Pra­xis­na­he Umset­zung seit 2013

Ihr Exper­te für Daten­schutz und Informationssicherheit

Risi­ko­ma­nage­ment und Datenschutz-Folgenabschätzung

Risi­ko­ma­nage­ment und Daten­schutz-Fol­gen­ab­schät­zung: Kön­nen Sie die­se 8 Fra­gen beantworten?

Risi­ko­ma­nage­ment: Der Überblick

Als ver­ant­wort­li­ches Unter­neh­men sind Sie ver­pflich­tet, ein Risi­ko­ma­nage­ment ein­zu­füh­ren. Erst, wenn Sie das Risi­ko der Ver­ar­bei­tung für die Rech­te und Frei­hei­ten der betrof­fe­nen Per­so­nen ermit­telt haben, kön­nen Sie auch ange­mes­se­ne Pro­zes­se eta­blie­ren. Grund­sätz­lich gilt: Je höher Sie das Risi­ko der Daten­ver­ar­bei­tung für betrof­fe­ne Per­so­nen ein­schät­zen, des­to mehr müs­sen Sie auch tun. Haben Sie ein nor­ma­les Risi­ko ermit­telt, haben Sie einen gerin­ge­ren Auf­wand. Die Risi­ko­be­wer­tung ist daher die Basis für nahe­zu alle ande­ren gesetz­li­chen Vor­ga­ben der DSGVO.

Das Geheim­nis der Umset­zung: Nut­zen Sie das Wis­sen von Exper­ten, die ein Risi­ko­ma­nage­ment im Daten­schutz bereits mehr­fach in Unter­neh­men Ihrer Grö­ße und Bran­che eta­bliert haben.

Eine Daten­schutz-Fol­gen­ab­schät­zung ist – ver­ein­facht aus­ge­drückt – eine Detail­prü­fung der Datenver­arbeitung. Sie ist immer dann durchzu­führen, wenn bei der Ver­ar­bei­tung voraus­sichtlich ein hohes Risi­ko für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen zur Fol­ge hat. Die gesam­te Verarbeitungs­kette und alle betei­lig­ten Dienst­leister, IT-Sys­te­me und die eta­blier­ten tech­ni­schen und organi­satorischen Maß­nah­men sind vor­ab auf Gesetzes­konformität zu prüfen.

Was beinhal­tet das Risiko­manage­ment im Daten­schutz und was ist eine Daten­schutz-Fol­gen­­ab­schät­zung? Auf die­ser Sei­te fin­den Sie Ant­wor­ten auf (fast) alle Fragen.

Die­se Infor­ma­tio­nen stel­len kei­ne Rechts­be­ra­tung dar, son­dern geben Anre­gun­gen zur Umset­zung. Für eine pass­ge­naue Umset­zung neh­men Sie ger­ne Kon­takt auf.

Inhalte 

Risi­ko­ma­nage­ment: Das Fundament

Wenn das Unter­neh­men eine Risi­ko­be­wer­tung nicht oder nicht fach­ge­recht durch­ge­führt und doku­men­tiert wird: Wie kön­nen Sie die dar­auf auf­bau­en­den Maß­nah­men, wie zum Bei­spiel die Sicher­heit der Ver­ar­bei­tung oder die Aus­kunfts­rech­te der betrof­fe­nen Per­so­nen erfül­len? Je höher das Risi­ko ist, des­to mehr Auf­wand ent­steht für die Umset­zung der DSGVO. Ver­mei­den Sie aber unnö­ti­ge Auf­wän­de im Unter­neh­men, wenn Sie nach­wei­sen kön­nen, dass Sie das Risi­ko der Ver­ar­bei­tung für die Rech­te und Frei­hei­ten der betrof­fe­nen Per­so­nen als „Nor­mal“ ein­ge­stuft haben. 

Beach­ten Sie mög­li­che Sanktionen!

Was ist, wenn bei einer Daten­ver­ar­bei­tung eine Daten­schutz­ver­let­zung ent­steht und Sie nicht nach­wei­sen kön­nen, dass Sie ange­mes­se­ne Maß­nah­men zum Schutz der Daten eta­bliert hatten?

Die Höhe vari­iert sicher­lich von Unter­neh­men und dem Risi­ko der Ver­ar­bei­tung, aber Ver­feh­lun­gen kön­nen schnell recht teu­er wer­den (4 % vom Vorjahres­umsatz oder 20.000.000 Euro, je nach­dem was höher ist). Aber so weit wird es hof­fent­lich nicht kommen.

Risi­ko­ma­nage­ment: Wofür soll das gut sein?

Der Gesetz­ge­ber hat vor­ge­se­hen, dass das jewei­li­ge Unter­neh­men die Umset­zung der DSGVO am Risi­ko der Ver­ar­bei­tung aus­rich­ten soll. Dafür muss zunächst ein Kon­zept erstellt wer­den, um den Begriff des Risi­kos und die Metho­dik zur Ermitt­lung des Risi­kos im Unter­neh­men zu eta­blie­ren. Die Metho­dik wird dann vom Fach­be­reich auf die jewei­li­ge Ver­ar­bei­tungs­tä­tig­keit ange­wen­det. In einem zwei­ten Schritt ist dann noch zu ermit­teln, ob eine Daten­schutz-Fol­gen­ab­schät­zung durch­ge­führt wer­den muss.

