Datenschutz-Risikoanalyse

Risikoanalyse im Datenschutz

Wir erklären Ihnen, was eine Datenschutz-Risikoanalyse ist und wie Sie am besten vorgehen.

  • Über 1000 Kunden in Deutschland und Europa
  • Team von 55+ Datenschutzexperten
  • DEKRA- und TÜV-zertifizierte Experten

Jetzt anrufen

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr

Das Wort „Risikomanagement“ ist für viele Unternehmer kein Fremdwort – und doch ist es, in Verbindung mit der Datenschutzgrundverordnung, für viele ein Buch mit sieben Siegeln. Das aber muss es nicht sein, denn die Datenschutz-Risikoanalyse gleicht einer herkömmlichen Risikoanalyse.

Eine DSGVO-Risikoanalyse ist die Beurteilung, ob durch eine falsche oder fehlerhafte Verarbeitung personenbezogener Daten (z. B. durch einen Newsletter-Versand) ein Risiko für die Rechte und Freiheiten einer betroffenen Person entstehen kann. Um dieses potenzielle Risiko besser einschätzen zu können und um zu evaluieren, ob eine Datenschutz-Folgenabschätzung notwendig ist, muss eine Bewertung vorgenommen werden, wann etwas als risikoreich einzustufen ist.

Einfaches Datenschutz-Risikomanagement mit proliance360

Als Nutzer der datenschutzexperte.de-Software proliance360 wird Ihnen die Risikoanalyse und die Risikobewertung im Datenschutzbereich erheblich erleichtert. Die Software analysiert durch ihre intelligente Logik systematisch die gestellte Problematik und gibt dem Nutzer konkrete Maßnahmen an die Hand. proliance360 führt Schritt für Schritt durch die Datenschutz-Risikoanalyse:

  • Nachdem Sie im Rahmen eines digitalen Audits verschiedene Prozessaudits durchlaufen haben, erhalten Sie digital einen detaillierten Maßnahmenplan, anhand dessen Sie in Ihrem Unternehmen mit Unterstützung zahlreicher Vorlagen und Muster etwaige Lücken im Datenschutzmanagement schließen können.

  • Je mehr Lücken geschlossen werden, desto höher steigt Ihr Compliance Score, der Ihnen als Art Risikoindikator dient. So können Sie auf einen Blick sehen, wie gut Ihr Unternehmen im DSGVO-Risikomanagement aufgestellt ist und welche Maßnahmen eventuell noch ergriffen werden müssen.

  • Alle Schritte werden automatisch digital dokumentiert. So können Sie den Dokumentationspflichten der DSGVO einfach und unkompliziert nachkommen.

Aufbau einer Datenschutz-Risikoanalyse

Die Risikoanalyse im Datenschutz stützt sich wie eine herkömmliche Risikoanalyse zur Beurteilung vor allem auf zwei Eckpfeiler: Die Eintrittswahrscheinlichkeit und die Schwere des Schadens. Aus Betroffenensicht müssen anhand dieser Kriterien systematisch etwaige Risiken ausgemacht, beurteilt und dokumentiert werden. Dass bei diesem Risikomanagement nach der DSGVO vom Beurteilenden die Sicht der betroffenen Person eingenommen werden muss, hebt diese Art der Risikoanalyse von herkömmlichen Risikoanalysen und Durchführungen ab.

Obwohl die DSGVO einem risikobasierten Ansatz folgt, definiert sie nicht, was unter einem Datenschutz-Risiko zu verstehen ist. Unter Erwägungsgrund 75 der DSGVO sind jedoch unterschiedliche Datenschutzrisiken aus Betroffenensicht aufgeführt, die aber einiges an Interpretationsspielraum lassen. Diese Datenschutzrisiken beziehen sich auf personenbezogene Daten und sind unter anderem:

  • Diskriminierung

  • Identitätsdiebstahl oder -betrug

  • Finanzieller Verlust

  • Rufschädigung

  • Andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile


Unsere Leistungspakete für den externen Datenschutzbeauftragten und die Datenschutzsoftware proliance360

Wählen Sie das für Sie passende Leistungspaket - von der kostenbewussten Basisabsicherung bis hin zur individuellen Premiumberatung unserer zertifizierten Datenschutzexperten. Die Basis unseres Angebots ist dabei stets die innovative Datenschutzplattform proliance360.


Vorgehen für ein sicheres Datenschutz-Risikomanagement im Unternehmen

Es gibt verschiedene Datenschutz-Schutzstufen, die Sie im DSGVO-Risikomanagement beachten müssen. Um abzuwägen, wie risikobehaftet eine Situation und damit die Eintrittswahrscheinlichkeit ist und ob eine Datenschutz-Folgenabschätzung gebraucht wird, empfiehlt es sich, Folgendes zu überprüfen:

1.

Wie wahrscheinlich ist es, dass ein bestimmtes Ereignis mit potenziell negativen Folgen eintritt?

Dies kann anhand der folgenden Kriterien beurteilt werden:

  • Missbrauchsinteresse: Wie relevant sind die Daten für Dritte, beispielsweise, um einen Identitätsdiebstahl durchzuführen?

