Der „risikobasierte Ansatz“ ist in der DSGVO tief verwurzelt. Je höher die Risiken, die mit der Verarbeitung personenbezogener Daten einhergehen, desto strenger die Anforderungen an den Datenschutz. Ergibt beispielsweise eine Datenschutz-Folgenabschätzung (DSFA) ein besonders hohes Risiko, so sind auch entsprechend wirksame Maßnahmen durch Verantwortliche zu treffen. Von großer Relevanz ist in diesem Zusammenhang Art. 32 DSGVO. Dieser sieht vor, dass abhängig von Schwere und Eintrittswahrscheinlichkeit eines Risikos für Rechte und Freiheiten betroffener Personen sogenannte technische und organisatorische Maßnahmen (TOM) durch Verantwortliche zu treffen sind. Im Folgenden soll erörtert werden, wie Datenschutzrisiken zu erkennen sind und wie ihnen mit effizienten TOM begegnet werden kann. Dabei wird besprochen, was Risiken im Datenschutz sind, wie sie erfasst werden können und wie daraus effiziente technische und organisatorische Maßnahmen abgeleitet werden können. Denn nur wenn Risiken wirksam gemanagt werden, kann ein Unternehmen nachhaltig wachsen und langfristig Kund:innenvertrauen gewinnen.
Erfassung von Risiken im Datenschutz
Was ist ein Risiko?
Um ein Verfahren für den Umgang mit Datenschutzrisiken aufzustellen, müssen diese zunächst im eigenen Unternehmen erkannt werden. Allgemein lässt sich sagen, dass ein Risiko ein möglicher Schaden in Verbindung mit dessen Eintrittswahrscheinlichkeit ist.
Die Eintrittswahrscheinlichkeit ist dabei die durchschnittliche zeitliche Häufigkeit von sicherheitsrelevanten Ereignissen. Der Schaden kann materiell oder immateriell sein und für eine Vielzahl von Schutzzielen eintreten. In der Informationssicherheit und im Datenschutz können diese die Vertraulichkeit personenbezogener Daten, deren Integrität und Verfügbarkeit sein. Die mit den Rechten und Freiheiten betroffener Personen aus der DSGVO einhergehenden Schutzziele sind darüber hinaus: Transparenz in der Datenverarbeitung, die Möglichkeit der Intervention für Betroffene, die Sicherstellung und Nachweisbarkeit der Zweckbindung von Datenverarbeitung (Nichtverkettbarkeit) und die Datenminimierung. Schutzadressat:innen, die Risiken ausgesetzt werden, können dabei sowohl Verantwortliche als im Datenschutz auch betroffene Personen sein. Angreifer-Typen, von denen ein Risiko ausgehen kann, können interne Administrator:innen, Mitarbeiter:innen, Hacker:innen sowie Regierungsinstitutionen sein. Im Datenschutz kommen zudem Verantwortliche selbst sowie Drittanbieter:innen als Angreifer:innen in Betracht, wenn sie die Gewährleistungsziele der DSGVO außer Acht lassen.
Eine tatsächliche Gefährdung für eines der Schutzziele liegt dann vor, wenn eine Bedrohung auf eine Schwachstelle trifft. In Verbindung mit der Eintrittswahrscheinlichkeit kann so ein Risiko-Szenario gegeben sein. Eine Bedrohung ist dabei ein Ereignis oder Umstand, durch den ein Schaden entstehen kann, so etwa technisches Versagen, menschliche Fehlhandlungen oder höhere Gewalt. Schwachstellen sind sicherheitsrelevante Fehler eines IT-Systems oder im Datenschutz Schwachstellen des Datenschutzmanagements. Ursachen dafür können in deren Konzeption, den verwendeten Algorithmen, der Implementation, der Konfiguration, technischen Einschränkungen und dem Betrieb liegen.
Sie benötigen Unterstützung bei der Implementierung technisch organisatorischer Maßnahmen?
Aufstellen eines wirksamen Verfahrens zur Risikoermittlung
Bei Risikobewertungen handelt es sich stets um Prognoseentscheidungen. Risiken stehen also nie fest, sondern variieren. Da die Risikobewertung einer Nachweis- und Rechenschaftspflicht unterliegt, an der sich auch angemessene TOM festmachen können, sind Methodik und Dokumentation in der Risikobewertung dringend erforderlich. Da die Risikoerfassung vor allem auch von persönlichen Erfahrungen und Wahrnehmungen geleitet wird, empfiehlt es sich in der Praxis ein gutes Team für die Risikoerfassung und Bewertung zusammenzustellen, eine einzelne Person damit zu befassen ist selten ausreichend. In der Ermittlung eines einheitlichen Verfahrens zur Identifikation und Bewertung von Risiken sollte Wert auf eine plausible, vollständige und qualitative Dokumentation dieser gelegt werden.