Eine inten­si­ve Auseinander­setzung mit dem The­ma ist erfor­der­lich, um die­se Auf­ga­be zu erfüllen.

Bei der Erar­bei­tung eines geeig­ne­ten Risi­ko­ma­nage­ment-Kon­zep­tes müs­sen diver­se Begrif­fe erst ein­mal in Ihrem Unter­neh­men defi­niert wer­den, wie zum Bei­spiel Ein­tritts­wahr­schein­lich­keit, Schutz­be­darf, Risi­ko, Gefähr­dun­gen, Schutz­zie­le, Aus­wir­kung oder Risi­ko­quel­len. Dann erstel­len Sie einen Pro­zess, damit Sie nach­wei­sen kön­nen, dass Sie das Kon­zept auf die Ver­ar­bei­tungs­tä­tig­kei­ten ange­wen­det haben.

Suchen Sie sich für die­se Auf­ga­be einen Experten!

Die Umset­zung eines Kon­zep­tes für ein Risi­ko­ma­nage­ment, die Prü­fung der Not­wen­dig­keit einer Daten­schutz-Fol­gen­ab­schät­zung und ggf. deren Durch­füh­rung ist eine schwie­ri­ge und umfang­rei­che Auf­ga­be, wenn so etwas noch nie gemacht wor­den ist. Sind die Haus­auf­ga­ben gemacht, kön­nen Sie selbst einer Prü­fung einer Auf­sichts­be­hör­de gelas­sen entgegensehen.

Prüf­fra­gen für die Geschäftsleitung

Fra­gen Sie sich als Ver­tre­tung der Geschäfts­lei­tung: Machen wir im Daten­schutz alles rich­tig? Dann stel­len Sie Ihrem Per­so­nal oder dem Daten­schutz­be­auf­trag­ten die fol­gen­den Fra­gen und las­sen sich ent­spre­chen­de Nach­wei­se vorlegen.

compliance-im-datenschutz

Sie wol­len in 4 Schrit­ten ein Kon­zept zum Risi­ko­ma­nage­ment und zur Ermitt­lung der Not­wen­dig­keit einer Daten­schutz-Fol­gen­ab­schät­zung erstel­len? Fin­den Sie hier wei­te­re Informationen.

Sie wün­schen eine direk­te Kon­takt­auf­nah­me und haben ein paar Fra­gen, die ggf. schnell beant­wor­tet wer­den kön­nen? Gera­de beim Risi­ko­ma­nage­ment benö­tigt man eine ers­te Ori­en­tie­rung zu die­sem kom­ple­xen Thema.

Was ist Risikomanagement?

Jedes Unter­neh­men soll­te ein Risi­ko­ma­nage­ment zur Erken­nung und Hand­ha­bung von Unter­neh­mens­ri­si­ken eta­blie­ren. Gesell­schaf­ten mit beschränk­ter Haf­tung (GmbHs), Akti­en­ge­sell­schaf­ten und Kom­man­dit­ge­sell­schaf­ten auf Akti­en (KGaAs) sowie ihnen gleich­ge­stell­te Gesell­schafts­for­men wie GmbH & Co. KGs füh­ren auf­grund der gesetz­li­chen Pflicht ein Risi­ko­früh­erken­nungs­sys­tem ein.

Bör­sen­no­tier­te Akti­en­ge­sell­schaf­ten müs­sen das Früh­erken­nungs­sys­tem auch durch einen Abschluss­prü­fer prü­fen las­sen (§ 317 Abs. 4 HGB). Aus den all­ge­mei­nen gesetz­li­chen Sorg­falts­pflich­ten eines ordent­li­chen Geschäfts­füh­rers lässt sich ablei­ten, ein dem Unter­neh­men bzw. der Unter­neh­mens­grup­pe ange­mes­se­nes und wirt­schaft­lich ver­tret­ba­res Führungs‑, Überwachungs‑, Risi­ko- und Com­pli­ance-Manage­ment­sys­tem ein­zu­füh­ren und zu unterhalten.

Für klei­ne­re Unter­neh­men gibt es ent­spre­chend ver­ein­fach­te Ver­fah­ren, die es ermög­li­chen, mit wenig Auf­wand ein ange­mes­se­nes Risi­ko­ma­nage­ment umzu­set­zen. Spre­chen Sie mich ger­ne an, wenn Sie mehr zu einem Risi­ko­ma­nage­ment für klei­ne­re Unter­neh­men erfah­ren wollen.

Doch was ist eigent­lich ein Risiko­manage­ment? Auf­grund der Kom­ple­xi­tät der The­ma­tik wer­den Bestand­tei­le nur kurz dargestellt. 
Risi­ko­iden­ti­fi­ka­ti­on

Die Risi­ko­iden­ti­fi­ka­ti­on (oder auch Risi­ko­er­ken­nung) ist die ers­te Stu­fe im Risi­ko­ma­nage­ment. Dabei wer­den alle auf ein Unter­neh­men ein­wir­ken­den Risi­ken sys­te­ma­tisch erfasst und gesam­melt (Inven­tur). Dazu gehö­ren auch die Risi­ken, die sich aus Ver­feh­lun­gen im Daten­schutz oder Daten­schutz­ver­let­zun­gen erge­ben. Beim Daten­schutz steht jedoch die betrof­fe­ne Per­son im Mit­tel­punkt der Betrach­tung. Die Risi­ken für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen kön­nen zum Bei­spiel zu Ver­let­zun­gen der infor­ma­tio­nel­len Selbst­be­stim­mung und Kon­trol­le über die eige­nen Daten, zu finan­zi­el­len, gesell­schaft­li­chen, sozia­len oder gesund­heit­li­chen Pro­ble­men führen.