  • Aufwand, der benötigt wird, um den bestimmten Schaden zu verursachen?

  • Entdeckungsrisiko: Wie hoch sind die Sicherheitsvorkehrungen und wie schnell wird ein Missbrauch entdeckt werden?

  • Verarbeitungshäufigkeit: Wie oft werden die betroffenen Daten verarbeitet, wobei eine Manipulation möglich wäre?

Zur Einstufung der Wahrscheinlichkeit werden die Stufen „niedrig“, „mittel“, „hoch“ und „sehrhoch“ empfohlen.

2.

Wie hoch ist das Risiko für Betroffene hinsichtlich der verschiedenen Lebensbereiche?

Auch hierbei empfiehlt es sich, ebenfalls auf qualitativ bewertbare Kriterien zurückzugreifen, um die Schwere des Risikos für einen Betroffenen abbilden zu können. Ansatzpunkte hierfür wären etwa:

  • Einschnitte in das informationelle Selbstbestimmungsrecht eines Betroffenen: Wurden personenbezogene Daten z. B. unzulässigen Marketingzwecken zugeführt?

  • Finanzielle Auswirkungen: Entstehen dem Betroffenen Zusatzkosten oder gar unschätzbare finanzielle Belastungen, etwa durch einen Identitätsdiebstahl?

  • Soziale Folgen für den Betroffenen: Wurden hochsensible personenbezogene Daten öffentlich bekannt, etwa zur sexuellen oder politischen Orientierung, und resultieren daraus Ausgrenzung, Mobbing oder Diskriminierung?

  • Gesundheitliche Auswirkungen: Leidet der Betroffene als Resultat unter psychischen und physischem Stress bis hin zu schweren Depressionen?

Zur Einstufung der Schwere werden ebenfalls die Stufen „niedrig“, „mittel“, „hoch“ und „sehr hoch“ empfohlen.

Beispielfall einer Risikoanalyse: IT-Risikoanalyse

In der Praxis empfiehlt es sich, eine solche Datenschutz-Risikoanalyse für ein Unternehmen nach einem bestimmten Muster vorzunehmen. Dieses kann beispielsweise wie folgt aussehen:

  • Ausgangsszenario: Ein Unternehmen hat nur einen IT-Sicherheitsangestellten, der der Einzige ist, der mit dem Vorgehen bei einer Datenschutzverletzung vertraut ist.

  • Risiko-Szenario: Ausfall des IT-Sicherheitsangestellten durch Krankheit

  • Beschreibung eines potenziellen Schadens: Datenschutzverletzung, beispielsweise durch einen Virus, der bei einem Mitarbeiter in einer Mail versteckt war und personenbezogene Daten abgreift

  • Schwachstelle: IT-Sicherheitsangestellter ist ohne Vertreter

  • Auswirkung des Schadens: Im schlimmsten Fall wird das ganze Unternehmens-Netzwerk befallen, die Arbeit kommt zum Erliegen

  • Grund für das Eintreten des Szenarios: Der IT-Sicherheitsmitarbeiter ist ohne qualifizierte Vertretung, Know-How liegt bei einer Person

  • Schadensklasse: Sehr hoch

  • Eintrittswahrscheinlichkeit: hoch

Infografik Matrix Risikoanalyse









Wenn Sie sich unsicher sind, wie Sie ein Risiko bewerten sollen, dann können Sie es auch anhand einer Matrix visuell darstellen. Das oben herangezogene IT-Risiko-Beispiel kann so in einer gebräuchlichen Risikomatrix verdeutlicht und eingeordnet werden.

Sollten Sie zu diesem Thema konkrete Fragen haben, beispielsweise, wie Sie solche Risikoanalysen für Ihr Unternehmen umsetzen können ober ob Sie für ein bestimmtes Szenario eine Datenschutz-Folgenabschätzung (DSFA) brauchen, hilft Ihnen ein externer Datenschutzexperte jederzeit weiter.


Muster-Risikoanalyse zum Download

Zu Dokumentations- und Übersichtszwecken ist es ratsam, eine Risikoanalyse im Datenschutz schriftlich vorzunehmen. Hierfür am besten geeignet sind tabellarische Vorlagen. Ein solches Risikoanalyse-Muster bieten wir Ihnen folgend zum Download an. Der oben aufgeführte exemplarische IT-Risikoanalyse-Fall ist bereits als Orientierungsbeispiel in der Tabelle eingetragen.

Zum Risikoanalyse-Muster


Unsere Leistungen im Überblick

Mit unserer Datenschutzsoftware proliance360 helfen wir Ihnen, Ihren Unternehmens-Datenschutz systematisch Schritt für Schritt umzusetzen. So stellen Sie Ihr Unternehmen sicher für den Datenschutz auf!

Die Schritte der Software proliance360 auf dem Weg zur Datenschutzkonformität umfassen dabei:


Aktuelle Beiträge zum Thema Datenschutz & Risikoanalyse