DSGVO-Risikobewertung – ist das wirklich so schlimm?

Service

Die Organisation, die personenbezogene Daten verarbeitet, sollte geeignete Verfahren entwickeln und umsetzen, die den Schutz personenbezogener Daten gewährleisten. Jeder Mitarbeiter einer bestimmten Organisation sollte geschult sein und mit seinen Aufgaben im Bereich des Schutzes personenbezogener Daten vertraut sein. Nur Mitarbeiter, die sich ihrer Aufgaben bewusst sind, können ihre geltenden Verfahren korrekt anwenden. Um geeignete Maßnahmen zum Schutz personenbezogener Daten umsetzen zu können, helfen sicherlich eine Risikobewertung und -analyse. Wie sieht die Risikobewertung in der DSGVO aus?

Ein risikobasierter Ansatz im Sinne der DSGVO

Der risikobasierte Ansatz ist die Berücksichtigung von Risiken in jeder Betriebsphase (Planung, Ausführung, Implementierung, Verbesserung).

Wichtig!

Im Fall der DSGVO sind Risiken alle Ereignisse, die die Sicherheit personenbezogener Daten gefährden.

Eine Verletzung des Schutzes personenbezogener Daten bedeutet eine Sicherheitsverletzung, die zu versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Änderung, unbefugter Offenlegung oder unbefugtem Zugriff auf übertragene, gespeicherte oder anderweitig verarbeitete personenbezogene Daten führt.

Um eine Verletzung des Schutzes personenbezogener Daten zu verhindern, sollten Unternehmen eine Risikoanalyse durchführen. Sie erfolgt auf Basis einer Gefährdungsbeurteilung.

Was ist Risikobewertung in der DSGVO?

Die Risikobewertung in der DSGVO ist der Prozess des Vergleichens der Ergebnisse einer Risikoanalyse mit Risikokriterien (z. Die Wirkung der Risikobewertung ist ihre qualitative Einschätzung (z. B. „vernachlässigbar“, „gering“, „hoch“) oder eine quantitative Beschreibung ihrer Größe (in der angenommenen Schwellenwertskala, z. B. 0-2, 3-5, 6-10) .

Basierend auf der Risikobewertung kann das Unternehmen geeignete Maßnahmen ergreifen, um deren Auswirkungen zu verhindern oder zu minimieren – entsprechend der Größe und Eintrittswahrscheinlichkeit des vom Unternehmen identifizierten Risikos im Zusammenhang mit dem Schutz personenbezogener Daten.

Der Risikobewertung in der DSGVO sollte eine Analyse vorausgehen. Es handelt sich um eine Schätzung der Wahrscheinlichkeit und Auswirkungen des Eintritts zuvor identifizierter Risiken.

Wie führt man eine Risikoanalyse durch?

Die Risikobewertung in der DSGVO ist die Identifizierung von Bedrohungen, die im Unternehmen zum Schutz personenbezogener Daten auftreten. Um die Analyse durchzuführen, müssen Sie nur:

  • eine Bestandsaufnahme der verarbeiteten personenbezogenen Daten durchführen (sehen Sie sich jeden Ort an, sei es im Computer oder im Schrank, wo personenbezogene Daten erhoben werden) und definieren Sie den Zweck der Verarbeitung dieser Daten,

  • für jede Art der Verarbeitung festzustellen, ob die Daten rechtmäßig verarbeitet werden und auf welcher Rechtsgrundlage,

  • eine Liste von Bedrohungen definieren, die zu einer Verletzung des Schutzes personenbezogener Daten führen können, z.B. Hackerangriff, unbefugter Zugang, Einbruch in ein Gebäude,

  • die Wahrscheinlichkeit eines bestimmten Risikos zuordnen (z. B. basierend auf der Häufigkeit seines Auftretens in der Vergangenheit),

  • Wesen und Gewicht eines bestimmten Risikos zuordnen - z.B. die Höhe des Schadens, den dieses Ereignis in Bezug auf die betroffene Person verursachen kann,

  • die Folgen des Eintritts eines bestimmten Risikos beschreiben, z.B. Verletzung des Rechts auf Schutz personenbezogener Daten, Verletzung des Rechts auf Privatsphäre,

  • (Abhilfe-)Maßnahmen definieren, um das Eintreten des Risikos zu verhindern oder, falls es nicht vermieden werden kann, Maßnahmen zur Risikominimierung festzulegen, z.B. Einsatz von Antiviren-Software, Gebäudealarm.