Risi­ko­ana­ly­se

Bei der Risi­ko­ana­ly­se wer­den die bei der Risi­ko­iden­ti­fi­ka­ti­on ermit­tel­ten Risi­ken auf Ursa­chen, Häu­fig­keit und Wahr­schein­lich­kei­ten unter­sucht. Dabei wer­den unter­schied­li­che Sach­ver­hal­te und Gefah­ren­si­tua­tio­nen ein­be­zo­gen. Das Ziel der Ana­ly­se besteht dar­in, alle wahr­schein­li­chen Gefah­ren zu fin­den und zu erfassen.

Risi­ko­quan­ti­fi­zie­rung und ‑zusam­men­fas­sung

Bei einer Risi­ko­quan­ti­fi­zie­rung wer­den die iden­ti­fi­zier­ten Risi­ken durch eine geeig­ne­te Wahr­schein­lich­keits­ver­tei­lung sowie die Bewer­tung des Risi­kos durch ein geeig­ne­tes Risi­ko­maß bezif­fert. Durch ein Risi­ko­maß ist es mög­lich, Risi­ken zu ver­glei­chen, die durch unter­schied­li­che Ver­tei­lun­gen beschrie­ben wer­den, zu prio­ri­sie­ren, zusam­men­zu­fas­sen und im Hin­blick auf die Bedeu­tung des Unter­neh­mens zu beurteilen.

Auf­grund feh­len­der Daten über Risi­ken und feh­len­der Metho­den­kennt­nis­se sowie die man­geln­de Bereit­schaft, Auf­wand zu inves­tie­ren und Risi­ken nicht klar fest­le­gen zu wol­len, fin­det in Unter­neh­men meist kei­ne Quan­ti­fi­zie­rung statt.

Im Bereich des Daten­schut­zes wer­den daher größ­ten­teils pra­xis­na­he Infor­ma­tio­nen her­an­ge­zo­gen, die auf Ver­ar­bei­tungs­tä­tig­kei­ten ange­wen­det wer­den können.

Bei der Zusam­men­fas­sung kön­nen Risi­ken mit glei­cher Ursa­che, wie zum Bei­spiel der Aus­fall eines IT-Sys­tems für meh­re­re Ver­ar­bei­tungs­tä­tig­kei­ten gel­ten, sodass bei einer Gesamt­zu­sam­men­fas­sung die Wich­tig­keit der Ver­füg­bar­keit des IT-Sys­tems erhöht wird.

Risi­ko­be­ur­tei­lung und Risikobewertung

Bei der Risi­ko­be­ur­tei­lung und ‑bewer­tung wer­den sämt­li­che Risi­ken in ver­schie­de­ne Stu­fen ein­ge­ord­net, wie zum Bei­spiel ein nor­ma­les, hohes oder sehr hohes Risi­ko. Dies erfolgt meist mit einer Matrix:

Datenschutz Risikomanagement
Risi­ko­ma­trix gem. BSI-Grundschutz

Mit der Risi­ko­be­wer­tung begrün­den Sie Ihre Ent­schei­dun­gen zum Umgang mit mög­li­chen Gefähr­dun­gen. Zusätz­li­che tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men müs­sen bei einem hohen Risi­ko eta­bliert wer­den, um die Ein­tritts­häu­fig­keit und/oder die Aus­wir­kun­gen einer Gefähr­dung zu mil­dern. Die Matrix ver­deut­licht, wie sich die Umset­zung zusätz­li­cher Maß­nah­men auf ein Risi­ko aus­wir­ken werden.

Risi­ko­kom­mu­ni­ka­ti­on

Sind die Risi­ken erst ein­mal bewer­tet, ist es erfor­der­lich, die Erkennt­nis­se der Unter­neh­mens­lei­tung bzw. der jewei­li­gen Fach­be­reichs­lei­tung trans­pa­rent und nach­voll­zieh­bar dar­zu­stel­len. Daten­schutz­ri­si­ken kön­nen dann in Bezie­hung zu wei­te­ren Risi­ken im Unter­neh­men gebracht wer­den. Die anschlie­ßen­de Risi­ko­be­wäl­ti­gung zeigt die nächs­ten Schrit­te auf, um zum Bei­spiel Risi­ken aus­zu­schlie­ßen, zu ver­la­gern oder zu akzeptieren.

