Handreichung zur Anpassung der KI:connect Datenschutzfolgenabschätzung

1. Vorbemerkung

KI:connect.nrw stellt ein Muster einer Datenschutzfolgenabschätzung (DSFA) für den Dienst “KI:connect” zur Verfügung. Die Links zu den entsprechenden Dokumenten finden sich in Abschnitt 2 etwas weiter unten im Text. Die Dokumente sind unter CC0 Lizenz veröffentlicht und können ohne Quellenangabe in beliebiger Weise angepasst oder verändert vwerden.

Diese Muster-DSFA basiert auf einer Datenschutzfolgenabschätzung, die an der RWTH Aachen für den Einsatz von KI:connect durchgeführt worden ist. Um die Muster-DFSA an der eigenen Einrichtung einsetzen zu können, sind zwei Arten von Maßnahmen notwendig:

  1. Maßnahmenart I: Änderung und Ergänzung von Angaben und Beschreibungen in den Dokumenten der Muster-DFSA
  2. Maßnahmenart II: Umsetzung der in die in den Dokumenten beschriebenen Maßnahmen zur Risikominierung.

Nur mit Umsetzung beider Arten von Maßnahmen kann eine für die eigene Einrichtung gültige DFSA entstehen. Die vorliegende Handreichung beschreibt zunächst den grundlegenden Aufbau der Muster-DSFA und anschließend die zur Anpassung an die eigene Einrichtung erforderlichen Schritte.

2. Aufbau der Muster-DFSA

Die von KI:connect bereitgestellte Muster-DSFA besteht aus zwei Teilen:

  1. Das Hauptdokument der Datenschutzfolgenabschätzung: Hierbei handelt es sich um ein Textdokument im Word-Format, das in verständlicher Sprache die Risikobewertung für den Dienst KI:connect beschreibt.

    Es kann hier heruntergeladen werden: Download Icon Hauptdokument als bearbeitbare Word-Datei

    Das Dokument besteht aus mehreren Abschnitten:

    (i) Die Nennung der Verantwortlichen für die Datenverarbeitung sowie der Datenschutzbeauftragten der eigenen Einrichtung.

    (ii) Eine Kurzbeschreibung des Dienstes “KI:connect” und seiner Prozesse.

    (iii) Eine formalisierte Stellungnahme zur Einhaltung der Grundsätze der Datenverarbeitung nach Art. 5 DS-GVO.

    (iv) Eine Erläuterung zu den verschiedenen Eintrittswahrscheinlichkeiten sowie den Schadensklassen, die in die Risikobewertung eingehen; zusätzlich die Berechnungsformel für die Bestimmung des Risikoindex.

    (v) Die Beschreibung des Vorgehens bei der Risikoanalyse.

    (vi) Das Ergebnis der Risikoanalyse.

    (vii) Ein tabellarischer Anhang mit den Details der Risikoanalyse.


  1. Die tabellarische Risikoanalyse: Hierbei handelt es sich um eine Sammlung von vier Tabellenblättern im Excel-Format, in denen die Details der Risikoanalyse beschrieben sind. Die Tabellenblätter werden als Anhang in das Hauptdokument eingefügt.

    Die Tabelle kann hier herunterladen werden: Download Icon Tabellarische Risikoanalyse als Excel-Datei


Nachfolgend werden die Schritte zur Überarbeitung beider Dokumente beschrieben.

3. Anpassung des Hauptdokuments

Die Anpassung des Hauptdokuments gliedert sich in zwei Bereiche.

  1. Änderung oder Ergänzung von Daten: Das Hauptdokument enthält eine Reihe von Stellen, an denen die eigene Einrichtung konkrete Informationen einfügen muss, um die Muster-DSFA auf die eigenen Gegebenheiten anzupassen. Dies umfasst u.a. den Namen der Einrichtung, Angaben über Verarbeitungstätigkeiten sowie Links auf andere Dokumente wie etwa die Nutzungsbedingungen.

    Alle entsprechenden Stellen sind im oben verlinkten Dokument über Kommentare markiert.

  2. Vervollständigung des Anhangs: Im Anhang des Hauptdokuments werden die Details der Risikoanalyse einkopiert. Hierzu werden einfach die drei Tabellenblätter “02_Verfügbarkeit”, “03_Datenschutz” und “04_Datenintegritaet” kopiert und als Bild eingefügt, nachdem sie, wie in Abschnitt 4 beschrieben, angepasst worden ist.

    Zur Übertragung von Excel nach Word markieren Sie die Tabelle im jeweiligen Excel-Tabellenblatt. Wählen Sie dann in Excel "Kopieren". Wechseln Sie in das Word-Dokument und verwenden dort die Einfügen-Variante "Als Bild einfügen".

