15.06.2022
Effizientes Risikomanagement durch wirksame TOM
Wir zeigen auf, wie Datenschutzrisiken zu erkennen sind und wie ihnen mit effizienten TOM begegnet werden kann. Jetzt lesen!
Der „risikobasierte Ansatz“ ist in der DSGVO tief verwurzelt. Je höher die Risiken, die mit der Verarbeitung personenbezogener Daten einhergehen, desto strenger die Anforderungen an den Datenschutz. Ergibt beispielsweise eine Datenschutz-Folgenabschätzung (DSFA) ein besonders hohes Risiko, so sind auch entsprechend wirksame Maßnahmen durch Verantwortliche zu treffen. Von großer Relevanz ist in diesem Zusammenhang Art. 32 DSGVO. Dieser sieht vor, dass abhängig von Schwere und Eintrittswahrscheinlichkeit eines Risikos für Rechte und Freiheiten betroffener Personen sogenannte technische und organisatorische Maßnahmen (TOM) durch Verantwortliche zu treffen sind. Im Folgenden soll erörtert werden, wie Datenschutzrisiken zu erkennen sind und wie ihnen mit effizienten TOM begegnet werden kann. Dabei wird besprochen, was Risiken im Datenschutz sind, wie sie erfasst werden können und wie daraus effiziente technische und organisatorische Maßnahmen abgeleitet werden können. Denn nur wenn Risiken wirksam gemanagt werden, kann ein Unternehmen nachhaltig wachsen und langfristig Kund:innenvertrauen gewinnen.
Kostenfreie Expertise im E-Mail-Postfach
Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.
Erfassung von Risiken im Datenschutz
Was ist ein Risiko?
Um ein Verfahren für den Umgang mit Datenschutzrisiken aufzustellen, müssen diese zunächst im eigenen Unternehmen erkannt werden. Allgemein lässt sich sagen, dass ein Risiko ein möglicher Schaden in Verbindung mit dessen Eintrittswahrscheinlichkeit ist.
Die Eintrittswahrscheinlichkeit ist dabei die durchschnittliche zeitliche Häufigkeit von sicherheitsrelevanten Ereignissen. Der Schaden kann materiell oder immateriell sein und für eine Vielzahl von Schutzzielen eintreten. In der Informationssicherheit und im Datenschutz können diese die Vertraulichkeit personenbezogener Daten, deren Integrität und Verfügbarkeit sein. Die mit den Rechten und Freiheiten betroffener Personen aus der DSGVO einhergehenden Schutzziele sind darüber hinaus: Transparenz in der Datenverarbeitung, die Möglichkeit der Intervention für Betroffene, die Sicherstellung und Nachweisbarkeit der Zweckbindung von Datenverarbeitung (Nichtverkettbarkeit) und die Datenminimierung. Schutzadressat:innen, die Risiken ausgesetzt werden, können dabei sowohl Verantwortliche als im Datenschutz auch betroffene Personen sein. Angreifer-Typen, von denen ein Risiko ausgehen kann, können interne Administrator:innen, Mitarbeiter:innen, Hacker:innen sowie Regierungsinstitutionen sein. Im Datenschutz kommen zudem Verantwortliche selbst sowie Drittanbieter:innen als Angreifer:innen in Betracht, wenn sie die Gewährleistungsziele der DSGVO außer Acht lassen.
Eine tatsächliche Gefährdung für eines der Schutzziele liegt dann vor, wenn eine Bedrohung auf eine Schwachstelle trifft. In Verbindung mit der Eintrittswahrscheinlichkeit kann so ein Risiko-Szenario gegeben sein. Eine Bedrohung ist dabei ein Ereignis oder Umstand, durch den ein Schaden entstehen kann, so etwa technisches Versagen, menschliche Fehlhandlungen oder höhere Gewalt. Schwachstellen sind sicherheitsrelevante Fehler eines IT-Systems oder im Datenschutz Schwachstellen des Datenschutzmanagements. Ursachen dafür können in deren Konzeption, den verwendeten Algorithmen, der Implementation, der Konfiguration, technischen Einschränkungen und dem Betrieb liegen.
Ihre Strategie für den besten Schutz
Die Grundlage jeder guten Geschäftsbeziehung ist Vertrauen. Stärken Sie die Beziehung zu Ihren Kunden mit unserer Expertise im Datenschutz und der Informationssicherheit. Damit sichern Sie Ihrer Unternehmung einen starken Wettbewerbsvorteil und können sich voll auf Ihr Geschäft konzentrieren.
Aufstellen eines wirksamen Verfahrens zur Risikoermittlung
Bei Risikobewertungen handelt es sich stets um Prognoseentscheidungen. Risiken stehen also nie fest, sondern variieren. Da die Risikobewertung einer Nachweis- und Rechenschaftspflicht unterliegt, an der sich auch angemessene TOM festmachen können, sind Methodik und Dokumentation in der Risikobewertung dringend erforderlich. Da die Risikoerfassung vor allem auch von persönlichen Erfahrungen und Wahrnehmungen geleitet wird, empfiehlt es sich in der Praxis ein gutes Team für die Risikoerfassung und Bewertung zusammenzustellen, eine einzelne Person damit zu befassen ist selten ausreichend. In der Ermittlung eines einheitlichen Verfahrens zur Identifikation und Bewertung von Risiken sollte Wert auf eine plausible, vollständige und qualitative Dokumentation dieser gelegt werden.