Risi­ko­be­wäl­ti­gung

Je nach Risi­ko­ap­pe­tit des Unter­neh­mens muss ent­schie­den wer­den, wel­che der fol­gen­den Stra­te­gien zur Bewäl­ti­gung des Risi­kos her­an­ge­zo­gen wird:

  • - Risi­ko­ver­mei­dung
  • - Risi­ko­re­duk­ti­on
  • - Risi­ko­trans­fer
  • - Risi­ko­ak­zep­tanz

Das Unter­neh­men durch­läuft die Schrit­te der Risi­ko­ein­stu­fung und Risi­ko­be­hand­lung, bis die Risi­ko­ak­zep­tanz erreicht ist und das ver­blei­ben­de Risi­ko mit den Unter­neh­mens­zie­len ver­ein­bar ist. Die Unter­neh­mens­lei­tung akzep­tiert mit der Doku­men­ta­ti­on und Frei­ga­be die Akzep­tanz der Rest­ri­si­ken. Grün­de für die Akzep­tanz eines hohen Risi­kos kön­nen sein:

  • - Es müs­sen ganz spe­zi­el­le Vor­aus­set­zun­gen vor­lie­gen, damit ein Scha­den entsteht.
  • - Es gibt kei­ne wirk­sa­men Gegen­maß­nah­men gegen die Gefähr­dung und lässt sich kaum vermeiden.
  • - Auf­wand und Kos­ten über­stei­gen den Wert, der im Scha­dens­fall eintritt.
Risi­ko­be­ob­ach­tung

Beob­ach­ten Sie Ihre Ver­ar­bei­tungs­tä­tig­kei­ten regel­mä­ßig, ob das Risi­ko der Ver­ar­bei­tung immer noch kor­rekt ein­ge­stuft wird. Eine Ver­än­de­rung der Art der Daten oder der Dienst­leis­ter machen ggf. eine Neu­be­wer­tung notwendig.

In 4 Schrit­ten zum Risikomanagement

Schritt 1: Holen Sie einen Spe­zia­lis­ten an Bord — schnel­ler geht es nicht.

Zunächst holen Sie sich einen Spe­zia­lis­ten, der seit vie­len Jah­ren nichts ande­res macht, als den Daten­schutz im Unter­neh­men umzu­set­zen — auch mit einem Risi­ko­ma­nage­ment-Ansatz. Mit einem gerin­gen Zeit­auf­wand bei Ihren inter­nen Fach­be­rei­chen wer­den die erfor­der­li­chen Infor­ma­tio­nen abge­fragt, um den Begriff „Risi­ko aus Daten­schutz­sicht“ zu ver­ste­hen und eine Beur­tei­lung ihrer Ver­ar­bei­tungs­tä­tig­keit durchzuführen.

Unter­schät­zen Sie den Auf­wand bei einer eige­nen Erstellung!

Risi­ko­ma­nage­ment ist ein kom­ple­xes The­ma. Unter­schät­zen Sie daher nicht den Auf­wand für die inter­nen Beschäf­tig­ten, das The­ma selbst zu arbeiten.

Meist ist eine Risi­ko­be­wer­tung auch nicht durch eine Per­son durch­zu­füh­ren. Das hängt von der Kom­ple­xi­tät der Verarbeitungs­tätigkeit, den betei­lig­ten IT-Sys­te­men sowie inter­nen und exter­nen Ansprech­part­nern ab.

Schritt 2. Defi­nie­ren Sie die Begrif­fe im Risikomanagement.

Es gibt nicht DAS Risi­ko­ma­nage­ment-Kon­zept. In der Lite­ra­tur und der Pra­xis fin­den sich ver­schie­de­ne Ansät­ze. Ins­ge­samt han­delt es sich jedoch in vie­len Fäl­len um eine Kom­bi­na­ti­on aus „Scha­den“ und „Eintritts­wahrschein­lichkeit“. Die­se bei­den Fak­to­ren sind jeweils mit ver­schie­de­nen Aus­prä­gun­gen ver­se­hen und wer­den in Bezie­hung gesetzt.

Beim „Scha­den“ geht man im Daten­schutz davon aus, dass betrof­fe­ne Per­so­nen zum Bei­spiel finan­zi­el­le, sozia­le oder gesund­heit­li­che Nach­tei­le haben kön­nen, wenn die Schutz­zie­le des Daten­schut­zes ver­letzt wer­den. Bei der „Ein­tritts­wahr­schein­lich­keit“ geht es dar­um, wie oft und wahr­schein­lich der tat­säch­li­che Scha­den eintritt.

Defi­nie­ren Sie wei­ter­hin die Begrif­fe „Gefähr­dun­gen“ und die Schutz­zie­le „Inte­gri­tät“, „Ver­trau­lich­keit“ und „Ver­füg­bar­keit“ für Ihr Unter­neh­men und die Begriff­lich­kei­ten „Daten­schutz-Fol­gen­ab­schät­zung“ sowie „umfang­rei­che Ver­ar­bei­tung“. Ziel ist es dabei, alle am Pro­zess betei­lig­ten Per­so­nen auf einen glei­chen Stand zu brin­gen, damit die Bewer­tung der ver­schie­de­nen Ver­ar­bei­tungs­tä­tig­kei­ten ein­heit­lich erfolgt.

Wenn Sie die­se bei­den Schrit­te durch­ge­führt haben, wur­de ein guter Anfang gemacht. Jetzt gilt es, dar­auf auf­zu­bau­en. Für die Erhe­bung der not­wen­di­gen Infor­ma­tio­nen zur Durch­füh­rung und Doku­men­ta­ti­on einer Risi­ko­be­wer­tung erstel­len Sie eine zen­tra­le Vor­la­ge, die ein­heit­lich ver­wen­det wer­den sollte.