Im Aufstellen eines Verfahrens zur Risikoermittlung gilt es mehrere notwendige Schritte zu befolgen, angefangen mit dem Festlegen eines Vorgehens. Hier wird eine Methodik ausgewählt, mittels derer Risiken identifiziert werden sollen. Anschließend sollte das bereits angesprochene Team zusammengestellt werden, das mit der Aufgabe befasst wird. Sodann müssen die Schutzziele definiert werden, die einem Risiko ausgesetzt sein können. Außerdem sind Schutzadressaten und Angreifer-Typen festzulegen. Zudem muss entschieden werden, welchen Detailgrad die Risikoanalyse haben soll. Dies hängt vor allem davon ab, worauf die Analyse abzielt. Sollen technische und organisatorische Maßnahmen für das ganze Unternehmen festgelegt werden, kann ein weiter Blick empfehlenswert sein. Geht es um dezidierte Unternehmensbereiche, ist ein detaillierterer Blick notwendig. Sodann ist zu entscheiden, ob Risiken mittels User Stories oder Data-flows aufgezeichnet werden sollen, d.h. sollen Risiken szenario- oder prozessbasiert identifiziert werden.
Schadenshöhe, Eintrittswahrscheinlichkeit und Risikomatrix
Um die Höhe eines Risikos zu bemessen, werden Schadenshöhe (Schwere des Schadens/der negativen Konsequenzen für ein Unternehmen) und Eintrittswahrscheinlichkeit miteinander multipliziert. Dafür werden beide Faktoren in unterschiedliche Grade aufgeteilt, denen der vorliegende Sachverhalt zugeordnet werden kann. Das Ergebnis lässt sich dadurch in einer Matrix zur nachvollziehbaren Risikobewertung darstellen. Bei einer Aufteilung von Eintrittswahrscheinlichkeit und Schadenshöhe in vier Stufen ließen sich diese beispielsweise als geringfügig, überschaubar, substanziell und groß bezeichnen. Das daraus resultierende Risiko ließe sich dann in einer vierstufigen Skala z.B. den Werten „niedrig, mittel, hoch, sehr hoch“ zuordnen. Aus dem Ergebnis dieser Risikobewertung lassen sich dann die vorzunehmenden technischen und organisatorischen Maßnahmen schließen.
Das könnte Sie auch interessieren:
- Aufbau und Struktur eines effizienten DSMS
- Datenschutzmanagement im Gesundheitswesen – Best Practice-Empfehlungen
Ableitung wirksamer Maßnahmen – effiziente TOM zur Risikoverringerung
Grundsätzlich sollte es die erste Wahl sein, einem erkannten Risiko mit effizienten technischen und organisatorischen Maßnahmen zu begegnen. Alternativen wären die Risikoauslagerung, -vermeidung oder -akzeptanz. Die Risikomitigierung durch TOM stellt jedoch den häufigsten und nachhaltigsten Weg des Umgangs mit Risiken dar. Dabei sollten sich die gewählten Maßnahmen stets an verbreiteten Standards orientieren, so z.B. an verschiedenen ISO-Normen (z.B. ISO 27001) oder an einem vom Bundesamt für Sicherheit in der Informationstechnik (BSI) dafür herausgegebenen Kompendium. Die gewählten Maßnahmen sollten sodann in einem PlanDoCheckAct-Zyklus (PDCA-Zyklus) umgesetzt werden.
Zunächst ist zu prüfen, welche TOM bereits realisiert wurden. Hier kann es sich um organisatorische sowie technische Maßnahmen, Schulungen oder weitere Maßnahmen handeln. Zu den organisatorischen Maßnahmen zählt das Bestimmen von Zuständigkeiten, das Aufstellen von Leitlinien zu Datenschutz oder Informationssicherheit sowie die Erarbeitung von Richtlinien, etwa zu einem Back-up- oder Berechtigungskonzept. Im Rahmen der technischen Maßnahmen sollte in erster Linie geprüft werden, inwieweit bereits implementierte Maßnahmen auch dokumentiert wurden bzw. noch dokumentiert werden müssen. In Form von Schulungen lassen sich Mitarbeitende regelmäßig zu Datenschutzrisiken fortbilden, schon dadurch können Datenschutzrisiken erheblich minimiert werden. Hier sind ein Schulungskonzept und eine Messung des Schulungserfolges wichtig. Weitere Maßnahmen umfassen beispielsweise die Dokumentation von Geschäftsprozessen und das Aufstellen von Datenfluss Diagrammen, die geeignete Maßnahmen indizieren können.