Im Aufstellen eines Verfahrens zur Risikoermittlung gilt es mehrere notwendige Schritte zu befolgen, angefangen mit dem Festlegen eines Vorgehens. Hier wird eine Methodik ausgewählt, mittels derer Risiken identifiziert werden sollen. Anschließend sollte das bereits angesprochene Team zusammengestellt werden, das mit der Aufgabe befasst wird. Sodann müssen die Schutzziele definiert werden, die einem Risiko ausgesetzt sein können. Außerdem sind Schutzadressaten und Angreifer-Typen festzulegen. Zudem muss entschieden werden, welchen Detailgrad die Risikoanalyse haben soll. Dies hängt vor allem davon ab, worauf die Analyse abzielt. Sollen technische und organisatorische Maßnahmen für das ganze Unternehmen festgelegt werden, kann ein weiter Blick empfehlenswert sein. Geht es um dezidierte Unternehmensbereiche, ist ein detaillierterer Blick notwendig. Sodann ist zu entscheiden, ob Risiken mittels User Stories oder Data-flows aufgezeichnet werden sollen, d.h. sollen Risiken szenario- oder prozessbasiert identifiziert werden.
Schadenshöhe, Eintrittswahrscheinlichkeit und Risikomatrix
Um die Höhe eines Risikos zu bemessen, werden Schadenshöhe (Schwere des Schadens/der negativen Konsequenzen für ein Unternehmen) und Eintrittswahrscheinlichkeit miteinander multipliziert. Dafür werden beide Faktoren in unterschiedliche Grade aufgeteilt, denen der vorliegende Sachverhalt zugeordnet werden kann. Das Ergebnis lässt sich dadurch in einer Matrix zur nachvollziehbaren Risikobewertung darstellen. Bei einer Aufteilung von Eintrittswahrscheinlichkeit und Schadenshöhe in vier Stufen ließen sich diese beispielsweise als geringfügig, überschaubar, substanziell und groß bezeichnen. Das daraus resultierende Risiko ließe sich dann in einer vierstufigen Skala z.B. den Werten „niedrig, mittel, hoch, sehr hoch“ zuordnen. Aus dem Ergebnis dieser Risikobewertung lassen sich dann die vorzunehmenden technischen und organisatorischen Maßnahmen schließen.
Ableitung wirksamer Maßnahmen – effiziente TOM zur Risikoverringerung
Grundsätzlich sollte es die erste Wahl sein, einem erkannten Risiko mit effizienten technischen und organisatorischen Maßnahmen zu begegnen. Alternativen wären die Risikoauslagerung, -vermeidung oder -akzeptanz. Die Risikomitigierung durch TOM stellt jedoch den häufigsten und nachhaltigsten Weg des Umgangs mit Risiken dar. Dabei sollten sich die gewählten Maßnahmen stets an verbreiteten Standards orientieren, so z.B. an verschiedenen ISO-Normen (z.B. ISO 27001) oder an einem vom Bundesamt für Sicherheit in der Informationstechnik (BSI) dafür herausgegebenen Kompendium. Die gewählten Maßnahmen sollten sodann in einem PlanDoCheckAct-Zyklus (PDCA-Zyklus) umgesetzt werden.
Zunächst ist zu prüfen, welche TOM bereits realisiert wurden. Hier kann es sich um organisatorische sowie technische Maßnahmen, Schulungen oder weitere Maßnahmen handeln. Zu den organisatorischen Maßnahmen zählt das Bestimmen von Zuständigkeiten, das Aufstellen von Leitlinien zu Datenschutz oder Informationssicherheit sowie die Erarbeitung von Richtlinien, etwa zu einem Back-up- oder Berechtigungskonzept. Im Rahmen der technischen Maßnahmen sollte in erster Linie geprüft werden, inwieweit bereits implementierte Maßnahmen auch dokumentiert wurden bzw. noch dokumentiert werden müssen. In Form von Schulungen lassen sich Mitarbeitende regelmäßig zu Datenschutzrisiken fortbilden, schon dadurch können Datenschutzrisiken erheblich minimiert werden. Hier sind ein Schulungskonzept und eine Messung des Schulungserfolges wichtig. Weitere Maßnahmen umfassen beispielsweise die Dokumentation von Geschäftsprozessen und das Aufstellen von Datenfluss Diagrammen, die geeignete Maßnahmen indizieren können.
