrisiken hilfreich für das Risikomanagement sein kann. Historisch gesehen war die Idee einer umsetzbaren Risikomessung im Datenschutz problematisch, da Benchmarks eher rechtlich als datenbasiert waren. Mit der schrittweisen Einführung neuer Vorschriften wie der DSGVO und dem besseren Einblick von Unternehmen in die Daten, die sie als Reaktion darauf erfassen und verarbeiten, wird es möglich, Risiken von der „Kenne es, wenn ich es sehe“-Ebene in eine präskriptive und präzise Ebene zu verschieben.
Autor