Die Risikoanalyse in der DSGVO ermöglicht es Ihnen, die Bedrohungen, die das Unternehmen am stärksten bedrohen und sofortiges Handeln erfordern, genau zu betrachten.

Die Risikoanalyse ist vergleichbar mit einem Informationssicherheitsmanagementsystem (ISMS) – und bei DSGVO und ZBI geht es darum, Risiken zu erkennen und geeignete Maßnahmen zum Schutz der Informationssicherheit zu ergreifen. Welche Sicherheitsmaßnahmen anzuwenden sind, entscheidet der Verantwortliche, z. Jedes Unternehmen hat ein anderes Geschäftsprofil, in einem können einige Daten einem höheren Risiko ausgesetzt sein und ihr Verstoß kann eine kritische Auswirkung auf eine bestimmte Person haben, während in einem anderen ein diesbezüglicher Verstoß eine minimale Bedrohung für das Subjekt darstellen kann persönliche Daten. Daher sollten Unternehmen Lösungen definieren, die dem Umfang ihrer Tätigkeit, der Art der Datenverarbeitung, dem Risiko einer bestimmten Bedrohung und ihren finanziellen Möglichkeiten entsprechen (z. B. kann sich ein kleines Unternehmen nicht die gleichen Lösungen leisten wie ein großes Unternehmen ). Die einzige Anforderung der DSGVO in dieser Hinsicht besteht darin, dass die vorgeschlagenen und angewendeten Lösungen zur Gewährleistung der Informationssicherheit wirksam sind und die betroffenen Personen schützen.

Risikoanalyse und -bewertung in der DSGVO – ein Beispiel

Ein Beispiel für ein Risikoanalyse- und Bewertungsblatt in der DSGVO kann so aussehen:

   

Risiko - die Möglichkeit eines Ereignisses, das sich auf das Risiko einer Verletzung des Schutzes personenbezogener Daten auswirkt. Das Risiko sollte berücksichtigt werden, indem externe Faktoren (Ereignisse, die eintreten können, aber nicht von den Aktivitäten des Unternehmens abhängen) und interne Faktoren (Ereignisse, die vom Unternehmen beeinflusst werden) berücksichtigt werden.

Risikoquellen - Dies sind Situationen, die das Auftreten einer bestimmten Bedrohung verursachen können

Auswirkung des Risikoeintritts - Wenn Sie ermitteln, was passieren könnte, wenn ein bestimmtes Risiko eintritt, können Sie hier die Höhe des Schadens, den das Ereignis für die betroffenen Personen verursachen kann, und die Auswirkungen auf das Unternehmen erfassen.

Risikobewertung in der DSGVO – dies bestimmt, ob ein bestimmtes Risiko akzeptabel oder inakzeptabel ist. Die Risikobewertung erfolgt meistens nach vom Unternehmen festgelegten Kriterien, beispielsweise nach Häufigkeit oder Eintrittswahrscheinlichkeit eines bestimmten Risikos sowie dessen Wesen und Schwere.

Die empfohlene Lösung besteht darin, Sicherheitsmaßnahmen zu definieren, um ein bestimmtes Risiko zu verhindern.

Wirksamkeit der Maßnahmen - Es ist eine Bewertung, ob sich die angewandten Präventivmaßnahmen als wirksam erwiesen haben.