    Hinweis: Die Tabelle "Datenschutz" ist zu lang, um sie komplett in eine Word-Seite einzufügen. Sie wurde deshalb in zwei Hälften geteilt, die jeweils eine eigene Überschriften-Zeile haben. Die zweite Hälfte beginnt in der Muster-DFSA in Zeile 14. Kopieren Sie diese zweite Hälfte einfach separat in das Word-Dokument.

4. Anpassung und Umsetzung der tabellarischen Risikoanalyse

Die Risikoanalyse wird in tabellarischer Form ausgefüllt. Das oben verlinkte Dokument enthält dazu vier Tabellenblätter. Neben einer Legende für die Bedeutung der Kategorien für die Eintrittswahrscheinlichkeit sowie den Schweregrad auf dem ersten Tabellenblatt werden in drei weiteren Tabellenblättern die drei Dimensionen eines Schadensvorfalls betrachtet:

Dimension 1 – Verfügbarkeit: Ein System fällt aufgrund einer Schwachstelle aus.

Dimension 2 – Datenschutz: Eine Schwachstelle führt zu einer missbräuchlichen Verarbeitung von Daten und damit zu einer Verletzung des Datenschutzes.

Dimension 3 – Datenintegrität: Eine Schwachstelle führt zu einer unautorisierten Veränderung, Beschädigung oder Löschung von Daten und damit zu einer Verletzung der Datensicherheit.

Diese drei Dimensionen werden separat voneinander behandelt. Die Risikoanalyse umfasst für jede Dimension folgende Angaben, die im oben verlinkten Dokument als Spalten angelegt sind:

  1. Schwachstelle: Kurzbeschreibung des Eintretens einer Schwachstelle in einem System.

  2. Risikoquelle: Beschreibung des Systems oder der Systemkomponente, in der die Schwachstelle auftritt

  3. Risikoszenario: Ereignis, das zum Eintreten der Schwachstelle führt.

  4. Differenzierungsmerkmal: Unterscheidung zwischen verschiedenen Datenarten, z.B. personenbezogene Daten oder Daten mit Geheimhaltungsgrad. Das Differenzierungsmerkmal ist nur für Schadensvorfälle in den Dimensionen “Datenschutz” und “Datenintegrität” auszufüllen und existiert deshalb nicht im Tabellenblatt “Verfügbarkeit”

  5. Eintrittswahrscheinlichkeit: Erwartung der Eintrittswahrscheinlichkeit für das als Risikoszenario beschriebene Ereignis.

  6. Numerischer Wert der Eintrittschwahrscheinlichkeit: Numerischer Wert für die Eintrittswahrscheinlichkeit gemäß Tabellenblatt “Legende” in der oben verlinkten Datei.

  7. Schweregrad des Schadens: Beschreibung des erwarteten Schweregrads des Schadens bei Eintreten des Ereignisses.

  8. Numerischer Wert des Schweregrads: Numerischer Wert des Schweregrads gemäß Tabellenblatt “Legende” in der oben verlinkten Datei.

  9. Risikoindex: Berechnung des Risikoindex $R_i$ gemäß der im Hauptdokument beschriebenen Formel:

    R i = Schweregrad × Eintrittswahrscheinlichkeit

  10. Maßnahmen: Wenn der Risikoindex ein hohes bis sehr hohes Risiko anzeigt ($R_i \ge 10$), sind Maßnahmen zur Minimierung der Eintrittswahrscheinlichkeit oder des Schweregrads des Schadens zu ergreifen. Diese Maßnahmen werden hier beschrieben.

  11. Risikoindex nach Maßnahmen: Numerischer Wert des Risikoindex nach Umsetzung der Maßnahmen. Hinweis: Durch die Maßnahmen kann sich entweder der Schweregrad oder die Eintrittswahrscheinlichkeit oder beides reduzieren. Die neuen Werte werden nicht noch einmal explizit ausgewiesen, sondern sind Teil der Begründung in der nachfolgenden Spalte.

  12. Begründung: Begründung für die Reduktion des Risikoindex mit Bezug auf die Verringerung des Schweregrads, der Eintrittswahrscheinlichkeit oder beider Faktoren.

Für die Anpassung der tabellarischen Risikobewertung sind konkret die nachfolgend beschriebenen Schritte zu unternehmen.

4.1 Ergänzung bzw. Anpassung von Schwachstellen, Risikoquellen und Risikoszenarien

Es ist möglich, dass die Muster-DFSA nicht alle Schwachstellen, Risikoquellen und Risikoszenarien für die eigene Einrichtung enthält. Zum Beispiel könnten Server von Cloud-Anbietern zur Bereitstellung von IT-Services an der eigenen Einrichtung genutzt werden, die in der Muster-DFSA nicht genannt werden.