Wenn Sie sich ent­schie­den haben, die Risi­ko­be­wer­tung durch die Fach­be­reichs­ver­ant­wort­li­chen durch­zu­füh­ren, soll­ten Sie vor­ab eine klei­ne Schu­lung für die Betei­lig­ten geneh­mi­gen. Sind nur weni­ge Per­so­nen betei­ligt, macht eine kur­ze Prä­sen­ta­ti­on der The­ma­tik Sinn. So kön­nen gleich Ver­ständ­nis­fra­gen im Ter­min geklärt wer­den. Auf der rech­ten Sei­te fin­den Sie ein Bei­spiel für eine Prä­sen­ta­ti­on. Im Ori­gi­nal natür­lich mit Vertonung.

Schritt 3: Füh­ren Sie die Risi­ko­be­wer­tung durch.

Wo Sie auch die Doku­men­ta­ti­on erstel­len: Machen Sie es ein­heit­lich und leicht für die Ziel­grup­pe. Mit einem ein­fa­chen For­mu­lar füh­ren Sie die Betei­lig­ten durch den Prozess.

Hier fin­den Sie die typi­schen Infor­ma­tio­nen, die in der Vor­la­ge der Risi­ko­be­wer­tung aus­ge­füllt wer­den müs­sen. Als Anla­ge soll­ten Sie Bei­spie­le oder Text­bau­stei­ne zur Ver­fü­gung stel­len, damit die Fach­be­rei­che zügig die Risi­ko­be­wer­tung durch­füh­ren können.

Das Aus­fül­len des For­mu­lars kann im Team pas­sie­ren, wenn meh­re­re Betei­lig­te etwas zum Risi­ko der Ver­ar­bei­tung sagen kön­nen. Typi­sche Betei­lig­te sind neben den Fach­be­reichs­ver­ant­wort­li­chen auch IT-Ansprech­part­ner und Ver­tre­ter exter­ner Dienstleister.

Soll­te die Ver­ar­bei­tungs­tä­tig­keit nach Durch­füh­rung der detail­lier­ten Prü­fung der Ver­ar­bei­tungs­tä­tig­keit immer noch ein hohes Risi­ko für die Rech­te und Frei­hei­ten der betrof­fe­nen Per­so­nen mit sich brin­gen, müs­sen Sie die Auf­sichts­be­hör­de kontaktieren.

Schritt 4: Erstel­len Sie eine Datenschutz-Folgenabschätzung

Sofern Sie ermit­telt haben, dass Ihre Ver­ar­bei­tungs­tä­tig­keit ein hohes oder sogar sehr hohes Risi­ko mit sich bringt, ver­su­chen Sie durch wei­te­re tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men die Ein­tritts­wahr­schein­lich­keit des Risi­kos zu mini­mie­ren.

Soll­te das nicht funk­tio­nie­ren oder Ihre Ver­ar­bei­tungs­tä­tig­keit auf­grund der Art und des Umfangs eine Daten­schutz-Fol­gen­ab­schät­zung not­wen­dig machen, müs­sen Sie eine Daten­schutz-Fol­gen­ab­schät­zung der gesam­ten Ver­ar­bei­tungs­tä­tig­keit durch­füh­ren. Dies kann sehr auf­wän­dig sein und soll­te von Exper­ten beglei­tet wer­den, die sich mit der The­ma­tik auskennen.

Füh­ren Sie eine Daten­schutz-Fol­gen­ab­schät­zung durch!

Sehen Sie die Durch­füh­rung einer Daten­schutz-Fol­gen­ab­schät­zung als Pro­jekt mit meh­re­ren Betei­lig­ten an. Erstel­len Sie ein Pro­jekt­team und invol­vie­ren Sie Ihren Daten­schutz­be­auf­trag­ten früh­zei­tig. Fol­gen­de Punk­te soll­ten in der Doku­men­ta­ti­on laut Gesetz ent­hal­ten sein:

Kon­ti­nu­ier­li­che Verbesserung

Ver­bes­sern bedeu­tet vor­ran­gig Pro­ble­me lösen. Pro­ble­me lösen wie­der­um heißt, Ler­nen und Anpas­sung. Das PDCA-Modell (Plan – Do – Check – Act) stellt die Ist-Situa­ti­on des Unter­nehmens per­ma­nent infra­ge und star­tet im Unter­neh­men einen wieder­kehrenden Regel­kreis zur Verbess­erung der Abläu­fe und Prozesse. 

Auch beim Risi­ko­ma­nage­ment muss eine Aktua­li­sie­rung und fes­te Ein­bin­dung im Gestal­tungs­pro­zess von Geschäfts­pro­zes­sen erfolgen.

Blei­ben SIe aktuell!

Erstel­len auch Sie einen Regel­kreis, damit das Risi­ko­ma­nage­ment aktu­ell bleibt. Prü­fen Sie, ob es am Markt mitt­ler­wei­le bes­se­re bzw. noch ein­fa­che­re Metho­den gibt, um ein Risi­ko im Daten­schutz zu bestimmen.

Sie benö­ti­gen Unter­stüt­zung bei dem „Risi­ko­ma­nage­ment“ und der Datenschutz-Folgenabschätzung? 

