Das Privacy Impact Assessment (PIA) soll möglichst früh in einem Vorhaben, sei es ein neues Projekt oder der Umbau einer Infrastruktur, beginnen − vorzugsweise bereits in der Planungsphase. Das PIA ist notwendig sobald «sensitive PII» verarbeitet werden − dies sind gemäss ISO 29100:2011 alle Daten, deren unerlaubte Weitergabe zu einer deutlichen Schädigung des PII Principal führt. Zur Erinnerung: P II = Personally Identifiable Information= Daten durch die eine Person einerseits identifizierbar wird, andererseits aber auch Rückschlüsse auf ihr Verhalten oder die persönliche Situation gezogen werden können.
Ebenfalls dazu zählen alle Daten, die aufgrund rechtlicher oder anderer Vorgaben zu schützen sind. Das Schweizerische Datenschutzgesetz (DSG) klassifiziert beispielsweise Daten zur Gesundheit oder zu politischen Ansichten als besonders schützenswert. Je nach Branche können noch weitere Daten relevant werden, insbesondere bei Banken, Spitälern oder Versicherungen. Die EU geht mit der DSGVO noch einige Schritte weiter, da dort z. B. bereits Tracking-Cookies zu den relevanten Daten gehören. Vor dem Entscheid, ob ein PIA durchgeführt wird, ist also auch ein Blick in die anwendbaren Gesetze notwendig.
Will man ein PIA nach anerkannten Vorgehen durchführen, orientiert man sich am Standard ISO 29134:2017 − den «Guidelines for Privacy Impact Assessment».
Beurteilung des Schadensausmasses
Wer bereits Risk-Assessments durchgeführt hat, kennt das Schadensausmass («consequence criteria» und «impact criteria») als Bewertungskriterium für ein Risikos: Es wird beurteilt, wie hoch ein Schaden quantitativ ausfallen kann oder wie er sich qualitativ klassifizieren lässt. Beim PIA ist es ähnlich: Welchen Schaden könnte ein Privacy-Breach dem PII Principal zufügen.
Die Beurteilung ist jedoch sehr abstrakt. Der PII Controller kann nicht objektiv nachvollziehen, welchen Schaden ein Privacy-Breach hinterlassen kann. Die Beurteilung stellt zudem einen Fokuswechsel dar: Der potenzielle Schaden darf nicht aus Sicht der eigenen Organisation beurteilt werden, sondern man muss sich in den PII Principal versetzen. Deshalb sollte das Risiko-Assessment in der IS sowie in der Privacy auch getrennt erfolgen, da dieselbe Schwachstelle in den unterschiedlichen Kontexten möglicherweise anders beurteilt werden muss.
Der ISO-Standard empfiehlt daher, von einem «Level of Impact» zu sprechen.
Dies ist eine qualitative Beurteilung, die auf dem Kriterium basiert, durch wie viel Eigenaufwand der PII Principal den Schaden aus eigener Kraft ausgleichen kann.
Unsere Tabelle zeigt ein Beispiel inkl. einem Vergleich mit Datenklassifizierungsstufen.
Assets identifizieren
Zu Beginn des PIA ist es wichtig, den Umfang (Scope) richtig zu bestimmen, was typischerweise durch Analyse der Business-Cases und Bestimmung der involvierten Assets geschieht. Basierend darauf wird eine Schematik der Pfade der Datenverarbeitung erstellt («Data Flows», Verarbeitungskette der Daten) und das mögliche Verhalten der User («Use Cases», Art der Nutzung des Dienstes) bestimmt.
Um die Data Flows zu identifizieren empfiehlt es sich, diese Fragen zu beantworten:
- Sammlung: Wo und wie werden die Daten erhoben?
- Speicherung: Wo und wie werden die Daten gespeichert?
- Nutzung: Wo erfolgt überall eine Verarbeitung der Daten?
- Übertragung: Zwischen welchen Systemen werden die Daten übertragen?
- Löschung: Wann und wo werden die Daten gelöscht?