Daraufhin setzt die Umsetzung des PDCA-Zyklus ein. In der Planungsphase werden dokumentierte Risiken ausgewertet, Kosten geschätzt, Ziele formuliert und ein Umsetzungsplan für Maßnahmen erstellt. In der Do-Phase sind die Verantwortlichkeiten zu prüfen, Prioritäten zu regeln und die gewählten Maßnahmen zu implementieren. In der darauffolgenden Check-Phase werden die laufend zu überwachenden Maßnahmen auf ihre Wirksamkeit geprüft. In der letzten, der Act-Phase, werden die gewählten Maßnahmen optimiert und Mängel beseitigt. Gegebenenfalls werden Richtlinien angepasst oder neue erstellt. Sofern noch vorhanden, können Restrisiken, wenn sinnvoll, akzeptiert und die anfangs formulierten Ziele aktualisiert werden.
TOM mit ISiCO und dem Risikomanagement-Tool von caralegal
Gerne stehen die Datenschutz-Expert:innen von ISiCO bei der datenschutzrechtlichen Risikoanalyse und der Umsetzung eines Maßnahmenkatalogs sowie bei der Implementierung von IT-Sicherheits- und Datenschutzkonzepten in Unternehmen zur Seite. Erfahrene Expert:innen aus dem interdisziplinären Team von ISiCO unterstützen Unternehmen vor Ort und eruieren sämtliche Informationen, die erforderlich sind, um eine Datenschutzorganisation zu etablieren oder bereits bestehende zu optimieren. Zudem prüfen unsere Kolleg:innen einzelfallbasiert und unter Berücksichtigung betrieblicher Situationen bereits vorhandene TOM und geben Empfehlungen für die Auswahl der jeweils angemessenen Maßnahmen. Dies umfasst die Betreuung während des gesamten Maßnahmen-Zyklus.
Zudem steht mit dem Datenschutz- und Risikomanagement-Tool von ISiCO-Partner caralegal eine leistungsstarke Software zur Verfügung, die Unternehmen im Umgang mit Datenschutzrisiken effizient behilflich ist. Das Tool ermöglicht es, Risiken in der Datenverarbeitung entweder allgemein oder verarbeitungsspezifisch aufzunehmen. Nachdem ein Risiko individuell angelegt und beschrieben wurde, kann die Software auf Basis der bereits getroffenen Maßnahmen eine dezidierte Risikobewertung abgeben. Hierfür wird sich unter anderem der bereits besprochenen Risiko-Matrizen bedient. In einem nächsten Schritt lassen sich zukünftig noch zu ergreifende Maßnahmen der Risikobehandlung angeben. Anhand dessen wird das nun noch vorhandene Risiko auf Basis von Eintrittswahrscheinlichkeit und Schadenshöhe automatisiert ermittelt. Damit kann das Tool wirksam bei der Mitigierung von Risiken durch die Auswahl effizienter TOM unterstützen.
-
Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung
In einer Welt, in der Cyber-Attacken und IT-Pannen zu den größten Bedrohungen für den Finanzsektor geworden sind, ist proaktives Handeln keine Option mehr, sondern eine Notwendigkeit. Der europäische Gesetzgeber hat dies mit der Einführung des Digital Operational Resilience Act (DORA) klar zum Ausdruck gebracht. Wir unterstützen Sie bei der Umsetzung.
-
Verzeichnis von Verarbeitungstätigkeiten (VVT) einfach erklärt – mit Checkliste zum Download
Wer muss ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellen? Wie wird er aufgebaut? Wie oft muss das VVT aktualisiert und überprüft werden? In welcher Form und Sprache muss das VVT geführt werden? Eine Übersicht mit Checklisten und Tipps.
-
Effektive Datenschutz-Risikoanalysen: Anwendungsbereiche und Vorteile des Threat Modeling
In Zeiten zunehmender Cyberbedrohungen können Unternehmen durch die Mitigation von Datenschutzrisiken nicht nur sich selbst und ihre Beschäftigten vor Bedrohungen bewahren, sondern vor allem auch den Schutz ihrer Kund:innen effektiver gewährleisten. Ein Schlüsselelement der Risikoanalyse ist das sogenannte Threat Modeling. Wir erläutern, was Threat Modeling beinhaltet und wie es speziell in der Datenschutzberatung eingesetzt wird.