Plan

Fest­le­gung von Art, Umfang und Form des Risi­ko­ma­nage­ments im Datenschutz

Do

Fest­le­gung der Ansprech­part­ner, Schu­lung, Ent­wurf und Freigabe

Act

Aktua­li­sie­rung und Anpas­sung der Risikomanagements

Check

Prü­fung der Aktua­li­tät und Rich­tig­keit des Risikomanagements.

Häu­fig gestell­te Fra­gen zum Risi­ko­ma­nage­ment und Datenschutz-Folgenabschätzung

Jedes Unter­nehmen, wel­ches per­so­nen­be­zo­ge­ne Daten regel­mä­ßig ver­ar­bei­tet, hat die gesetz­li­che Pflicht, ein Risi­ko­ma­nage­ment zu erstel­len. Da immer noch viel Unsi­cher­heit in die­sem The­ma besteht, fin­den Sie hier ein paar Ant­wor­ten auf die häu­figs­ten Fra­gen:

War­um muss eine Risi­ko­be­wer­tung im Daten­schutz gemacht werden?

Die DSGVO ver­pflich­tet Unter­neh­men, ange­mes­se­ne und wirk­sa­me Maß­nah­men zum Schutz per­so­nen­be­zo­ge­ner Daten zu eta­blie­ren. Für eine Beur­tei­lung, wel­che Maß­nah­men getrof­fen wer­den müs­sen oder ob vor­han­de­ne Maß­nah­men aus­rei­chend sind, ist eine Risi­ko­ana­ly­se erfor­der­lich. Risi­ken, die sich zum Bei­spiel aus einem unbe­fug­ten Zugriff auf Per­so­nal­da­ten erge­ben könn­ten, müs­sen erkannt und bewer­tet wer­den. Rei­chen die vor­han­de­nen Schutz­maß­nah­men aus oder müs­sen die Maß­nah­men opti­miert oder erwei­tert wer­den? Die Risi­ko­ana­ly­se wird zum Mess­in­stru­ment für eine daten­schutz­kon­for­me Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten.

Was muss vor der Risi­ko­be­wer­tung erfolgen?

Vor der Risi­ko­be­wer­tung ist zu prü­fen, ob die Ver­ar­bei­tungs­tä­tig­keit ord­nungs­ge­mäß doku­men­tiert wor­den ist und die Daten­schutz­grund­sät­ze erfüllt sind. Dazu gehö­ren fol­gen­de Punkte:

  • - Recht­mä­ßig­keit, Ver­ar­bei­tung nach Treu und Glau­ben, Transparenz
  • - Zweck­bin­dung
  • - Daten­mi­nie­rung
  • - Rich­tig­keit
  • - Spei­cher­be­gren­zung
  • - Inte­gri­tät und Vertraulichkeit
  • - Nach­weis­bar­keit
Wel­che Risi­ken gibt es im Datenschutz?

Bei einer Iden­ti­fi­ka­ti­on der Risi­ken für betrof­fe­ne Per­so­nen fin­det man in der DSGVO fol­gen­de Beispiele 

  • - Dis­kri­mi­nie­rung
  • - Iden­ti­täts­dieb­stahl oder ‑betrug
  • - finan­zi­el­ler Verlust
  • - Ruf­schä­di­gung,
  • - wirt­schaft­li­che oder gesell­schaft­li­che Nachteile
  • - Erschwe­rung der Rechts­aus­übung und Ver­hin­de­rung der Kon­trol­le durch betrof­fe­ne Personen
  • - Aus­schluss oder Ein­schrän­kung der Aus­übung von Rech­ten und Freiheiten
  • - Pro­fi­ler­stel­lung oder ‑nut­zung durch Bewer­tung per­sön­li­cher Aspekte
  • - kör­per­li­che Schä­den infol­ge von Hand­lun­gen auf der
    Grund­la­ge feh­ler­haf­ter oder offen­ge­leg­ter Daten
Wel­che Ereig­nis­se kön­nen zu einem Scha­den für betrof­fe­ne Per­so­nen führen?

Fol­gen­de Ereig­nis­se kön­nen bei betrof­fe­nen Per­so­nen zu einem Scha­den führen:

  • - unbe­fug­te oder unrecht­mä­ßi­ge Verarbeitung
  • - Ver­ar­bei­tung wider Treu und Glauben
  • - für den Betrof­fe­nen intrans­pa­ren­te Verarbeitung
  • - unbe­fug­te Offen­le­gung von und Zugang zu Daten
  • - unbe­ab­sich­tig­ter Ver­lust, Zer­stö­rung oder Schä­di­gung von Daten
  • - Ver­wei­ge­rung der Betroffenenrechte
  • - Ver­wen­dung der Daten durch den Ver­ant­wort­li­chen zu
    Zwe­cken, die nicht recht­mä­ßig sind
  • - Ver­ar­bei­tung von Daten, die nicht ange­for­dert wurden
  • - Ver­ar­bei­tung nicht rich­ti­ger Daten,
  • - Ver­ar­bei­tung über die Spei­cher­frist hinaus.

Wei­te­re Gefähr­dun­gen erge­ben sich aus dem Bereich der Infor­ma­ti­ons­si­cher­heit, die oben im Video dar­ge­stellt werden.

Wie auf­wän­dig ist eine Risikobewertung?

Unter­schät­zen Sie den Auf­wand einer Risi­ko­be­wer­tung nicht. Pla­nen Sie genü­gend Zeit und Res­sour­cen aus allen betei­lig­ten Fach­be­rei­chen ein.