Wir empfehlen eine sorgfältige Prüfung der Passung und der Vollständigkeit für a) Schwachstellen, b) Risikoquellen und c) Risikoszenarien für alle drei Dimensionen von Schadensvorfällen (i.e. Verfügbarkeit, Datenschutz, Datenintegrität).

4.2 Umsetzung der beschriebenen Maßnahmen

Die Muster-DFSA beschreibt Maßnahmen zur Risikominimierung, um den Risikoindex zu senken. Diese Maßnahmen müssen an der eigenen Einrichtung umgesetzt werden. Die Muster-DFSA beschreibt eine Reihe prototypischer Maßnahmen, die an vielen Stellen zur Risikominimierung genutzt und – mit vertretbarem Aufwand – auch für die eigene Einrichtung durchgeführt werden können. Diese Maßnahmen werden nachfolgend kurz umrissen:

4.2.1 Vorhalten von Alternativen

Das Vorhalten von Alternativen wird u.a. in den Zeilen 1, 2 und 4 des Tabellenblatts “Verfügbarkeit” beschrieben. Hier geht es darum, für die genutzten IT-Systeme oder Endgeräte in angemessenem Umfang Ersatzsysteme bereitzuhalten, die im Schadensfall kurzfristig die Aufgaben den ausgefallenen Systeme übernehmen können.

4.2.2 Schließung von Auftragsverarbeitungsverträgen

Hier geht es sowohl um die Schließung des Auftragsverarbeitungsvertrags (AVV) mit der RWTH Aachen als Anbieter von KI:connect als auch um AVV mit allen weiteren, an der eigenen Hochschule genutzten Auftragsverarbeitern, die im Rahmen der Bereitstellung KI:connect an die Nutzenden zum Einsatz kommen.

4.2.3 Formulierung von Nutzungsbedingungen

Die Nutzungsbedingungen für KI:connect müssen für die Nutzenden an der eigenen Einrichtung verpflichtend festgelegt werden, denn diese Nutzenden befinden sich in einem Verhältnis zur Einrichtung, das es sowohl erlaubt als auch erfordert, die Nutzung von KI:connect entsprechend zu regulieren. Ein Muster für entsprechende Nutzungsbedingungen wird auf der KI:connect Website bereitgestellt.

4.2.4 Schulung und Sensibilisierung für Nutzende

Wie bei den Nutzungsbedingungen ist die eigene Einrichtung in der Position, ihre Nutzenden zu schulen, um Risikoverhalten zu minimieren. Dies umfasst z.B. Informationen zu sicheren Passworten, zur Nutzung von Virtual Private Networks oder zur Sensibilisierung gegenüber Phishing-Versuchen.

4.2.5 Schulung und Sensibilisierung für IT-Administrationspersonal

Auch wenn Administrationspersonal der eigenen Einrichtung im Rahmen von KI:connect nur einen stark eingeschränkten Zugriff auf personenbezogene Daten von Nutzenden hat, sind Maßnahmen zur „Schulung und Sensibilisierung“ auch für diese Personengruppe angezeigt. Diese können z.B. das Studium der Admin-Dokumentation von KI:connect sein, aber auch Hinweise zur Absicherung der eigenen IT-Systeme.

4.2.6 Weitere Maßnahmen

An verschiedenen Stellen der Risikoanalyse werden weitere technische Maßnahmen wie etwa die Umsetzung einer Multi-Faktor-Authentifizierung (MFA) oder die Nutzung von Virtual Private Networks (VPN) genannt. Diese Maßnahmen und deren Umsetzung sollten von der eigenen Einrichtung dringend erwogen werden.

4.3 Umgang mit weiteren Auftragsverarbeiterinnen

Die Muster-DFSA enthält an verschiedenen Stellen Verweise auf mögliche Datenverarbeitungen bei Dritten. Wenn im Rahmen der Risikoanalyse ein hohes Risiko für die betreffenden Risikoszenarien festgestellt wird, sollte die Minimierung des Risikoindex nicht nur eigene Maßnahmen, sondern auch Maßnahmen bei der Auftragsverarbeiterin berücksichtigt werden. Hierzu schließt die eigene Einrichtung einen Auftragsverarbeitungsvertrag mit entsprechenden technischen und organisatorischen Maßnahmen (TOMs) mit der Auftragsverarbeiterin, die als Verantwortliche für die bei ihr durchgeführte Datenverarbeitung ebenfalls eine DSFA formulieren muss (Art. 35 Abs. 1 S. 1 DSGVO).