Ist dies identifiziert, werden im PIA für die möglichen Kombinationen von Data Flows und Use Cases die potentiellen Schäden bestimmt. Hier unterscheidet sich das PIA von der typischen Identifikation von primären und sekundären Assets im Risk Assessment der IS, da es sich stärker an der Interaktion vom Benutzer mit dem System sowie der im Hintergrund stattfindenden Verarbeitung orientiert. Im PIA darf daher auch nicht nur das technische Personal zur Analyse einbezogen werden, sondern idealerweise auch die Business- und Sales-Abteilungen.
Anforderungen an die Datenverarbeitung
Das PIA verlangt auch die «Privacy Safeguarding Requirements» zu erfassen, also die Anforderungen an den Datenschutz aus rechtlicher und regulatorischer Sicht sowie branchenspezifische Vorgaben. Unternehmen mit interner Rechtsabteilung können diese hier unterstützend beiziehen, denn an dieser Stelle wird der Bezug zum Schweizer DSG und der DSGVO gemacht. Wenn man dies beim ersten PIA sorgfältig ausführt, können die Abklärungen bei zukünftigen Assessments wiederverwendet werden.
Das PIA erwartet zusätzlich eine Beurteilung, ob die Datenverarbeitung hinsichtlich der zu erbringenden Dienstleistung notwendig ist. Vor allem im Rahmen der DSGVO ist dies zentral − denn genau die Vorschriften der DSGVO sind es, aufgrund derer mittlerweile viele Webseiten für unterschiedliche Typen von Cookies gesonderte Zustimmungen einholen.
Die Privacy Risk Map
Für das PIA benötigt man eine Liste der möglichen Bedrohungen. Der Standard enthält eine längere Vorlage dazu. Eine mögliche Bedrohung kann z. B. der «unerlaubte Zugriff auf PII» bei Ausnutzung eines Fehlers in der Software oder ein «Verlust der PII» bei einem Fehler im Betrieb der Server sein.
Sind alle Informationen verfügbar, wird daraus eine «Privacy Risk Map» gezeichnet.
Die Ermittlung der Eintretenswahrscheinlichkeit kann auf gleiche Weise erfolgen
wie beim Risiko-Assessment in der Informationssicherheit.
Bei der Privacy Risk Map und dem Register der Privacy Risks gilt es dann noch zu bestimmen,
wo genau die Risikoakzeptanzlinie verläuft und ggf. die Schutzmassnahmen zu definieren.
Wer dies von der IS her schon kennt, kann wie gewohnt vorgehen.
Ablauf und Report des Privacy Impact Assessments
Die folgende Grafik zeigt, wie ein PIA im Überblick abläuft. Hier wird auch der «PIA Report» aufgeführt, dessen Erstellung vom ISO 29134:2017 verlangt wird.
Inhalt des PIA Reports:
- Scope & Anforderungen
- Angaben zum Zweck der Verarbeitung
- Beschreibung der Datensammlung und Verarbeitung
- Die Pfade der Datenverarbeitung
- Regelung der Zugriffsrechte
- Identifizierte Risiken
- Angewendete Schutzmassnahmen
Eine Firma soll für alle Projekte dieselbe Vorlage benützen. Wer einen Blick in den Standard wirft findet ein Beispiel für eine mögliche Struktur.
Die Struktur der Vorlage sollte es erlauben, dass Versionen für unterschiedliche Zielgruppen generiert werden können. Wer basierend auf dem vollständigen Report z. B. eine gekürzte und vereinfachte Version zu Händen der Kunden generieren kann, ist in der Lage die unternommenen Anstrengungen zu dokumentieren und z. B. bei der Teilnahme an einer Ausschreibung einzureichen.
Wieso ist das PIA wichtig
Das Privacy Impact Assessment (PIA) ist ein Hilfsmittel um die möglichen Risiken zu analysieren und transparent auszuweisen. Dadurch wird einerseits die Pflicht einer Impact-Analyse, die von der DSGVO gefordert wird, erfüllt − andererseits kann der daraus resultierende PIA Report auch als Mittel dienen, um den eigenen Kunden praktisch vorzuführen, was mit ihren Daten geschieht und wie sie geschützt sind.
Wer bereits Erfahrung mit Risikoanalysen in der IS hat wird sich im PIA schnell zurechtfinden, muss sich jedoch bei dem einen oder anderen Teilaspekt umgewöhnen. Im Rahmen unserer Consulting Services unterstützt terreActive Sie bei der Erstellung Ihres ersten PIA.