Datenschutz-Risikoanalyse

Risikoanalyse im Datenschutz

Wir erklären Ihnen, was eine Datenschutz-Risikoanalyse ist und wie Sie am besten vorgehen.

  • Über 2.000 Kunden in Deutschland und Europa
  • Team von 80+ Fachexperten
  • DEKRA- und TÜV-zertifiziertes Expertenteam

Zur Checkliste

Das Wort „Risikomanagement“ ist für viele Unternehmer kein Fremdwort – und doch ist es, in Verbindung mit der Datenschutzgrundverordnung, für viele ein Buch mit sieben Siegeln. Das aber muss es nicht sein, denn die Datenschutz-Risikoanalyse gleicht einer herkömmlichen Risikoanalyse.

Eine DSGVO-Risikoanalyse ist die Beurteilung, ob durch eine falsche oder fehlerhafte Verarbeitung personenbezogener Daten (z. B. durch einen Newsletter-Versand) ein Risiko für die Rechte und Freiheiten einer betroffenen Person entstehen kann. Um dieses potenzielle Risiko besser einschätzen zu können und um zu evaluieren, ob eine Datenschutz-Folgenabschätzung notwendig ist, muss eine Bewertung vorgenommen werden, wann etwas als risikoreich einzustufen ist.

Inhalt Risikoanalyse

1. Einfaches Datenschutz-Risikomanagement mit Proliance 360

2. Aufbau einer Datenschutz-Risikoanalyse

3. Vorgehen für ein sicheres Datenschutz-Risikomanagement im Unternehmen

4. Beispielfall einer Risikoanalyse: IT-Risikoanalyse

5. Muster Risikoanalyse zum Download

Unsere Software wächst weiter: Durch praxisorientierte Workflows und kontextbezogene Hilfestellungen werden Risikobewertungen effizient und rechtssicher nach den gesetzlichen Vorgaben umsetzbar – inklusive Dokumentation. Das Modul bietet eine einfache und anwenderfreundliche Lösung dafür, den komplexen datenschutzrechtlichen Pflichten im Bereich der Risikobewertungen von Verarbeitungstätigkeiten nachzukommen und Unternehmensrisiken zu minimieren. Gerne beraten wir Sie auch persönlich zu diesem Modul.

Laptop mit Animation des Risikoewertungsmoduls der Datenschutzsoftware Proliance 360

Aufbau einer Datenschutz-Risikoanalyse

Die Risikoanalyse im Datenschutz stützt sich wie eine herkömmliche Risikoanalyse zur Beurteilung vor allem auf zwei Eckpfeiler: Die Eintrittswahrscheinlichkeit und die Schwere des Schadens. Aus Betroffenensicht müssen anhand dieser Kriterien systematisch etwaige Risiken ausgemacht, beurteilt und dokumentiert werden. Dass bei diesem Risikomanagement nach der DSGVO vom Beurteilenden die Sicht der betroffenen Person eingenommen werden muss, hebt diese Art der Risikoanalyse von herkömmlichen Risikoanalysen und Durchführungen ab.

Obwohl die DSGVO einem risikobasierten Ansatz folgt, definiert sie nicht, was unter einem Datenschutz-Risiko zu verstehen ist. Unter Erwägungsgrund 75 der DSGVO sind jedoch unterschiedliche Datenschutzrisiken aus Betroffenensicht aufgeführt, die aber einiges an Interpretationsspielraum lassen. Diese Datenschutzrisiken beziehen sich auf personenbezogene Daten und sind unter anderem:

  • Diskriminierung

  • Identitätsdiebstahl oder -betrug

  • Finanzieller Verlust

  • Rufschädigung

  • Andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile


Unsere Leistungspakete für den externen Datenschutzbeauftragten und die Datenschutzsoftware Proliance 360

Wählen Sie das für Sie passende Leistungspaket - von der kostenbewussten Basisabsicherung bis hin zur individuellen Premiumberatung unserer zertifizierten Datenschutzexperten. Die Basis unseres Angebots ist dabei stets die innovative Datenschutzplattform Proliance 360.