Auf­ge­deck­te Män­gel und deren Behe­bung kön­nen eben­falls Zeit und Auf­wän­de mit sich bringen. 

Fazit: Eine Risi­ko­ana­ly­se ist stark abhän­gig von Ver­ar­bei­tungs­tä­tig­keit, den erfor­der­li­chen Betei­lig­ten und den not­wen­di­gen IT-Sys­te­men und Schnittstellen.

Neh­men Sie mit mir Kon­takt für eine Kos­ten- und Auf­wands­schät­zung Ihres Risi­ko­ma­nage­ments auf.

Wann muss ich eine Daten­schutz-Fol­gen­ab­schät­zung machen?

Eine Daten­schutz-Fol­gen­ab­schät­zung ist erfor­der­lich, wenn die Ver­ar­bei­tung vor­aus­sicht­lich ein hohes Risi­ko für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen zur Fol­ge hat.

Wie auf­wän­dig ist eine Datenschutz-Folgenabschätzung?

Der Auf­wand ermit­telt sich unter ande­rem an der Kom­ple­xi­tät der Ver­ar­bei­tungs­tä­tig­keit, der invol­vier­ten Betei­lig­ten und der Anzahl der IT-Sys­te­me und Schnittstellen.

Grund­sätz­lich müs­sen Sie für die Erstel­lung eher in Tagen als in Stun­den den­ken. Für eine Abschät­zung der Erstel­lung einer Daten­schutz-Fol­gen­ab­schät­zung mel­den Sie sich ger­ne bei mir.

Wer muss eine Daten­schutz-Fol­gen­ab­schät­zung (DSFA) durchführen?

Eine Daten­schutz-Fol­gen­ab­schät­zung (DSFA) ist eine daten­schutz­recht­li­che Detail­ana­ly­se einer Ver­ar­bei­tungs­tä­tig­keit. Der Ver­ant­wort­li­che der Daten­ver­ar­bei­tung ist für die Erstel­lung der DSFA zustän­dig. Dabei soll­te ein Pro­jekt­team gebil­det wer­den, weil tech­ni­sche, funk­tio­na­le, daten­schutz­recht­li­che und orga­ni­sa­to­ri­sche Aspek­te berück­sich­tigt wer­den müs­sen. Der Daten­schutz­be­auf­trag­te ist dabei hinzuzuziehen.

Was muss eine Daten­schutz-Fol­gen­ab­schät­zung min­des­tens enthalten?

Eine DSFA muss min­des­tens ent­hal­ten: eine sys­te­ma­ti­sche Beschrei­bung der geplan­ten Ver­ar­bei­tungs­vor­gän­ge und der Zwe­cke der Ver­ar­bei­tung, gege­be­nen­falls ein­schließ­lich der von dem für die Ver­ar­bei­tung Ver­ant­wort­li­chen ver­folg­ten berech­tig­ten Interessen.

Wei­te­re Details sie­he oben.

Was muss der Ver­ant­wort­li­che der Auf­sichts­be­hör­de zur Ver­fü­gung stellen?

Der Ver­ant­wort­li­che stellt der Auf­sichts­be­hör­de fol­gen­de Infor­ma­tio­nen zur Verfügung:

  • - Anga­ben zu den jewei­li­gen Zustän­dig­kei­ten des Ver­ant­wort­li­chen und wei­te­ren Beteiligten
  • - die Zwe­cke und die Mit­tel der beab­sich­tig­ten Verarbeitung
  • die zum Schutz der Rech­te und Frei­hei­ten der betrof­fe­nen Per­so­nen vor­ge­se­he­nen Maß­nah­men und Garantien
  • ggf. die Kon­takt­da­ten des Datenschutzbeauftragten
  • die Daten­schutz-Fol­gen­ab­schät­zung
  • alle sons­ti­gen von der Auf­sichts­be­hör­de ange­for­der­ten Informationen.

Wenn Sie eine pro­fes­sio­nel­le Unter­stüt­zung im Bereich Risi­ko­ma­nage­ment suchen, soll­ten wir uns kennenlernen!

Fin­den Sie hier eine Aus­wahl von Dienst­leis­tun­gen. Mit einen Klick auf die Schalt­flä­che erhal­ten Sie mehr Informationen

Daten­schutz­berater DSGVO

Mit einer moder­nen Bera­tung im Bereich Daten­­schutz und Informations­sicherheit spa­ren Sie inter­ne Res­sour­cen und set­zen Ihr Pro­jekt zeit­nah um. Ich bie­te stunden­weise eine Daten­schutz­beratung von A‑Z.

Daten­schutz­beauftragter DSGVO

Als exter­ner Datenschutz­­­beauftragter bie­te ich Ihnen einen Rund-um-Sup­port nach den gesetz­lichen Vor­ga­ben und mit diver­sen Zusatz­dienst­leist­ungen. Nut­zen Sie vom ers­ten Tag an mei­ne lang­­jährige Erfahrung. 

Infor­mations­sicher­heits­beauf­tragter

Ich bera­te Sie in allen Berei­chen der Infor­mations­­sicherheit. Schüt­zen Sie Ihre Daten vor den Gefähr­dungen die­ser Zeit nach dem Stand der Tech­nik nach bewähr­ten Metho­den. Erfül­len Sie die Anfor­de­run­gen des IT-Grundschutzes?

