Praxisnahe Umsetzung seit 2013

Ihr Experte für Datenschutz und Informationssicherheit

Risikomanagement und Datenschutz-Folgenabschätzung

Risikomanagement und Datenschutz-Folgenabschätzung: Können Sie diese 8 Fragen beantworten?

Risikomanagement: Der Überblick

Als verantwortliches Unternehmen sind Sie verpflichtet, ein Risikomanagement einzuführen. Erst, wenn Sie das Risiko der Verarbeitung für die Rechte und Freiheiten der betroffenen Personen ermittelt haben, können Sie auch angemessene Prozesse etablieren. Grundsätzlich gilt: Je höher Sie das Risiko der Datenverarbeitung für betroffene Personen einschätzen, desto mehr müssen Sie auch tun. Haben Sie ein normales Risiko ermittelt, haben Sie einen geringeren Aufwand. Die Risikobewertung ist daher die Basis für nahezu alle anderen gesetzlichen Vorgaben der DSGVO.

Das Geheimnis der Umsetzung: Nutzen Sie das Wissen von Experten, die ein Risikomanagement im Datenschutz bereits mehrfach in Unternehmen Ihrer Größe und Branche etabliert haben.

Eine Datenschutz-Folgenabschätzung ist – vereinfacht ausgedrückt – eine Detailprüfung der Datenver­arbeitung. Sie ist immer dann durchzu­führen, wenn bei der Verarbeitung voraus­sichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Die gesamte Verarbeitungs­kette und alle beteiligten Dienst­leister, IT-Systeme und die etablierten technischen und organi­satorischen Maßnahmen sind vorab auf Gesetzes­konformität zu prüfen.

Was beinhaltet das Risiko­manage­ment im Daten­schutz und was ist eine Datenschutz-Folgen­abschätzung? Auf dieser Seite finden Sie Antworten auf (fast) alle Fragen.

Diese Informationen stellen keine Rechtsberatung dar, sondern geben Anregungen zur Umsetzung. Für eine passgenaue Umsetzung nehmen Sie gerne Kontakt auf.

Inhalte

Risikomanagement: Das Fundament

Wenn das Unternehmen eine Risikobewertung nicht oder nicht fachgerecht durchgeführt und dokumentiert wird: Wie können Sie die darauf aufbauenden Maßnahmen, wie zum Beispiel die Sicherheit der Verarbeitung oder die Auskunftsrechte der betroffenen Personen erfüllen? Je höher das Risiko ist, desto mehr Aufwand entsteht für die Umsetzung der DSGVO. Vermeiden Sie aber unnötige Aufwände im Unternehmen, wenn Sie nachweisen können, dass Sie das Risiko der Verarbeitung für die Rechte und Freiheiten der betroffenen Personen als „Normal“ eingestuft haben. 

Beachten Sie mögliche Sanktionen!

Was ist, wenn bei einer Datenverarbeitung eine Datenschutzverletzung entsteht und Sie nicht nachweisen können, dass Sie angemessene Maßnahmen zum Schutz der Daten etabliert hatten?

Die Höhe variiert sicherlich von Unternehmen und dem Risiko der Verarbeitung, aber Verfehlungen können schnell recht teuer werden (4 % vom Vorjahres­umsatz oder 20.000.000 Euro, je nachdem was höher ist). Aber so weit wird es hoffentlich nicht kommen.

Risikomanagement: Wofür soll das gut sein?

Der Gesetzgeber hat vorgesehen, dass das jeweilige Unternehmen die Umsetzung der DSGVO am Risiko der Verarbeitung ausrichten soll. Dafür muss zunächst ein Konzept erstellt werden, um den Begriff des Risikos und die Methodik zur Ermittlung des Risikos im Unternehmen zu etablieren. Die Methodik wird dann vom Fachbereich auf die jeweilige Verarbeitungstätigkeit angewendet. In einem zweiten Schritt ist dann noch zu ermitteln, ob eine Datenschutz-Folgenabschätzung durchgeführt werden muss.

Eine intensive Auseinander­setzung mit dem Thema ist erforderlich, um diese Aufgabe zu erfüllen.

