Der „risikobasierte Ansatz“ ist in der DSGVO tief verwurzelt. Je höher die Risiken, die mit der Verarbeitung personenbezogener Daten einhergehen, desto strenger die Anforderungen an den Datenschutz. Ergibt beispielsweise eine Datenschutz-Folgenabschätzung (DSFA) ein besonders hohes Risiko, so sind auch entsprechend wirksame Maßnahmen durch Verantwortliche zu treffen. Von großer Relevanz ist in diesem Zusammenhang Art. 32 DSGVO. Dieser sieht vor, dass abhängig von Schwere und Eintrittswahrscheinlichkeit eines Risikos für Rechte und Freiheiten betroffener Personen sogenannte technische und organisatorische Maßnahmen (TOM) durch Verantwortliche zu treffen sind. Im Folgenden soll erörtert werden, wie Datenschutzrisiken zu erkennen sind und wie ihnen mit effizienten TOM begegnet werden kann. Dabei wird besprochen, was Risiken im Datenschutz sind, wie sie erfasst werden können und wie daraus effiziente technische und organisatorische Maßnahmen abgeleitet werden können. Denn nur wenn Risiken wirksam gemanagt werden, kann ein Unternehmen nachhaltig wachsen und langfristig Kund:innenvertrauen gewinnen.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Erfassung von Risiken im Datenschutz

Was ist ein Risiko?

Um ein Verfahren für den Umgang mit Datenschutzrisiken aufzustellen, müssen diese zunächst im eigenen Unternehmen erkannt werden. Allgemein lässt sich sagen, dass ein Risiko ein möglicher Schaden in Verbindung mit dessen Eintrittswahrscheinlichkeit ist.
Die Eintrittswahrscheinlichkeit ist dabei die durchschnittliche zeitliche Häufigkeit von sicherheitsrelevanten Ereignissen. Der Schaden kann materiell oder immateriell sein und für eine Vielzahl von Schutzzielen eintreten. In der Informationssicherheit und im Datenschutz können diese die Vertraulichkeit personenbezogener Daten, deren Integrität und Verfügbarkeit sein. Die mit den Rechten und Freiheiten betroffener Personen aus der DSGVO einhergehenden Schutzziele sind darüber hinaus: Transparenz in der Datenverarbeitung, die Möglichkeit der Intervention für Betroffene, die Sicherstellung und Nachweisbarkeit der Zweckbindung von Datenverarbeitung (Nichtverkettbarkeit) und die Datenminimierung. Schutzadressat:innen, die Risiken ausgesetzt werden, können dabei sowohl Verantwortliche als im Datenschutz auch betroffene Personen sein. Angreifer-Typen, von denen ein Risiko ausgehen kann, können interne Administrator:innen, Mitarbeiter:innen, Hacker:innen sowie Regierungsinstitutionen sein. Im Datenschutz kommen zudem Verantwortliche selbst sowie Drittanbieter:innen als Angreifer:innen in Betracht, wenn sie die Gewährleistungsziele der DSGVO außer Acht lassen.

Eine tatsächliche Gefährdung für eines der Schutzziele liegt dann vor, wenn eine Bedrohung auf eine Schwachstelle trifft. In Verbindung mit der Eintrittswahrscheinlichkeit kann so ein Risiko-Szenario gegeben sein. Eine Bedrohung ist dabei ein Ereignis oder Umstand, durch den ein Schaden entstehen kann, so etwa technisches Versagen, menschliche Fehlhandlungen oder höhere Gewalt. Schwachstellen sind sicherheitsrelevante Fehler eines IT-Systems oder im Datenschutz Schwachstellen des Datenschutzmanagements. Ursachen dafür können in deren Konzeption, den verwendeten Algorithmen, der Implementation, der Konfiguration, technischen Einschränkungen und dem Betrieb liegen.

Aufstellen eines wirksamen Verfahrens zur Risikoermittlung

Bei Risikobewertungen handelt es sich stets um Prognoseentscheidungen. Risiken stehen also nie fest, sondern variieren. Da die Risikobewertung einer Nachweis- und Rechenschaftspflicht unterliegt, an der sich auch angemessene TOM festmachen können, sind Methodik und Dokumentation in der Risikobewertung dringend erforderlich. Da die Risikoerfassung vor allem auch von persönlichen Erfahrungen und Wahrnehmungen geleitet wird, empfiehlt es sich in der Praxis ein gutes Team für die Risikoerfassung und Bewertung zusammenzustellen, eine einzelne Person damit zu befassen ist selten ausreichend. In der Ermittlung eines einheitlichen Verfahrens zur Identifikation und Bewertung von Risiken sollte Wert auf eine plausible, vollständige und qualitative Dokumentation dieser gelegt werden.

Im Aufstellen eines Verfahrens zur Risikoermittlung gilt es mehrere notwendige Schritte zu befolgen, angefangen mit dem Festlegen eines Vorgehens. Hier wird eine Methodik ausgewählt, mittels derer Risiken identifiziert werden sollen. Anschließend sollte das bereits angesprochene Team zusammengestellt werden, das mit der Aufgabe befasst wird. Sodann müssen die Schutzziele definiert werden, die einem Risiko ausgesetzt sein können. Außerdem sind Schutzadressaten und Angreifer-Typen festzulegen. Zudem muss entschieden werden, welchen Detailgrad die Risikoanalyse haben soll. Dies hängt vor allem davon ab, worauf die Analyse abzielt. Sollen technische und organisatorische Maßnahmen für das ganze Unternehmen festgelegt werden, kann ein weiter Blick empfehlenswert sein. Geht es um dezidierte Unternehmensbereiche, ist ein detaillierterer Blick notwendig. Sodann ist zu entscheiden, ob Risiken mittels User Stories oder Data-flows aufgezeichnet werden sollen, d.h. sollen Risiken szenario- oder prozessbasiert identifiziert werden.

Schadenshöhe, Eintrittswahrscheinlichkeit und Risikomatrix

Um die Höhe eines Risikos zu bemessen, werden Schadenshöhe (Schwere des Schadens/der negativen Konsequenzen für ein Unternehmen) und Eintrittswahrscheinlichkeit miteinander multipliziert. Dafür werden beide Faktoren in unterschiedliche Grade aufgeteilt, denen der vorliegende Sachverhalt zugeordnet werden kann. Das Ergebnis lässt sich dadurch in einer Matrix zur nachvollziehbaren Risikobewertung darstellen. Bei einer Aufteilung von Eintrittswahrscheinlichkeit und Schadenshöhe in vier Stufen ließen sich diese beispielsweise als geringfügig, überschaubar, substanziell und groß bezeichnen. Das daraus resultierende Risiko ließe sich dann in einer vierstufigen Skala z.B. den Werten „niedrig, mittel, hoch, sehr hoch“ zuordnen. Aus dem Ergebnis dieser Risikobewertung lassen sich dann die vorzunehmenden technischen und organisatorischen Maßnahmen schließen.


Das könnte Sie auch interessieren:


Ableitung wirksamer Maßnahmen – effiziente TOM zur Risikoverringerung

Grundsätzlich sollte es die erste Wahl sein, einem erkannten Risiko mit effizienten technischen und organisatorischen Maßnahmen zu begegnen. Alternativen wären die Risikoauslagerung, -vermeidung oder -akzeptanz. Die Risikomitigierung durch TOM stellt jedoch den häufigsten und nachhaltigsten Weg des Umgangs mit Risiken dar. Dabei sollten sich die gewählten Maßnahmen stets an verbreiteten Standards orientieren, so z.B. an verschiedenen ISO-Normen (z.B. ISO 27001) oder an einem vom Bundesamt für Sicherheit in der Informationstechnik (BSI) dafür herausgegebenen Kompendium. Die gewählten Maßnahmen sollten sodann in einem PlanDoCheckAct-Zyklus (PDCA-Zyklus) umgesetzt werden.

Zunächst ist zu prüfen, welche TOM bereits realisiert wurden. Hier kann es sich um organisatorische sowie technische Maßnahmen, Schulungen oder weitere Maßnahmen handeln. Zu den organisatorischen Maßnahmen zählt das Bestimmen von Zuständigkeiten, das Aufstellen von Leitlinien zu Datenschutz oder Informationssicherheit sowie die Erarbeitung von Richtlinien, etwa zu einem Back-up- oder Berechtigungskonzept. Im Rahmen der technischen Maßnahmen sollte in erster Linie geprüft werden, inwieweit bereits implementierte Maßnahmen auch dokumentiert wurden bzw. noch dokumentiert werden müssen. In Form von Schulungen lassen sich Mitarbeitende regelmäßig zu Datenschutzrisiken fortbilden, schon dadurch können Datenschutzrisiken erheblich minimiert werden. Hier sind ein Schulungskonzept und eine Messung des Schulungserfolges wichtig. Weitere Maßnahmen umfassen beispielsweise die Dokumentation von Geschäftsprozessen und das Aufstellen von Datenfluss Diagrammen, die geeignete Maßnahmen indizieren können.