Aktualisierung der Risikoreaktionspläne – Wenn sich die angewendeten Sicherheitsmaßnahmen nicht als wirksam erwiesen haben, geben Sie in diesem Feld eine andere Methode an, die das Risiko verhindert oder minimiert.

Denken Sie daran, dass sich Risiken im Laufe der Zeit ändern und neue Korrekturmaßnahmen erfordern, daher ist es wichtig, das Dokument regelmäßig zu überprüfen (Risikoanalyseüberwachung) und die Risiken kontinuierlich zu analysieren und zu bewerten. Es reicht nicht aus, ein Dokument nur einmal zu erstellen.

Risikobewertung in der DSGVO und das Prinzip der Rechenschaftspflicht

Der Grundsatz des risikobasierten Ansatzes steht in engem Zusammenhang mit dem Grundsatz der Rechenschaftspflicht. Letzteres erfordert, dass eine Risikobewertung und -analyse durchgeführt und dokumentiert wird, um nachzuweisen, dass das Risiko bewertet und geeignete Schutzmaßnahmen ergriffen wurden.

Der Grundsatz der Rechenschaftspflicht bedeutet die Umsetzung geeigneter (technischer und organisatorischer) Maßnahmen, die die Übereinstimmung der Verarbeitung mit der DSGVO sicherstellen und bereit sind, diese Einhaltung gegenüber der Aufsichtsbehörde oder den Stellen, deren Daten verarbeitet werden, nachzuweisen.

Starten Sie eine kostenlose 30-tägige Testphase ohne Bedingungen!

Risikobewertung in der DSGVO und Datenschutzfolgenabschätzung

Eine allgemeine Risikobewertung der Sicherheit der Informationsverarbeitung, einschließlich personenbezogener Daten, sollte unter Berücksichtigung der möglichen negativen Auswirkungen (materielle und immaterielle Verluste) sowohl für den Verantwortlichen als auch für die betroffenen Personen durchgeführt werden.

Für Datenschutz-Folgenabschätzungen kann der gleiche Arbeitsablauf wie für die Gesamtrisikoabschätzung verwendet werden, wobei in jedem Schritt diejenigen Elemente hervorgehoben werden, die einen erheblichen Einfluss auf die Auswirkungen haben, die eine Datenschutzverletzung auf die betroffenen Personen haben kann.

Eine Datenschutz-Folgenabschätzung sollte durchgeführt werden, wenn wir aufgrund einer „gewöhnlichen“ Analyse und Risikobewertung ein hohes Risiko einer Verletzung der Rechte und Freiheiten betroffener Personen erkennen.

Nicht jede Stelle ist verpflichtet, eine Datenschutz-Folgenabschätzung durchzuführen. Diese Bewertung sollte durchgeführt werden, wenn die folgenden Situationen eintreten:

  • Assessment und Scoring - Profiling und Forecasting, insbesondere in Bezug auf Daten wie Gesundheit, Interessen, Standort,

  • automatisierte Entscheidungsfindung mit Rechtswirkung,

  • systematisches Monitoring zur Beobachtung des Themas personenbezogene Daten (z.B. in einem Hotel, Tankstelle, Restaurant etc.),

  • Verarbeitung sensibler personenbezogener Daten,

  • umfangreiche Datenverarbeitung,

  • Nutzung technologischer Innovationen zur Datenverarbeitung (z.B. Biometrie),

  • Datenübertragung außerhalb der Europäischen Union.

Für die DSFA kann derselbe Arbeitsablauf wie für die Gesamtrisikobewertung verwendet werden, wobei in jedem Schritt diejenigen Elemente hervorgehoben werden, die einen erheblichen Einfluss auf die Auswirkungen haben, die eine Datenschutzverletzung auf die betroffenen Personen haben kann.

Es ist der Verantwortliche (z.B. ein Unternehmer), der selbstständig entscheidet, ob eine Datenschutz-Folgenabschätzung erforderlich ist.

Ausführliche Informationen zur Folgenabschätzung finden Sie im Artikel: Was ist eine Datenschutz-Folgenabschätzung?