Bei der Erarbeitung eines geeigneten Risikomanagement-Konzeptes müssen diverse Begriffe erst einmal in Ihrem Unternehmen definiert werden, wie zum Beispiel Eintrittswahrscheinlichkeit, Schutzbedarf, Risiko, Gefährdungen, Schutzziele, Auswirkung oder Risikoquellen. Dann erstellen Sie einen Prozess, damit Sie nachweisen können, dass Sie das Konzept auf die Verarbeitungstätigkeiten angewendet haben.

Suchen Sie sich für diese Aufgabe einen Experten!

Die Umsetzung eines Konzeptes für ein Risikomanagement, die Prüfung der Notwendigkeit einer Datenschutz-Folgenabschätzung und ggf. deren Durchführung ist eine schwierige und umfangreiche Aufgabe, wenn so etwas noch nie gemacht worden ist. Sind die Hausaufgaben gemacht, können Sie selbst einer Prüfung einer Aufsichtsbehörde gelassen entgegensehen.

Prüffragen für die Geschäftsleitung

Fragen Sie sich als Vertretung der Geschäftsleitung: Machen wir im Datenschutz alles richtig? Dann stellen Sie Ihrem Personal oder dem Datenschutzbeauftragten die folgenden Fragen und lassen sich entsprechende Nachweise vorlegen.

compliance-im-datenschutz

Sie wollen in 4 Schritten ein Konzept zum Risikomanagement und zur Ermittlung der Notwendigkeit einer Datenschutz-Folgenabschätzung erstellen? Finden Sie hier weitere Informationen.

Sie wünschen eine direkte Kontaktaufnahme und haben ein paar Fragen, die ggf. schnell beantwortet werden können? Gerade beim Risikomanagement benötigt man eine erste Orientierung zu diesem komplexen Thema.

Was ist Risikomanagement?

Jedes Unternehmen sollte ein Risikomanagement zur Erkennung und Handhabung von Unternehmensrisiken etablieren. Gesellschaften mit beschränkter Haftung (GmbHs), Aktiengesellschaften und Kommanditgesellschaften auf Aktien (KGaAs) sowie ihnen gleichgestellte Gesellschaftsformen wie GmbH & Co. KGs führen aufgrund der gesetzlichen Pflicht ein Risikofrüherkennungssystem ein.

Börsennotierte Aktiengesellschaften müssen das Früherkennungssystem auch durch einen Abschlussprüfer prüfen lassen (§ 317 Abs. 4 HGB). Aus den allgemeinen gesetzlichen Sorgfaltspflichten eines ordentlichen Geschäftsführers lässt sich ableiten, ein dem Unternehmen bzw. der Unternehmensgruppe angemessenes und wirtschaftlich vertretbares Führungs-, Überwachungs-, Risiko- und Compliance-Managementsystem einzuführen und zu unterhalten.

Für kleinere Unternehmen gibt es entsprechend vereinfachte Verfahren, die es ermöglichen, mit wenig Aufwand ein angemessenes Risikomanagement umzusetzen. Sprechen Sie mich gerne an, wenn Sie mehr zu einem Risikomanagement für kleinere Unternehmen erfahren wollen.

Doch was ist eigentlich ein Risikomanagement? Aufgrund der Komplexität der Thematik werden Bestandteile nur kurz dargestellt.

Die Risikoidentifikation (oder auch Risikoerkennung) ist die erste Stufe im Risikomanagement. Dabei werden alle auf ein Unternehmen einwirkenden Risiken systematisch erfasst und gesammelt (Inventur). Dazu gehören auch die Risiken, die sich aus Verfehlungen im Datenschutz oder Datenschutzverletzungen ergeben. Beim Datenschutz steht jedoch die betroffene Person im Mittelpunkt der Betrachtung. Die Risiken für die Rechte und Freiheiten natürlicher Personen können zum Beispiel zu Verletzungen der informationellen Selbstbestimmung und Kontrolle über die eigenen Daten, zu finanziellen, gesellschaftlichen, sozialen oder gesundheitlichen Problemen führen.

Bei der Risikoanalyse werden die bei der Risikoidentifikation ermittelten Risiken auf Ursachen, Häufigkeit und Wahrscheinlichkeiten untersucht. Dabei werden unterschiedliche Sachverhalte und Gefahrensituationen einbezogen. Das Ziel der Analyse besteht darin, alle wahrscheinlichen Gefahren zu finden und zu erfassen.