Daraufhin setzt die Umsetzung des PDCA-Zyklus ein. In der Planungsphase werden dokumentierte Risiken ausgewertet, Kosten geschätzt, Ziele formuliert und ein Umsetzungsplan für Maßnahmen erstellt. In der Do-Phase sind die Verantwortlichkeiten zu prüfen, Prioritäten zu regeln und die gewählten Maßnahmen zu implementieren. In der darauffolgenden Check-Phase werden die laufend zu überwachenden Maßnahmen auf ihre Wirksamkeit geprüft. In der letzten, der Act-Phase, werden die gewählten Maßnahmen optimiert und Mängel beseitigt. Gegebenenfalls werden Richtlinien angepasst oder neue erstellt. Sofern noch vorhanden, können Restrisiken, wenn sinnvoll, akzeptiert und die anfangs formulierten Ziele aktualisiert werden.

TOM mit ISiCO und dem Risikomanagement-Tool von caralegal

Gerne stehen die Datenschutz-Expert:innen von ISiCO bei der datenschutzrechtlichen Risikoanalyse und der Umsetzung eines Maßnahmenkatalogs sowie bei der Implementierung von IT-Sicherheits- und Datenschutzkonzepten in Unternehmen zur Seite. Erfahrene Expert:innen aus dem interdisziplinären Team von ISiCO unterstützen Unternehmen vor Ort und eruieren sämtliche Informationen, die erforderlich sind, um eine Datenschutzorganisation zu etablieren oder bereits bestehende zu optimieren. Zudem prüfen unsere Kolleg:innen einzelfallbasiert und unter Berücksichtigung betrieblicher Situationen bereits vorhandene TOM und geben Empfehlungen für die Auswahl der jeweils angemessenen Maßnahmen. Dies umfasst die Betreuung während des gesamten Maßnahmen-Zyklus.

Zudem steht mit dem Datenschutz- und Risikomanagement-Tool von ISiCO-Partner caralegal eine leistungsstarke Software zur Verfügung, die Unternehmen im Umgang mit Datenschutzrisiken effizient behilflich ist. Das Tool ermöglicht es, Risiken in der Datenverarbeitung entweder allgemein oder verarbeitungsspezifisch aufzunehmen. Nachdem ein Risiko individuell angelegt und beschrieben wurde, kann die Software auf Basis der bereits getroffenen Maßnahmen eine dezidierte Risikobewertung abgeben. Hierfür wird sich unter anderem der bereits besprochenen Risiko-Matrizen bedient. In einem nächsten Schritt lassen sich zukünftig noch zu ergreifende Maßnahmen der Risikobehandlung angeben. Anhand dessen wird das nun noch vorhandene Risiko auf Basis von Eintrittswahrscheinlichkeit und Schadenshöhe automatisiert ermittelt. Damit kann das Tool wirksam bei der Mitigierung von Risiken durch die Auswahl effizienter TOM unterstützen.

Mehr zum Thema

  • Die NIS-2-Richtlinie: Die wichtigsten Ziele und Regelungen

    Nach Inkrafttreten der NIS-2-Richtlinie am 16. Januar 2023 verbleiben Deutschland und anderen den EU-Mitgliedsstaaten nunmehr 21 Monate, um die Regelungen in nationales Recht umzusetzen und bestehende Regelungen an die neue Rechtslage anzupassen. Doch auch für die betroffenen Unternehmen besteht bereits jetzt Handlungsbedarf. Welche Neuerungen ergeben sich und was müssen Unternehmen jetzt beachten? Wir geben Ihnen in diesem Beitrag einen Überblick.

    Weiterlesen

  • EuGH Entscheidung zu Auskunftsersuchen

    Meldung: EuGH-Entscheidung zu Auskunftsersuchen nach Art. 15 DSGVO

    EuGH-Entscheidung zu Auskunftsersuchen nach Art. 15 DSGVO: Werden personenbezogene Daten offengelegt, dann muss der Verantwortliche über die konkrete Identität des Empfängers Auskunft erteilen.

    Weiterlesen

  • Google Fonts Datenschutz

    Google Fonts und Google Analytics – Können die Tools noch datenschutzkonform genutzt werden?

    Die Nutzung von Google Fonts und Google Analytics bringen datenschutzrechtliche Risiken mit sich, insbesondere nachdem europäische Gerichte und Datenschutzbehörden ihre Verwendung immer kritischer sehen. Wir geben daher einen Überblick über die Rechtslage.

    Weiterlesen