Daraufhin setzt die Umsetzung des PDCA-Zyklus ein. In der Planungsphase werden dokumentierte Risiken ausgewertet, Kosten geschätzt, Ziele formuliert und ein Umsetzungsplan für Maßnahmen erstellt. In der Do-Phase sind die Verantwortlichkeiten zu prüfen, Prioritäten zu regeln und die gewählten Maßnahmen zu implementieren. In der darauffolgenden Check-Phase werden die laufend zu überwachenden Maßnahmen auf ihre Wirksamkeit geprüft. In der letzten, der Act-Phase, werden die gewählten Maßnahmen optimiert und Mängel beseitigt. Gegebenenfalls werden Richtlinien angepasst oder neue erstellt. Sofern noch vorhanden, können Restrisiken, wenn sinnvoll, akzeptiert und die anfangs formulierten Ziele aktualisiert werden.
TOM mit ISiCO und dem Risikomanagement-Tool von caralegal
Gerne stehen die Datenschutz-Expert:innen von ISiCO bei der datenschutzrechtlichen Risikoanalyse und der Umsetzung eines Maßnahmenkatalogs sowie bei der Implementierung von IT-Sicherheits- und Datenschutzkonzepten in Unternehmen zur Seite. Erfahrene Expert:innen aus dem interdisziplinären Team von ISiCO unterstützen Unternehmen vor Ort und eruieren sämtliche Informationen, die erforderlich sind, um eine Datenschutzorganisation zu etablieren oder bereits bestehende zu optimieren. Zudem prüfen unsere Kolleg:innen einzelfallbasiert und unter Berücksichtigung betrieblicher Situationen bereits vorhandene TOM und geben Empfehlungen für die Auswahl der jeweils angemessenen Maßnahmen. Dies umfasst die Betreuung während des gesamten Maßnahmen-Zyklus.
Zudem steht mit dem Datenschutz- und Risikomanagement-Tool von ISiCO-Partner caralegal eine leistungsstarke Software zur Verfügung, die Unternehmen im Umgang mit Datenschutzrisiken effizient behilflich ist. Das Tool ermöglicht es, Risiken in der Datenverarbeitung entweder allgemein oder verarbeitungsspezifisch aufzunehmen. Nachdem ein Risiko individuell angelegt und beschrieben wurde, kann die Software auf Basis der bereits getroffenen Maßnahmen eine dezidierte Risikobewertung abgeben. Hierfür wird sich unter anderem der bereits besprochenen Risiko-Matrizen bedient. In einem nächsten Schritt lassen sich zukünftig noch zu ergreifende Maßnahmen der Risikobehandlung angeben. Anhand dessen wird das nun noch vorhandene Risiko auf Basis von Eintrittswahrscheinlichkeit und Schadenshöhe automatisiert ermittelt. Damit kann das Tool wirksam bei der Mitigierung von Risiken durch die Auswahl effizienter TOM unterstützen.
Weitere Neuigkeiten
23.09.2024
NIS2-Richtlinie: Anwendungsbereich, Anforderungen & notwendige Maßnahmen
Am 16.01.2023 trat die NIS2-Richtlinie EU-weit in Kraft. Nachdem des zugehörige Umsetzungsgesetz mehrfach geändert wurde, liegt mittlerweile der wohl finale Entwurf vor und das Inkrafttreten der NIS2-Anforderungen rückt immer näher. Eine Vielzahl von Unternehmen steht nun vor der Frage, ob sie dem Anwendungsbereich der NIS2-Richtlinie unterfallen, welche Pflichten sie treffen und wie sie diese Pflichten durch geeignete Maßnahmen erfüllen können. Wir haben die Anforderungen und notwendigen Maßnahmen für Sie aufbereitet.
Weiterlesen … NIS2-Richtlinie: Anwendungsbereich, Anforderungen & notwendige Maßnahmen
10.09.2024
Konzerndatenschutz: Anforderungen & Rechtsgrundlagen für die Datenübermittlung im Konzern
Wenn Konzerne nach außen wie innen als eine geschlossene Einheit auftreten, sollten Datenübermittlungen zwischen ihren einzelnen Unternehmen auf den ersten Blick kein besonderes Problem darstellen. Doch den Konzern als eigenen datenschutzrechtlich Verantwortlichen, kennt die Datenschutz-Grundverordnung nicht. Und damit sind auch Datenübermittlungen im Konzern nicht automatisch rechtlich zulässig. Wir geben in diesem Beitrag einen Überblick über die wichtigsten Fragestellungen, Anforderungen und Lösungsmöglichkeiten im Bereich Datenübermittlung in Konzernen.
26.08.2024
Datenschutzmanagementsystem (DSMS): Ihr Schlüssel zur DSGVO-Compliance
Um den Anforderungen der Datenschutz-Grundverordnung (DSGVO) gerecht zu werden, empfiehlt sich ein Datenschutzmanagementsystem (DSMS). Denn damit lassen sich die datenschutzrechtlichen Anforderungen regeln, planen, umsetzen und kontrollieren. Das vereinfacht die Compliance für Unternehmen und deren Mitarbeiter:innen wesentlich. Lesen Sie hier, wie der DSGVO-konforme Aufbau eines DSMS gelingt, wer im Unternehmen dafür Verantwortlich ist und welche Software Ihnen helfen kann.
Weiterlesen … Datenschutzmanagementsystem (DSMS): Ihr Schlüssel zur DSGVO-Compliance