Bei einer Risikoquantifizierung werden die identifizierten Risiken durch eine geeignete Wahrscheinlichkeitsverteilung sowie die Bewertung des Risikos durch ein geeignetes Risikomaß beziffert. Durch ein Risikomaß ist es möglich, Risiken zu vergleichen, die durch unterschiedliche Verteilungen beschrieben werden, zu priorisieren, zusammenzufassen und im Hinblick auf die Bedeutung des Unternehmens zu beurteilen.

Aufgrund fehlender Daten über Risiken und fehlender Methodenkenntnisse sowie die mangelnde Bereitschaft, Aufwand zu investieren und Risiken nicht klar festlegen zu wollen, findet in Unternehmen meist keine Quantifizierung statt.

Im Bereich des Datenschutzes werden daher größtenteils praxisnahe Informationen herangezogen, die auf Verarbeitungstätigkeiten angewendet werden können.

Bei der Zusammenfassung können Risiken mit gleicher Ursache, wie zum Beispiel der Ausfall eines IT-Systems für mehrere Verarbeitungstätigkeiten gelten, sodass bei einer Gesamtzusammenfassung die Wichtigkeit der Verfügbarkeit des IT-Systems erhöht wird.

Bei der Risikobeurteilung und -bewertung werden sämtliche Risiken in verschiedene Stufen eingeordnet, wie zum Beispiel ein normales, hohes oder sehr hohes Risiko. Dies erfolgt meist mit einer Matrix:

Datenschutz Risikomanagement
Risikomatrix gem. BSI-Grundschutz

Mit der Risikobewertung begründen Sie Ihre Entscheidungen zum Umgang mit möglichen Gefährdungen. Zusätzliche technische und organisatorische Maßnahmen müssen bei einem hohen Risiko etabliert werden, um die Eintrittshäufigkeit und/oder die Auswirkungen einer Gefährdung zu mildern. Die Matrix verdeutlicht, wie sich die Umsetzung zusätzlicher Maßnahmen auf ein Risiko auswirken werden.

Sind die Risiken erst einmal bewertet, ist es erforderlich, die Erkenntnisse der Unternehmensleitung bzw. der jeweiligen Fachbereichsleitung transparent und nachvollziehbar darzustellen. Datenschutzrisiken können dann in Beziehung zu weiteren Risiken im Unternehmen gebracht werden. Die anschließende Risikobewältigung zeigt die nächsten Schritte auf, um zum Beispiel Risiken auszuschließen, zu verlagern oder zu akzeptieren.

Je nach Risikoappetit des Unternehmens muss entschieden werden, welche der folgenden Strategien zur Bewältigung des Risikos herangezogen wird:

  • - Risikovermeidung
  • - Risikoreduktion
  • - Risikotransfer
  • - Risikoakzeptanz

Das Unternehmen durchläuft die Schritte der Risikoeinstufung und Risikobehandlung, bis die Risikoakzeptanz erreicht ist und das verbleibende Risiko mit den Unternehmenszielen vereinbar ist. Die Unternehmensleitung akzeptiert mit der Dokumentation und Freigabe die Akzeptanz der Restrisiken. Gründe für die Akzeptanz eines hohen Risikos können sein:

  • - Es müssen ganz spezielle Voraussetzungen vorliegen, damit ein Schaden entsteht.
  • - Es gibt keine wirksamen Gegenmaßnahmen gegen die Gefährdung und lässt sich kaum vermeiden.
  • - Aufwand und Kosten übersteigen den Wert, der im Schadensfall eintritt.

Beobachten Sie Ihre Verarbeitungstätigkeiten regelmäßig, ob das Risiko der Verarbeitung immer noch korrekt eingestuft wird. Eine Veränderung der Art der Daten oder der Dienstleister machen ggf. eine Neubewertung notwendig.

In 4 Schritten zum Risikomanagement

Nachfolgend zeige ich Ihnen die 4 Schritte, wie Sie Ihr Risikomanagement gestalten und das Thema Datenschutz-Folgenabschätzung im Unternehmen umsetzen.

Schritt 1: Holen Sie einen Spezialisten an Bord - schneller geht es nicht.