Daten­schutz­kon­for­me Website

Benö­ti­gen Sie regel­mä­ßi­ge Reports über alle Web­sites inkl. Unter­sei­ten, auch in eng­li­scher Spra­che? Hät­ten Sie ger­ne eine akti­ve Infor­ma­ti­on, wenn sich die Rechts­la­ge ändert und Sie aktiv wer­den müs­sen. Ich bie­te pra­xis­na­he Maß­nah­men zur Optimierung!

Video­über­wa­chung DSGVO

Sie pla­nen oder besit­zen eine Video­über­wachungs­anlage im Betrieb? Sie benö­ti­gen mehr Details zu die­sem The­ma? Beach­ten Sie die recht­li­chen Vor­ga­ben. Fin­den Sie hier mehr Infor­ma­tio­nen zur praxis­­nahen Umsetz­ung von Videoüberwachungsanlagen. 

Daten­schutz-Schu­lun­gen DSGVO

Praxis­nahe Schu­lun­gen im Daten­schutz und in der Informations­sicher­heit sind für Unter­neh­men uner­läss­lich. Ich bie­te Prä­sen­z­-Ver­an­s­t­al­t­un­gen, Web­i­na­re und E‑Lear­ning-Kur­se an. Schu­len Sie Ihre Beschäf­tig­ten zielgruppen­genau und pas­send auf Ihr Unternehmen.

“Ich bie­te maß­ge­schnei­der­te Lösun­gen für Unter­neh­men, denen Daten­schutz und Informations­sicherheit wich­tig sind. Ger­ne neh­me ich mir Zeit für eine persön­liche Bera­tung und erstel­le Ihnen unver­bind­lich und kos­ten­los ein auf Sie zuge­schnit­te­nes Angebot. 

 

Ich bevor­zu­ge Unter­neh­men, die Daten­schutz und Infor­mations­sicherheit umset­zen wol­len. Wenn Sie eine kos­ten­güns­ti­ge Bera­tung von der Stan­ge bevor­zugen, pas­sen wir nicht zusammen”.

Kun­den­stim­men

Zufrie­de­ne Kun­den emp­feh­len mei­ne Dienst­leis­tung wei­ter. Über­zeu­gen Sie sich.

IT GROSS­HAN­DEL (Inter­ner DSB) Hamburg

Mit einer hohen datenschutz­rechtlichen, orga­ni­sa­to­ri­schen und sicherheits­relevanten Kom­pe­tenz hat Herr Nie­hoff unser Unter­nehmen schnell und mit außer­ordentlicher Unter­stützung bei der Umset­zung der DSGVO unter­stützt. Das Coa­ching hat sich bezahlt gemacht.

Öffent­li­che Ver­wal­tung (CDO) Lüneburg

Sie schaf­fen es, die­ses The­ma so inter­es­sant zu ver­pa­cken, dass ich trotz­dem am Ende mit einem Lächeln aus den Mee­tings gehe.

IT-Dienst­leis­ter (GF) Hamburg

Nach dem ers­ten Start haben wir schnell gemerkt, dass es ohne pro­fes­sio­nel­le Hil­fe nicht wei­ter­geht. Herr Nie­hoff hat uns hier auf die rich­ti­ge Spur gebracht und wir uns auch in Zukunft wei­ter unter­stüt­zen. Vie­len Dank für die super schnel­le Reak­ti­on und Hil­fe in der Kri­se! Wir freu­en uns auch in Zukunft einen star­ken Part­ner an der Sei­te zu haben! Kars­ten Loren­zen, Geschäfts­füh­rer Test­ex­per­ten KLE GmbH

Let­ter­shop, Hamburg
Lie­ber Herr Nie­hoff, höchs­te Zeit mal Dan­ke zu sagen für die stets promp­te, freund­liche und umfäng­liche Unter­­stützung in allen Daten­schutz­­belangen. Sei es vor Ort im Rah­men von Daten­­schutz­audits oder auch im Rah­men der vertrag­lichen Prü­fun­gen. Für mich ist es sehr wert­voll, dass Sie Ihre Aus­sagen immer auf den Punkt brin­gen, so dass ich intern wie auch extern kom­pe­tent agie­ren kann. Auf eine wei­te­re gemein­same Zusammenarbeit. 
Oli­ver G.(Geschäftsführer, Medi­en, Hamburg)

Ich set­ze regel­mä­ßig digi­ta­le Pro­jek­te mit anspruchs­vol­len Kun­den um. Daten­schutz ist ein not­wen­di­ges Muss. Ich benö­ti­ge daher einen akti­ven DSB, der da ist, wenn ich ihn benö­ti­ge und mit Praxis­wissen zeit­nah zuar­bei­tet. Ich will ein fes­tes Kon­tin­gent und nicht für jeden Hand­schlag zusätz­lich bezah­len. Am Ende wird so etwas meist teu­rer und auf­wän­di­ger in der Abrech­nung. Herr Nie­hoff bringt auf­grund sei­ner Fle­xi­bi­li­tät mein Busi­ness voran.

Kon­takt

Buchen Sie ein kos­ten­frei­es Erst­ge­spräch uns las­sen Sie über Ihre Auf­trags­ver­ar­bei­tung sprechen.

kontakt-niehoff-systemberatung