Vorgehen für ein sicheres Datenschutz-Risikomanagement im Unternehmen

Es gibt verschiedene Datenschutz-Schutzstufen, die Sie im DSGVO-Risikomanagement beachten müssen. Um abzuwägen, wie risikobehaftet eine Situation und damit die Eintrittswahrscheinlichkeit ist und ob eine Datenschutz-Folgenabschätzung gebraucht wird, empfiehlt es sich, Folgendes zu überprüfen:

1.

Wie wahrscheinlich ist es, dass ein bestimmtes Ereignis mit potenziell negativen Folgen eintritt?

Dies kann anhand der folgenden Kriterien beurteilt werden:

  • Missbrauchsinteresse: Wie relevant sind die Daten für Dritte, beispielsweise, um einen Identitätsdiebstahl durchzuführen?

  • Aufwand, der benötigt wird, um den bestimmten Schaden zu verursachen?

  • Entdeckungsrisiko: Wie hoch sind die Sicherheitsvorkehrungen und wie schnell wird ein Missbrauch entdeckt werden?

  • Verarbeitungshäufigkeit: Wie oft werden die betroffenen Daten verarbeitet, wobei eine Manipulation möglich wäre?

Zur Einstufung der Wahrscheinlichkeit werden die Stufen „niedrig“, „mittel“, „hoch“ und „sehr hoch“ empfohlen.

2.

Wie hoch ist das Risiko für Betroffene hinsichtlich der verschiedenen Lebensbereiche?

Auch hierbei empfiehlt es sich, ebenfalls auf qualitativ bewertbare Kriterien zurückzugreifen, um die Schwere des Risikos für einen Betroffenen abbilden zu können. Ansatzpunkte hierfür wären etwa:

  • Einschnitte in das informationelle Selbstbestimmungsrecht eines Betroffenen: Wurden personenbezogene Daten z. B. unzulässigen Marketingzwecken zugeführt?

  • Finanzielle Auswirkungen: Entstehen dem Betroffenen Zusatzkosten oder gar unschätzbare finanzielle Belastungen, etwa durch einen Identitätsdiebstahl?

  • Soziale Folgen für den Betroffenen: Wurden hochsensible personenbezogene Daten öffentlich bekannt, etwa zur sexuellen oder politischen Orientierung, und resultieren daraus Ausgrenzung, Mobbing oder Diskriminierung?

  • Gesundheitliche Auswirkungen: Leidet der Betroffene als Resultat unter psychischen und physischem Stress bis hin zu schweren Depressionen?

Zur Einstufung der Schwere werden ebenfalls die Stufen „niedrig“, „mittel“, „hoch“ und „sehr hoch“ empfohlen.


Wie ist Ihr Unternehmen aufgestellt?

Gerade Unternehmen sollten bei der Bewertung der Risiken von Verarbeitungstätigkeiten über die wichtigsten Aspekte im Bilde sein, da es sich um eine zentrale datenschutzrechtliche Pflicht handelt. Kenntnisse über die Durchführung zielgerichteter, praxisorientierter Risikobewertungen verringern die unternehmerischen Herausforderungen in puncto Datenschutz und können somit zu einer Vermeidung von:

  • Reputationsverlust oder 

  • hohen Bußgeldern bzw. gar Schadensersatzforderungen beitragen. 

Jetzt Checkliste herunterladen und prüfen, wie es um Risikobewertungen und Datenschutz-Folgenabschätzungen in Ihrem Unternehmen steht.

Wir unterstützen Sie bei Risikobewertungen und Datenschutz-Folgenabschätzung im Unternehmen

Wenn Sie sich unsicher sind oder gerne eine Anleitung für das Nachkommen Ihrer datenschutzrechtlichen Pflichten wünschen, dann hilft die Software Proliance 360 weiter: Proliance 360 unterstützt Sie beim Erkennen und Minimieren von Risiken von Verarbeitungstätigkeiten, indem Ihnen das Tool unter anderem vorgedachte und insbesondere praxistaugliche Lösungen an die Hand gibt.

