Angebot einholen
Logo Barth Datenschutz
Angebot einholen

Risiko-
management

Risiko-
management
2022-07-04T15:30:16+02:00

Muster-Ablauf der Risikobewertung im Datenschutz

Ablauf der Risikobewertung2022-07-04T12:40:28+02:00

1. Risikobewertung

Das Datenschutzrisiko für den Betroffenen, dessen Daten verarbeitet werden (nicht ein Schadensrisiko für das Unternehmen), ist anhand objektiver Kriterien (Art, Umfang, Umstände und Zwecke einer Verarbeitung) zu bestimmen

  • nach der Eintrittswahrscheinlichkeit (zu berücksichtigen ist hier auch die Risiko-Quelle, also der Angreifer und ein durch diesen zu verursachender Schaden)
  • nach der Schwere des Schadens
    • In einer Skalierung
      • a) geringfügig / überschaubar – normal (grün)
      • b) substantiell – hoch (gelb)
      • c) groß – sehr hoch (rot)

Das Ergebnis der Bewertung kann in einer Risikomatrix visuell dargestellt werden und/oder anhand einer Risikozahl (Schadenschwere x Eintrittswahrscheinlichkeit)

Eine Datenschutz-Folgenabschätzung ist nur durchzuführen, wenn eine Risikobewertung ergibt, dass eine Datenverarbeitung ein sehr hohes Risiko für die Betroffenen, deren Daten verarbeitet werden, zur Folge hat, dazu mehr unter Punkt 5.

2. Schaden

Ein Mensch kann durch eine Datenverarbeitung physische, materielle und immaterielle Schäden erleiden. Bezogen auf das Verfahren ist zu klären, welche Schäden aus der Datenverarbeitung für Betroffene resultieren können.

Beispielhaft nennt die DSGVO hier:

  • Diskriminierung
  • Identitätsdiebstahl
  • Rufschädigung
  • Finanzieller Verlust
  • Hinderung der Kontrolle über eigene Daten
  • Profilbildung mit Standortdaten

3. Risikominimierung

Wer personenbezogene Daten verarbeiten will, ist verpflichtet, im Verhältnis zum Risiko nach dem Stand der Technik angemessene (nicht: neueste und teuerste) Maßnahmen zum Schutz der Daten zu ergreifen, diese regelmäßig, bei Bedarf sogar unverzüglich zu überprüfen und erforderlichenfalls upzudaten.

In der Regel handelt es sich um eine Kombination aus

  • organisatorischen Maßnahmen (z. B. Datenschutzschulung von Mitarbeitern, interne Regelungen zum Datenschutz, Notfallkonzept) und
  • technischen Maßnahmen (z. B. Einsatz von Firewall und Virenscanner und deren zeitgemäßer Update, Verschlüsselung von Daten).

Hinweis: Diese dokumentieren wir in der TOM-Dokumentation

4. Nachweise hierüber erbringen

Die Durchführung einer Datenschutz-Folgenabschätzung ist eine gesetzliche Pflicht. Deren Einhaltung müssen verantwortliche Stellen nachweisen. Der

Nachweis ist Bestandteil der Rechenschaftspflicht. Diese verpflichtet verantwortliche Stellen, alle Vorgaben der DSGVO einzuhalten, wirksam umzusetzen, zu überprüfen und bei Bedarf nachzubessern.

Zu dokumentieren sind:

  • die Durchführung einer Risikobewertung,
  • das Ergebnis der Analyse (normales, hohes, sehr hohes Risiko) und
  • eine daraus ggf. abzuleitende DSFA (Datenschutzfolgenabschätzung)

5. Datenschutzfolgenabschätzung

Die hier beschriebene Risikobewertung ergibt am Ende eine Aussage darüber, wie hoch das Risiko eingeschätzt wird. Anhand dieser Einschätzung wird abgeleitet, ob eine Datenschutzfolgenabschätzung durchgeführt werden muss.

Möglichkeit A) Wir benötigen keine Datenschutzfolgenabschätzung (DSFA), weil:

  • Whitelist der Datenschutzaufsichtsbehörden I Das ist eine Liste von Verarbeitungstätigkeiten (sog. Whitelist) die aus Sicht der Behörde nie hochrisikobehaftet sind und damit keiner DSFA bedürfen.
  • die Verarbeitung eine gesetzliche Aufgabe nach Art. 6 Abs. 1 c DS-GVO (Erfüllung einer rechtlichen Verpflichtung) oder Art. 6 Abs. 1 e DS-GVO (Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt) ist; eine allgemeine DSFA hierfür ist bereits bei Erlass der Rechtsgrundlage (z. B. Gewerberegister) vorgenommen worden, und der Mitgliedstaat hat die Durchführung einer DSFA für nicht notwendig erklärt.
  • Kein hohes Risiko als Ergebnis der Risikobewertung

Möglichkeit B) Wir benötigen eine Datenschutzfolgenabschätzung (DSFA), weil:

  • Blacklist der Datenschutzaufsichtsbehörden. Diese enthält Datenverarbeitungen, die aus Sicht der Datenschutzaufsicht generell ein hohes Risiko haben und daher stets (ohne weitere sonstige Prüfung) vor deren Einsatz eine Vorabkonsultation der Aufsicht erfordern.
  • Ergebnis der Risikobewertung – (sehr) hohes Risiko und eine Risikoreduzierung ist nicht möglich.
  • Führen geeignete technische und/oder organisatorische Maßnahmen dazu, dass für die Daten Betroffener ein (sehr) hohes Risiko in ein normales Risiko reduziert werden kann, ist keine Datenschutz-Folgenabschätzung durchzuführen. So muss ein hoher Schutzbedarf (z. B. biometrische Daten, Personalaktendaten) für sich allein nicht zwingend zu einem hohen Risiko führen, sondern nur dann, wenn gleichzeitig die Eintrittswahrscheinlichkeit für einen Vorfall hoch ist.

Hinweis: Die Datenschutzfolgenabschätzung ist nicht mit der hier beschriebenen Risikobewertung gleichzusetzen – die DSFA geht nochmals deutlich tiefer in die Risikoanalyse und -bewertung des betroffenen Verfahrens hinein. Bei der Durchführung der DSFA ist immer ein Datenschutzbeauftragter hinzuzuziehen.

Risikobewertung der Verfahren2022-07-04T13:50:38+02:00
Muster Excel
Email senden
Maßnahmenplan2022-07-04T13:51:00+02:00
Muster Excel
Email senden

Klarheit und Schutz ohne sinnlose Hürden

Sprechen Sie uns an oder vereinbaren einen 15 Minuten Expertengespräch mit Achim Barth.

Tel: +49 0711 40070720
info@barth-datenschutz.de

Datenschutz im Unternehmen von Achim Barth

Der Autor Achim Barth

Durch die DSGVO schwebt das Thema Datenschutz wie ein Schreckensgespenst über Unternehmen, Behörden, Vereinen und allen, die beruflich oder privat personenbezogene Daten verarbeiten.

Anhand der Programme Microsoft Teams und SharePoint Online erkläre ich Ihnen in meinem Praxishandbuch minutiös Prozesse und Systeme, mit denen Sie die geforderten Standards erfüllen.

Datenschutz im Unternehmen

Praktisch umgesetzt mit SharePoint Online und Microsoft Teams

Jetzt Leseprobe herunterladen