Zunächst holen Sie sich einen Spezialisten, der seit vielen Jahren nichts anderes macht, als den Datenschutz im Unternehmen umzusetzen – auch mit einem Risikomanagement-Ansatz. Mit einem geringen Zeitaufwand bei Ihren internen Fachbereichen werden die erforderlichen Informationen abgefragt, um den Begriff „Risiko aus Datenschutzsicht“ zu verstehen und eine Beurteilung ihrer Verarbeitungstätigkeit durchzuführen.

Unterschätzen Sie den Aufwand bei einer eigenen Erstellung!

Risikomanagement ist ein komplexes Thema. Unterschätzen Sie daher nicht den Aufwand für die internen Beschäftigten, das Thema selbst zu arbeiten. Meist ist eine Risikobewertung auch nicht durch eine Person durchzuführen. Das hängt von der Komplexität der Verarbeitungs­tätigkeit, den beteiligten IT-Systemen sowie internen und externen Ansprechpartnern ab.

Schritt 2. Definieren Sie die Begriffe im Risikomanagement.

Es gibt nicht DAS Risikomanagement-Konzept. In der Literatur und der Praxis finden sich verschiedene Ansätze. Insgesamt handelt es sich jedoch in vielen Fällen um eine Kombination aus „Schaden“ und „Eintrittswahrscheinlichkeit“. Diese beiden Faktoren sind jeweils mit verschiedenen Ausprägungen versehen und werden in Beziehung gesetzt.

Beim „Schaden“ geht man im Datenschutz davon aus, dass betroffene Personen zum Beispiel finanzielle, soziale oder gesundheitliche Nachteile haben können, wenn die Schutzziele des Datenschutzes verletzt werden. Bei der „Eintrittswahrscheinlichkeit“ geht es darum, wie oft und wahrscheinlich der tatsächliche Schaden eintritt.

Definieren Sie weiterhin die Begriffe „Gefährdungen“ und die Schutzziele „Integrität“, „Vertraulichkeit“ und „Verfügbarkeit“ für Ihr Unternehmen und die Begrifflichkeiten „Datenschutz-Folgenabschätzung“ sowie „umfangreiche Verarbeitung“. Ziel ist es dabei, alle am Prozess beteiligten Personen auf einen gleichen Stand zu bringen, damit die Bewertung der verschiedenen Verarbeitungstätigkeiten einheitlich erfolgt.

Wenn Sie diese beiden Schritte durchgeführt haben, wurde ein guter Anfang gemacht. Jetzt gilt es, darauf aufzubauen. Für die Erhebung der notwendigen Informationen zur Durchführung und Dokumentation einer Risikobewertung erstellen Sie eine zentrale Vorlage, die einheitlich verwendet werden sollte.

Wenn Sie sich entschieden haben, die Risikobewertung durch die Fachbereichsverantwortlichen durchzuführen, sollten Sie vorab eine kleine Schulung für die Beteiligten genehmigen. Sind nur wenige Personen beteiligt, macht eine kurze Präsentation der Thematik Sinn. So können gleich Verständnisfragen im Termin geklärt werden. Auf der rechten Seite finden Sie ein Beispiel für eine Präsentation. Im Original natürlich mit Vertonung.

Schritt 3: Führen Sie die Risikobewertung durch.

Wo Sie auch die Dokumentation erstellen: Machen Sie es einheitlich und leicht für die Zielgruppe. Mit einem einfachen Formular führen Sie die Beteiligten durch den Prozess.

Auf der rechten Seite finden Sie die typischen Informationen, die in der Vorlage der Risikobewertung ausgefüllt werden müssen. Als Anlage sollten Sie Beispiele oder Textbausteine zur Verfügung stellen, damit die Fachbereiche zügig die Risikobewertung durchführen können.

Das Ausfüllen des Formulars kann im Team passieren, wenn mehrere Beteiligte etwas zum Risiko der Verarbeitung sagen können. Typische Beteiligte sind neben den Fachbereichsverantwortlichen auch IT-Ansprechpartner und Vertreter externer Dienstleister.

Schritt 4: Erstellen Sie eine Datenschutz-Folgenabschätzung

Sofern Sie ermittelt haben, dass Ihre Verarbeitungstätigkeit ein hohes oder sogar sehr hohes Risiko mit sich bringt, versuchen Sie durch weitere technische und organisatorische Maßnahmen die Eintrittswahrscheinlichkeit des Risikos zu minimieren.

Sollte das nicht funktionieren oder Ihre Verarbeitungstätigkeit aufgrund der Art und des Umfangs eine Datenschutz-Folgenabschätzung notwendig machen, müssen Sie eine Datenschutz-Folgenabschätzung der gesamten Verarbeitungstätigkeit durchführen. Dies kann sehr aufwändig sein und sollte von Experten begleitet werden, die sich mit der Thematik auskennen.

Führen Sie eine Datenschutz-Folgenabschätzung durch!

Sehen Sie die Durchführung einer Datenschutz-Folgenabschätzung als Projekt mit mehreren Beteiligten an. Erstellen Sie ein Projektteam und involvieren Sie Ihren Datenschutzbeauftragten frühzeitig. Folgende Punkte sollten in der Dokumentation laut Gesetz enthalten sein:

Sollte die Verarbeitungstätigkeit nach Durchführung der detaillierten Prüfung der Verarbeitungstätigkeit immer noch ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringen, müssen Sie die Aufsichtsbehörde kontaktieren.

Sie benötigen Unterstützung beim Risikomanagement und (Prüfung auf Notwendigkeit) der Datenschutz-Folgenabschätzung? Melden Sie sich gerne.

Kundenstimmen

Zufriedene Kunden empfehlen meine Dienstleistung weiter. Überzeugen Sie sich.

Interner DSB aus Hamburg

IT Grosshandel

Mit einer hohen datenschutz­rechtlichen, organisatorischen und sicherheits­relevanten Kompetenz hat Herr Niehoff unser Unter­nehmen schnell und mit außer­ordentlicher Unter­stützung bei der Umsetzung der DSGVO unterstützt. Das Coaching hat sich bezahlt gemacht.

Geschäftsführer aus Hamburg

Testexperten KLE GmbH

Wir hatten die Herausforderung, dass wir nach der Erstellung & Umsetzungen der DSGVO-Richtlinien eine ernsthafte Prüfung im Bereich der DSGVO brauchten. Herr Niehoff hat uns das Ganze sehr gut erläutert und super unterstützt. Wir möchten uns an dieser Stelle für die hervorragende Zusammenarbeit bedanken!

Chief Digital Officer aus Lüneburg

Öffentliche Verwaltung

Sie schaffen es, dieses Thema so interessant zu verpacken, dass ich trotzdem am Ende mit einem Lächeln aus den Meetings gehe.

Sekretariat

Rechtsanwaltskanzlei

Außerdem hat unsere Bearbeit­erin unserer Homepage Ihre Anweisungen sehr gelobt! Sie schreibt: „Kompliment an dieser Stelle an ihren Datenschutz­beauftragten, ich habe selten so fundierte Anweisungen bekommen, bei denen ich zu 100% mitgehe.“ Auch ich kann Ihnen an dieser Stelle mitteilen, dass sie mir sehr verständlich aufzeigen, was ich im Datenschutzdschungel nach und nach alles bearbeiten muss. Danke dafür! 😊

Fachkunde

Die Gestaltung einer datenschutz­konformen Organisation verbessert sofort die Sicher­heit Ihres Unter­nehmens. Lassen Sie uns deshalb jetzt über Ihre laufenden oder zukünftigen Pro­jekte sprechen und die Umsetz­ung unter Einhaltung aller datenschutzrechtlichen Bestimmungen planen.

Im Laufe der Jahre habe ich mir ein fundiertes Wissen im Bereich des Datenschutzes und der Informationssicherheit angeeignet. Eine permanente Weiterbildung ist für mich selbstverständlich. Ich halte meine Mandanten auf dem neuesten Stand.

fachkundenachweis-niehoff (Benutzerdefiniert)

Kontinuierliche Verbesserung

Verbessern bedeutet vorrangig Probleme lösen. Probleme lösen wiederum heißt, Lernen und Anpassung. Das PDCA-Modell (Plan – Do – Check – Act) stellt die Ist-Situation des Unter­nehmens permanent infrage und startet im Unternehmen einen wieder­kehrenden Regelkreis zur Verbess­erung der Abläufe und Prozesse. 

Auch beim Risikomanagement muss eine Aktualisierung und feste Einbindung im Gestaltungsprozess von Geschäftsprozessen erfolgen.

Bleiben SIe aktuell!

Erstellen auch Sie einen Regelkreis, damit das Risikomanagement aktuell bleibt. Prüfen Sie, ob es am Markt mittlerweile bessere bzw. noch einfachere Methoden gibt, um ein Risiko im Datenschutz zu bestimmen.

Sie benötigen Unterstützung bei dem „Risikomanagement“ und der Datenschutz-Folgenabschätzung? 

Plan

Festlegung von Art, Umfang und Form des Risikomanagements im Datenschutz

Do

Festlegung der Ansprechpartner, Schulung, Entwurf und Freigabe

Act

Aktualisierung und Anpassung der Risikomanagements

Check

Prüfung der Aktualität und Richtigkeit des Risikomanagements.

Leistungen

Bei den meisten Geschäftsprozessen werden personenbezogene Daten verarbeitet. Finden Sie hier meine Dienstleistungen, die ich diversen Unternehmen seit vielen Jahren zur Verfügung stelle. 

Daten­schutz­berater DSGVO

Mit einer modernen Beratung im Bereich Daten­­schutz und Informations­sicherheit sparen Sie interne Ressourcen und setzen Ihr Projekt zeitnah um.

Daten­schutz­beauftragter DSGVO

Als externer Datenschutz­­­beauftragter bietet ich Ihnen einen Rund-um-Support nach den gesetz­lichen Vorgaben. Nutzen Sie vom ersten Tag an meine lang­jährige Erfahrung.

Infor­mations­sicher­heits­beauf­tragter

Ich berate Sie in allen Bereichen der Informations­­sicherheit. Schützen Sie Ihre Daten vor den Gefähr­dungen dieser Zeit nach dem Stand der Technik.

Datenschutz-Schulungen DSGVO

Praxisnahe Schulungen im Datenschutz sind unerlässlich. Ich biete passende Präsenz­-Veranstaltungen, Webinare und E-Learning-Kurse.

Clever sein - das Risikomanagement und die Datenschutz-Folgenabschätzung effizient und praxisnah gestalten

Ich unterstütze Sie bei der Erstellung Ihrer Risikobewertung und der Datenschutz-Folgenabschätzung. Nutzen Sie meine mehrjährige Expertise, um zügig die Risikobewertung Ihrer Verarbeitungstätigkeiten zu erstellen.

Buchen Sie ein entsprechendes Modul oder nutzen Sie meine punktuelle Unterstützung. Ich biete Ihnen die Dokumentation in Ihrem Zielsystem. Nach meiner Erfahrung ist die Interviewtechnik die effizienteste Methode, um zügig zu der ersten Version zu kommen. Die Beratung kann bei Ihnen vor Ort oder per Videokonferenz erfolgen. 

10 Fragen zum Risikomanagement und Datenschutz-Folgenabschätzung

Jedes Unter­nehmen, welches personenbezogene Daten regelmäßig verarbeitet, hat die gesetzliche Pflicht, ein Risikomanagement zu erstellen. Da immer noch viel Unsicherheit in diesem Thema besteht, finden Sie hier ein paar Antworten auf die häufigsten Fragen:

Die DSGVO verpflichtet Unternehmen, angemessene und wirksame Maßnahmen zum Schutz personenbezogener Daten zu etablieren. Für eine Beurteilung, welche Maßnahmen getroffen werden müssen oder ob vorhandene Maßnahmen ausreichend sind, ist eine Risikoanalyse erforderlich. Risiken, die sich zum Beispiel aus einem unbefugten Zugriff auf Personaldaten ergeben könnten, müssen erkannt und bewertet werden. Reichen die vorhandenen Schutzmaßnahmen aus oder müssen die Maßnahmen optimiert oder erweitert werden? Die Risikoanalyse wird zum Messinstrument für eine datenschutzkonforme Verarbeitung personenbezogener Daten.

Vor der Risikobewertung ist zu prüfen, ob die Verarbeitungstätigkeit ordnungsgemäß dokumentiert worden ist und die Datenschutzgrundsätze erfüllt sind. Dazu gehören folgende Punkte:

  • - Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
  • - Zweckbindung
  • - Datenminierung
  • - Richtigkeit
  • - Speicherbegrenzung
  • - Integrität und Vertraulichkeit
  • - Nachweisbarkeit

Bei einer Identifikation der Risiken für betroffene Personen findet man in der DSGVO folgende Beispiele 

  • - Diskriminierung
  • - Identitätsdiebstahl oder -betrug
  • - finanzieller Verlust
  • - Rufschädigung,
  • - wirtschaftliche oder gesellschaftliche Nachteile
  • - Erschwerung der Rechtsausübung und Verhinderung der Kontrolle durch betroffene Personen
  • - Ausschluss oder Einschränkung der Ausübung von Rechten und Freiheiten
  • - Profilerstellung oder -nutzung durch Bewertung persönlicher Aspekte
  • - körperliche Schäden infolge von Handlungen auf der
    Grundlage fehlerhafter oder offengelegter Daten

Folgende Ereignisse können bei betroffenen Personen zu einem Schaden führen:

  • - unbefugte oder unrechtmäßige Verarbeitung
  • - Verarbeitung wider Treu und Glauben
  • - für den Betroffenen intransparente Verarbeitung
  • - unbefugte Offenlegung von und Zugang zu Daten
  • - unbeabsichtigter Verlust, Zerstörung oder Schädigung von Daten
  • - Verweigerung der Betroffenenrechte
  • - Verwendung der Daten durch den Verantwortlichen zu
    Zwecken, die nicht rechtmäßig sind
  • - Verarbeitung von Daten, die nicht angefordert wurden
  • - Verarbeitung nicht richtiger Daten,
  • - Verarbeitung über die Speicherfrist hinaus.

Weitere Gefährdungen ergeben sich aus dem Bereich der Informationssicherheit, die oben im Video dargestellt werden.

Unterschätzen Sie den Aufwand einer Risikobewertung nicht. Planen Sie genügend Zeit und Ressourcen aus allen beteiligten Fachbereichen ein.

Aufgedeckte Mängel und deren Behebung können ebenfalls Zeit und Aufwände mit sich bringen. 

Fazit: Eine Risikoanalyse ist stark abhängig von Verarbeitungstätigkeit, den erforderlichen Beteiligten und den notwendigen IT-Systemen und Schnittstellen.

Nehmen Sie mit mir Kontakt für eine Kosten- und Aufwandsschätzung Ihres Risikomanagements auf.

Eine Datenschutz-Folgenabschätzung ist erforderlich, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

Der Aufwand ermittelt sich unter anderem an der Komplexität der Verarbeitungstätigkeit, der involvierten Beteiligten und der Anzahl der IT-Systeme und Schnittstellen.

Grundsätzlich müssen Sie für die Erstellung eher in Tagen als in Stunden denken. Für eine Abschätzung der Erstellung einer Datenschutz-Folgenabschätzung melden Sie sich gerne bei mir.

Eine Datenschutz-Folgenabschätzung (DSFA) ist eine datenschutzrechtliche Detailanalyse einer Verarbeitungstätigkeit. Der Verantwortliche der Datenverarbeitung ist für die Erstellung der DSFA zuständig. Dabei sollte ein Projektteam gebildet werden, weil technische, funktionale, datenschutzrechtliche und organisatorische Aspekte berücksichtigt werden müssen. Der Datenschutzbeauftragte ist dabei hinzuzuziehen.

Eine DSFA muss mindestens enthalten: eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem für die Verarbeitung Verantwortlichen verfolgten berechtigten Interessen.

Weitere Details siehe oben.

Der Verantwortliche stellt der Aufsichtsbehörde folgende Informationen zur Verfügung:

  • - Angaben zu den jeweiligen Zuständigkeiten des Verantwortlichen und weiteren Beteiligten
  • - die Zwecke und die Mittel der beabsichtigten Verarbeitung
  • die zum Schutz der Rechte und Freiheiten der betroffenen Personen vorgesehenen Maßnahmen und Garantien
  • ggf. die Kontaktdaten des Datenschutzbeauftragten
  • die Datenschutz-Folgenabschätzung
  • alle sonstigen von der Aufsichtsbehörde angeforderten Informationen.

Kontakt

Buchen Sie ein kostenfreies Erstgespräch und lassen Sie uns über Ihr Risikomanagement sprechen.

kontakt-niehoff-systemberatung

Aktuelle News zum Thema Daten­schutz und Infor­mations­sicherheit

In diesem Bereich finden Sie Nachrichten und Hintergrundinformationen zum Thema Datenschutz und Informationssicherheit. Sie haben ein Thema, was einen Beitrag wert wäre? Melden Sie sich gerne.