Zusätzlich steht Ihnen natürlich Ihr externer Datenschutzbeauftragter von datenschutzexperte.de zur Seite: Er wird Ihnen schnell und zuverlässig bei der Risikobewertung von Verarbeitungstätigkeiten helfen. Sollten bereits hohe Risiken identifiziert worden sein, wird Sie Ihr externer Datenschutzbeauftragter professionell beim weiteren Vorgehen unterstützen.

Mehr zum Thema Risikobewertung und Datenschutz-Folgenabschätzung erfahren Sie außerdem in unserem Blogartikel: DSFA – wann ist eine Datenschutz-Folgenabschätzung nötig?

Deckblatt der Checkliste zum Thema Risikobewertungen und DSFA

Download: Checkliste

Risikobewertungen und Datenschutz-Folgenabschätzungen

Beispielfall einer Risikoanalyse: IT-Risikoanalyse

In der Praxis empfiehlt es sich, eine solche Datenschutz-Risikoanalyse für ein Unternehmen nach einem bestimmten Muster vorzunehmen. Dieses kann beispielsweise wie folgt aussehen:

  • Ausgangsszenario: Ein Unternehmen hat nur einen IT-Sicherheitsangestellten, der der Einzige ist, der mit dem Vorgehen bei einer Datenschutzverletzung vertraut ist.

  • Risiko-Szenario: Ausfall des IT-Sicherheitsangestellten durch Krankheit

  • Beschreibung eines potenziellen Schadens: Datenschutzverletzung, beispielsweise durch einen Virus, der bei einem Mitarbeiter in einer Mail versteckt war und personenbezogene Daten abgreift

  • Schwachstelle: IT-Sicherheitsangestellter ist ohne Vertreter

  • Auswirkung des Schadens: Im schlimmsten Fall wird das ganze Unternehmens-Netzwerk befallen, die Arbeit kommt zum Erliegen

  • Grund für das Eintreten des Szenarios: Der IT-Sicherheitsmitarbeiter ist ohne qualifizierte Vertretung, Know-How liegt bei einer Person

  • Schadensklasse: Sehr hoch

  • Eintrittswahrscheinlichkeit: hoch

Beispielsfall einer Risikoanalyse: IT-Risikoanalyse - Risikomatrix

Wenn Sie sich unsicher sind, wie Sie ein Risiko bewerten sollen, dann können Sie es auch anhand einer Matrix visuell darstellen. Das oben herangezogene IT-Risiko-Beispiel kann so in einer gebräuchlichen Risikomatrix verdeutlicht und eingeordnet werden.

Sollten Sie zu diesem Thema konkrete Fragen haben, beispielsweise, wie Sie solche Risikoanalysen für Ihr Unternehmen umsetzen können ober ob Sie für ein bestimmtes Szenario eine Datenschutz-Folgenabschätzung (DSFA) brauchen, hilft Ihnen ein externer Datenschutzexperte jederzeit weiter.


Muster-Risikoanalyse zum Download

Zu Dokumentations- und Übersichtszwecken ist es ratsam, eine Risikoanalyse im Datenschutz schriftlich vorzunehmen. Hierfür am besten geeignet sind tabellarische Vorlagen. Ein solches Risikoanalyse-Muster bieten wir Ihnen folgend zum Download an. Der oben aufgeführte exemplarische IT-Risikoanalyse-Fall ist bereits als Orientierungsbeispiel in der Tabelle eingetragen.

Zum Risikoanalyse-Muster


Unsere Leistungen im Überblick

Mit unserer Datenschutzsoftware Proliance 360 helfen wir Ihnen, Ihren Unternehmens-Datenschutz systematisch Schritt für Schritt umzusetzen. So stellen Sie Ihr Unternehmen sicher für den Datenschutz auf!

Die Schritte der Software Proliance 360 auf dem Weg zur Datenschutzkonformität umfassen dabei:


Aktuelle Beiträge zum Thema Datenschutz & Risikoanalyse

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr