Pra­xis­na­he Umset­zung seit 2013

Ihr Exper­te für Daten­schutz und Informationssicherheit

Risi­ko­ma­nage­ment und Datenschutz-Folgenabschätzung

Risi­ko­ma­nage­ment und Daten­schutz-Fol­gen­ab­schät­zung: Kön­nen Sie die­se 8 Fra­gen beantworten?

Risi­ko­ma­nage­ment: Der Überblick

Als ver­ant­wort­li­ches Unter­neh­men sind Sie ver­pflich­tet, ein Risi­ko­ma­nage­ment ein­zu­füh­ren. Erst, wenn Sie das Risi­ko der Ver­ar­bei­tung für die Rech­te und Frei­hei­ten der betrof­fe­nen Per­so­nen ermit­telt haben, kön­nen Sie auch ange­mes­se­ne Pro­zes­se eta­blie­ren. Grund­sätz­lich gilt: Je höher Sie das Risi­ko der Daten­ver­ar­bei­tung für betrof­fe­ne Per­so­nen ein­schät­zen, des­to mehr müs­sen Sie auch tun. Haben Sie ein nor­ma­les Risi­ko ermit­telt, haben Sie einen gerin­ge­ren Auf­wand. Die Risi­ko­be­wer­tung ist daher die Basis für nahe­zu alle ande­ren gesetz­li­chen Vor­ga­ben der DSGVO.

Das Geheim­nis der Umset­zung: Nut­zen Sie das Wis­sen von Exper­ten, die ein Risi­ko­ma­nage­ment im Daten­schutz bereits mehr­fach in Unter­neh­men Ihrer Grö­ße und Bran­che eta­bliert haben.

Eine Daten­schutz-Fol­gen­ab­schät­zung ist – ver­ein­facht aus­ge­drückt – eine Detail­prü­fung der Datenver­arbeitung. Sie ist immer dann durchzu­führen, wenn bei der Ver­ar­bei­tung voraus­sichtlich ein hohes Risi­ko für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen zur Fol­ge hat. Die gesam­te Verarbeitungs­kette und alle betei­lig­ten Dienst­leister, IT-Sys­te­me und die eta­blier­ten tech­ni­schen und organi­satorischen Maß­nah­men sind vor­ab auf Gesetzes­konformität zu prüfen.

Was beinhal­tet das Risiko­manage­ment im Daten­schutz und was ist eine Daten­schutz-Fol­gen­­ab­schät­zung? Auf die­ser Sei­te fin­den Sie Ant­wor­ten auf (fast) alle Fragen.

Die­se Infor­ma­tio­nen stel­len kei­ne Rechts­be­ra­tung dar, son­dern geben Anre­gun­gen zur Umset­zung. Für eine pass­ge­naue Umset­zung neh­men Sie ger­ne Kon­takt auf.

Inhalte 

Risi­ko­ma­nage­ment: Das Fundament

Wenn das Unter­neh­men eine Risi­ko­be­wer­tung nicht oder nicht fach­ge­recht durch­ge­führt und doku­men­tiert wird: Wie kön­nen Sie die dar­auf auf­bau­en­den Maß­nah­men, wie zum Bei­spiel die Sicher­heit der Ver­ar­bei­tung oder die Aus­kunfts­rech­te der betrof­fe­nen Per­so­nen erfül­len? Je höher das Risi­ko ist, des­to mehr Auf­wand ent­steht für die Umset­zung der DSGVO. Ver­mei­den Sie aber unnö­ti­ge Auf­wän­de im Unter­neh­men, wenn Sie nach­wei­sen kön­nen, dass Sie das Risi­ko der Ver­ar­bei­tung für die Rech­te und Frei­hei­ten der betrof­fe­nen Per­so­nen als „Nor­mal“ ein­ge­stuft haben. 

Beach­ten Sie mög­li­che Sanktionen!

Was ist, wenn bei einer Daten­ver­ar­bei­tung eine Daten­schutz­ver­let­zung ent­steht und Sie nicht nach­wei­sen kön­nen, dass Sie ange­mes­se­ne Maß­nah­men zum Schutz der Daten eta­bliert hatten?

Die Höhe vari­iert sicher­lich von Unter­neh­men und dem Risi­ko der Ver­ar­bei­tung, aber Ver­feh­lun­gen kön­nen schnell recht teu­er wer­den (4 % vom Vorjahres­umsatz oder 20.000.000 Euro, je nach­dem was höher ist). Aber so weit wird es hof­fent­lich nicht kommen.

Risi­ko­ma­nage­ment: Wofür soll das gut sein?

Der Gesetz­ge­ber hat vor­ge­se­hen, dass das jewei­li­ge Unter­neh­men die Umset­zung der DSGVO am Risi­ko der Ver­ar­bei­tung aus­rich­ten soll. Dafür muss zunächst ein Kon­zept erstellt wer­den, um den Begriff des Risi­kos und die Metho­dik zur Ermitt­lung des Risi­kos im Unter­neh­men zu eta­blie­ren. Die Metho­dik wird dann vom Fach­be­reich auf die jewei­li­ge Ver­ar­bei­tungs­tä­tig­keit ange­wen­det. In einem zwei­ten Schritt ist dann noch zu ermit­teln, ob eine Daten­schutz-Fol­gen­ab­schät­zung durch­ge­führt wer­den muss.

Eine inten­si­ve Auseinander­setzung mit dem The­ma ist erfor­der­lich, um die­se Auf­ga­be zu erfüllen.

Bei der Erar­bei­tung eines geeig­ne­ten Risi­ko­ma­nage­ment-Kon­zep­tes müs­sen diver­se Begrif­fe erst ein­mal in Ihrem Unter­neh­men defi­niert wer­den, wie zum Bei­spiel Ein­tritts­wahr­schein­lich­keit, Schutz­be­darf, Risi­ko, Gefähr­dun­gen, Schutz­zie­le, Aus­wir­kung oder Risi­ko­quel­len. Dann erstel­len Sie einen Pro­zess, damit Sie nach­wei­sen kön­nen, dass Sie das Kon­zept auf die Ver­ar­bei­tungs­tä­tig­kei­ten ange­wen­det haben.

Suchen Sie sich für die­se Auf­ga­be einen Experten!

Die Umset­zung eines Kon­zep­tes für ein Risi­ko­ma­nage­ment, die Prü­fung der Not­wen­dig­keit einer Daten­schutz-Fol­gen­ab­schät­zung und ggf. deren Durch­füh­rung ist eine schwie­ri­ge und umfang­rei­che Auf­ga­be, wenn so etwas noch nie gemacht wor­den ist. Sind die Haus­auf­ga­ben gemacht, kön­nen Sie selbst einer Prü­fung einer Auf­sichts­be­hör­de gelas­sen entgegensehen.

Prüf­fra­gen für die Geschäftsleitung

Fra­gen Sie sich als Ver­tre­tung der Geschäfts­lei­tung: Machen wir im Daten­schutz alles rich­tig? Dann stel­len Sie Ihrem Per­so­nal oder dem Daten­schutz­be­auf­trag­ten die fol­gen­den Fra­gen und las­sen sich ent­spre­chen­de Nach­wei­se vorlegen.

compliance-im-datenschutz

Sie wol­len in 4 Schrit­ten ein Kon­zept zum Risi­ko­ma­nage­ment und zur Ermitt­lung der Not­wen­dig­keit einer Daten­schutz-Fol­gen­ab­schät­zung erstel­len? Fin­den Sie hier wei­te­re Informationen.

Sie wün­schen eine direk­te Kon­takt­auf­nah­me und haben ein paar Fra­gen, die ggf. schnell beant­wor­tet wer­den kön­nen? Gera­de beim Risi­ko­ma­nage­ment benö­tigt man eine ers­te Ori­en­tie­rung zu die­sem kom­ple­xen Thema.

Was ist Risikomanagement?

Jedes Unter­neh­men soll­te ein Risi­ko­ma­nage­ment zur Erken­nung und Hand­ha­bung von Unter­neh­mens­ri­si­ken eta­blie­ren. Gesell­schaf­ten mit beschränk­ter Haf­tung (GmbHs), Akti­en­ge­sell­schaf­ten und Kom­man­dit­ge­sell­schaf­ten auf Akti­en (KGaAs) sowie ihnen gleich­ge­stell­te Gesell­schafts­for­men wie GmbH & Co. KGs füh­ren auf­grund der gesetz­li­chen Pflicht ein Risi­ko­früh­erken­nungs­sys­tem ein.

Bör­sen­no­tier­te Akti­en­ge­sell­schaf­ten müs­sen das Früh­erken­nungs­sys­tem auch durch einen Abschluss­prü­fer prü­fen las­sen (§ 317 Abs. 4 HGB). Aus den all­ge­mei­nen gesetz­li­chen Sorg­falts­pflich­ten eines ordent­li­chen Geschäfts­füh­rers lässt sich ablei­ten, ein dem Unter­neh­men bzw. der Unter­neh­mens­grup­pe ange­mes­se­nes und wirt­schaft­lich ver­tret­ba­res Führungs‑, Überwachungs‑, Risi­ko- und Com­pli­ance-Manage­ment­sys­tem ein­zu­füh­ren und zu unterhalten.

Für klei­ne­re Unter­neh­men gibt es ent­spre­chend ver­ein­fach­te Ver­fah­ren, die es ermög­li­chen, mit wenig Auf­wand ein ange­mes­se­nes Risi­ko­ma­nage­ment umzu­set­zen. Spre­chen Sie mich ger­ne an, wenn Sie mehr zu einem Risi­ko­ma­nage­ment für klei­ne­re Unter­neh­men erfah­ren wollen.

Doch was ist eigent­lich ein Risi­ko­ma­nage­ment? Auf­grund der Kom­ple­xi­tät der The­ma­tik wer­den Bestand­tei­le nur kurz dargestellt.

Die Risi­ko­iden­ti­fi­ka­ti­on (oder auch Risi­ko­er­ken­nung) ist die ers­te Stu­fe im Risi­ko­ma­nage­ment. Dabei wer­den alle auf ein Unter­neh­men ein­wir­ken­den Risi­ken sys­te­ma­tisch erfasst und gesam­melt (Inven­tur). Dazu gehö­ren auch die Risi­ken, die sich aus Ver­feh­lun­gen im Daten­schutz oder Daten­schutz­ver­let­zun­gen erge­ben. Beim Daten­schutz steht jedoch die betrof­fe­ne Per­son im Mit­tel­punkt der Betrach­tung. Die Risi­ken für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen kön­nen zum Bei­spiel zu Ver­let­zun­gen der infor­ma­tio­nel­len Selbst­be­stim­mung und Kon­trol­le über die eige­nen Daten, zu finan­zi­el­len, gesell­schaft­li­chen, sozia­len oder gesund­heit­li­chen Pro­ble­men führen.

Bei der Risi­ko­ana­ly­se wer­den die bei der Risi­ko­iden­ti­fi­ka­ti­on ermit­tel­ten Risi­ken auf Ursa­chen, Häu­fig­keit und Wahr­schein­lich­kei­ten unter­sucht. Dabei wer­den unter­schied­li­che Sach­ver­hal­te und Gefah­ren­si­tua­tio­nen ein­be­zo­gen. Das Ziel der Ana­ly­se besteht dar­in, alle wahr­schein­li­chen Gefah­ren zu fin­den und zu erfassen.

Bei einer Risi­ko­quan­ti­fi­zie­rung wer­den die iden­ti­fi­zier­ten Risi­ken durch eine geeig­ne­te Wahr­schein­lich­keits­ver­tei­lung sowie die Bewer­tung des Risi­kos durch ein geeig­ne­tes Risi­ko­maß bezif­fert. Durch ein Risi­ko­maß ist es mög­lich, Risi­ken zu ver­glei­chen, die durch unter­schied­li­che Ver­tei­lun­gen beschrie­ben wer­den, zu prio­ri­sie­ren, zusam­men­zu­fas­sen und im Hin­blick auf die Bedeu­tung des Unter­neh­mens zu beurteilen.

Auf­grund feh­len­der Daten über Risi­ken und feh­len­der Metho­den­kennt­nis­se sowie die man­geln­de Bereit­schaft, Auf­wand zu inves­tie­ren und Risi­ken nicht klar fest­le­gen zu wol­len, fin­det in Unter­neh­men meist kei­ne Quan­ti­fi­zie­rung statt.

Im Bereich des Daten­schut­zes wer­den daher größ­ten­teils pra­xis­na­he Infor­ma­tio­nen her­an­ge­zo­gen, die auf Ver­ar­bei­tungs­tä­tig­kei­ten ange­wen­det wer­den können.

Bei der Zusam­men­fas­sung kön­nen Risi­ken mit glei­cher Ursa­che, wie zum Bei­spiel der Aus­fall eines IT-Sys­tems für meh­re­re Ver­ar­bei­tungs­tä­tig­kei­ten gel­ten, sodass bei einer Gesamt­zu­sam­men­fas­sung die Wich­tig­keit der Ver­füg­bar­keit des IT-Sys­tems erhöht wird.

Bei der Risi­ko­be­ur­tei­lung und ‑bewer­tung wer­den sämt­li­che Risi­ken in ver­schie­de­ne Stu­fen ein­ge­ord­net, wie zum Bei­spiel ein nor­ma­les, hohes oder sehr hohes Risi­ko. Dies erfolgt meist mit einer Matrix:

Datenschutz Risikomanagement
Risi­ko­ma­trix gem. BSI-Grundschutz

Mit der Risi­ko­be­wer­tung begrün­den Sie Ihre Ent­schei­dun­gen zum Umgang mit mög­li­chen Gefähr­dun­gen. Zusätz­li­che tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men müs­sen bei einem hohen Risi­ko eta­bliert wer­den, um die Ein­tritts­häu­fig­keit und/oder die Aus­wir­kun­gen einer Gefähr­dung zu mil­dern. Die Matrix ver­deut­licht, wie sich die Umset­zung zusätz­li­cher Maß­nah­men auf ein Risi­ko aus­wir­ken werden.

Sind die Risi­ken erst ein­mal bewer­tet, ist es erfor­der­lich, die Erkennt­nis­se der Unter­neh­mens­lei­tung bzw. der jewei­li­gen Fach­be­reichs­lei­tung trans­pa­rent und nach­voll­zieh­bar dar­zu­stel­len. Daten­schutz­ri­si­ken kön­nen dann in Bezie­hung zu wei­te­ren Risi­ken im Unter­neh­men gebracht wer­den. Die anschlie­ßen­de Risi­ko­be­wäl­ti­gung zeigt die nächs­ten Schrit­te auf, um zum Bei­spiel Risi­ken aus­zu­schlie­ßen, zu ver­la­gern oder zu akzeptieren.

Je nach Risi­ko­ap­pe­tit des Unter­neh­mens muss ent­schie­den wer­den, wel­che der fol­gen­den Stra­te­gien zur Bewäl­ti­gung des Risi­kos her­an­ge­zo­gen wird:

  • - Risi­ko­ver­mei­dung
  • - Risi­ko­re­duk­ti­on
  • - Risi­ko­trans­fer
  • - Risi­ko­ak­zep­tanz

Das Unter­neh­men durch­läuft die Schrit­te der Risi­ko­ein­stu­fung und Risi­ko­be­hand­lung, bis die Risi­ko­ak­zep­tanz erreicht ist und das ver­blei­ben­de Risi­ko mit den Unter­neh­mens­zie­len ver­ein­bar ist. Die Unter­neh­mens­lei­tung akzep­tiert mit der Doku­men­ta­ti­on und Frei­ga­be die Akzep­tanz der Rest­ri­si­ken. Grün­de für die Akzep­tanz eines hohen Risi­kos kön­nen sein:

  • - Es müs­sen ganz spe­zi­el­le Vor­aus­set­zun­gen vor­lie­gen, damit ein Scha­den entsteht.
  • - Es gibt kei­ne wirk­sa­men Gegen­maß­nah­men gegen die Gefähr­dung und lässt sich kaum vermeiden.
  • - Auf­wand und Kos­ten über­stei­gen den Wert, der im Scha­dens­fall eintritt.

Beob­ach­ten Sie Ihre Ver­ar­bei­tungs­tä­tig­kei­ten regel­mä­ßig, ob das Risi­ko der Ver­ar­bei­tung immer noch kor­rekt ein­ge­stuft wird. Eine Ver­än­de­rung der Art der Daten oder der Dienst­leis­ter machen ggf. eine Neu­be­wer­tung notwendig.

In 4 Schrit­ten zum Risikomanagement

Nach­fol­gend zei­ge ich Ihnen die 4 Schrit­te, wie Sie Ihr Risi­ko­ma­nage­ment gestal­ten und das The­ma Daten­schutz-Fol­gen­ab­schät­zung im Unter­neh­men umsetzen.

Schritt 1: Holen Sie einen Spe­zia­lis­ten an Bord — schnel­ler geht es nicht.

Zunächst holen Sie sich einen Spe­zia­lis­ten, der seit vie­len Jah­ren nichts ande­res macht, als den Daten­schutz im Unter­neh­men umzu­set­zen — auch mit einem Risi­ko­ma­nage­ment-Ansatz. Mit einem gerin­gen Zeit­auf­wand bei Ihren inter­nen Fach­be­rei­chen wer­den die erfor­der­li­chen Infor­ma­tio­nen abge­fragt, um den Begriff „Risi­ko aus Daten­schutz­sicht“ zu ver­ste­hen und eine Beur­tei­lung ihrer Ver­ar­bei­tungs­tä­tig­keit durchzuführen.

Unter­schät­zen Sie den Auf­wand bei einer eige­nen Erstellung!

Risi­ko­ma­nage­ment ist ein kom­ple­xes The­ma. Unter­schät­zen Sie daher nicht den Auf­wand für die inter­nen Beschäf­tig­ten, das The­ma selbst zu arbei­ten. Meist ist eine Risi­ko­be­wer­tung auch nicht durch eine Per­son durch­zu­füh­ren. Das hängt von der Kom­ple­xi­tät der Verarbeitungs­tätigkeit, den betei­lig­ten IT-Sys­te­men sowie inter­nen und exter­nen Ansprech­part­nern ab.

Schritt 2. Defi­nie­ren Sie die Begrif­fe im Risikomanagement.

Es gibt nicht DAS Risi­ko­ma­nage­ment-Kon­zept. In der Lite­ra­tur und der Pra­xis fin­den sich ver­schie­de­ne Ansät­ze. Ins­ge­samt han­delt es sich jedoch in vie­len Fäl­len um eine Kom­bi­na­ti­on aus „Scha­den“ und „Ein­tritts­wahr­schein­lich­keit“. Die­se bei­den Fak­to­ren sind jeweils mit ver­schie­de­nen Aus­prä­gun­gen ver­se­hen und wer­den in Bezie­hung gesetzt.

Beim „Scha­den“ geht man im Daten­schutz davon aus, dass betrof­fe­ne Per­so­nen zum Bei­spiel finan­zi­el­le, sozia­le oder gesund­heit­li­che Nach­tei­le haben kön­nen, wenn die Schutz­zie­le des Daten­schut­zes ver­letzt wer­den. Bei der „Ein­tritts­wahr­schein­lich­keit“ geht es dar­um, wie oft und wahr­schein­lich der tat­säch­li­che Scha­den eintritt.

Defi­nie­ren Sie wei­ter­hin die Begrif­fe „Gefähr­dun­gen“ und die Schutz­zie­le „Inte­gri­tät“, „Ver­trau­lich­keit“ und „Ver­füg­bar­keit“ für Ihr Unter­neh­men und die Begriff­lich­kei­ten „Daten­schutz-Fol­gen­ab­schät­zung“ sowie „umfang­rei­che Ver­ar­bei­tung“. Ziel ist es dabei, alle am Pro­zess betei­lig­ten Per­so­nen auf einen glei­chen Stand zu brin­gen, damit die Bewer­tung der ver­schie­de­nen Ver­ar­bei­tungs­tä­tig­kei­ten ein­heit­lich erfolgt.

Wenn Sie die­se bei­den Schrit­te durch­ge­führt haben, wur­de ein guter Anfang gemacht. Jetzt gilt es, dar­auf auf­zu­bau­en. Für die Erhe­bung der not­wen­di­gen Infor­ma­tio­nen zur Durch­füh­rung und Doku­men­ta­ti­on einer Risi­ko­be­wer­tung erstel­len Sie eine zen­tra­le Vor­la­ge, die ein­heit­lich ver­wen­det wer­den sollte.

Wenn Sie sich ent­schie­den haben, die Risi­ko­be­wer­tung durch die Fach­be­reichs­ver­ant­wort­li­chen durch­zu­füh­ren, soll­ten Sie vor­ab eine klei­ne Schu­lung für die Betei­lig­ten geneh­mi­gen. Sind nur weni­ge Per­so­nen betei­ligt, macht eine kur­ze Prä­sen­ta­ti­on der The­ma­tik Sinn. So kön­nen gleich Ver­ständ­nis­fra­gen im Ter­min geklärt wer­den. Auf der rech­ten Sei­te fin­den Sie ein Bei­spiel für eine Prä­sen­ta­ti­on. Im Ori­gi­nal natür­lich mit Vertonung.

Schritt 3: Füh­ren Sie die Risi­ko­be­wer­tung durch.

Wo Sie auch die Doku­men­ta­ti­on erstel­len: Machen Sie es ein­heit­lich und leicht für die Ziel­grup­pe. Mit einem ein­fa­chen For­mu­lar füh­ren Sie die Betei­lig­ten durch den Prozess.

Auf der rech­ten Sei­te fin­den Sie die typi­schen Infor­ma­tio­nen, die in der Vor­la­ge der Risi­ko­be­wer­tung aus­ge­füllt wer­den müs­sen. Als Anla­ge soll­ten Sie Bei­spie­le oder Text­bau­stei­ne zur Ver­fü­gung stel­len, damit die Fach­be­rei­che zügig die Risi­ko­be­wer­tung durch­füh­ren können.

Das Aus­fül­len des For­mu­lars kann im Team pas­sie­ren, wenn meh­re­re Betei­lig­te etwas zum Risi­ko der Ver­ar­bei­tung sagen kön­nen. Typi­sche Betei­lig­te sind neben den Fach­be­reichs­ver­ant­wort­li­chen auch IT-Ansprech­part­ner und Ver­tre­ter exter­ner Dienstleister.

Schritt 4: Erstel­len Sie eine Datenschutz-Folgenabschätzung

Sofern Sie ermit­telt haben, dass Ihre Ver­ar­bei­tungs­tä­tig­keit ein hohes oder sogar sehr hohes Risi­ko mit sich bringt, ver­su­chen Sie durch wei­te­re tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men die Ein­tritts­wahr­schein­lich­keit des Risi­kos zu mini­mie­ren.

Soll­te das nicht funk­tio­nie­ren oder Ihre Ver­ar­bei­tungs­tä­tig­keit auf­grund der Art und des Umfangs eine Daten­schutz-Fol­gen­ab­schät­zung not­wen­dig machen, müs­sen Sie eine Daten­schutz-Fol­gen­ab­schät­zung der gesam­ten Ver­ar­bei­tungs­tä­tig­keit durch­füh­ren. Dies kann sehr auf­wän­dig sein und soll­te von Exper­ten beglei­tet wer­den, die sich mit der The­ma­tik auskennen.

Füh­ren Sie eine Daten­schutz-Fol­gen­ab­schät­zung durch!

Sehen Sie die Durch­füh­rung einer Daten­schutz-Fol­gen­ab­schät­zung als Pro­jekt mit meh­re­ren Betei­lig­ten an. Erstel­len Sie ein Pro­jekt­team und invol­vie­ren Sie Ihren Daten­schutz­be­auf­trag­ten früh­zei­tig. Fol­gen­de Punk­te soll­ten in der Doku­men­ta­ti­on laut Gesetz ent­hal­ten sein:

Soll­te die Ver­ar­bei­tungs­tä­tig­keit nach Durch­füh­rung der detail­lier­ten Prü­fung der Ver­ar­bei­tungs­tä­tig­keit immer noch ein hohes Risi­ko für die Rech­te und Frei­hei­ten der betrof­fe­nen Per­so­nen mit sich brin­gen, müs­sen Sie die Auf­sichts­be­hör­de kontaktieren.

Sie benö­ti­gen Unter­stüt­zung beim Risi­ko­ma­nage­ment und (Prü­fung auf Not­wen­dig­keit) der Daten­schutz-Fol­gen­ab­schät­zung? Mel­den Sie sich gerne.

Kon­ti­nu­ier­li­che Verbesserung

Ver­bes­sern bedeu­tet vor­ran­gig Pro­ble­me lösen. Pro­ble­me lösen wie­der­um heißt, Ler­nen und Anpas­sung. Das PDCA-Modell (Plan – Do – Check – Act) stellt die Ist-Situa­ti­on des Unter­nehmens per­ma­nent infra­ge und star­tet im Unter­neh­men einen wieder­kehrenden Regel­kreis zur Verbess­erung der Abläu­fe und Prozesse. 

Auch beim Risi­ko­ma­nage­ment muss eine Aktua­li­sie­rung und fes­te Ein­bin­dung im Gestal­tungs­pro­zess von Geschäfts­pro­zes­sen erfolgen.

Blei­ben SIe aktuell!

Erstel­len auch Sie einen Regel­kreis, damit das Risi­ko­ma­nage­ment aktu­ell bleibt. Prü­fen Sie, ob es am Markt mitt­ler­wei­le bes­se­re bzw. noch ein­fa­che­re Metho­den gibt, um ein Risi­ko im Daten­schutz zu bestimmen.

Sie benö­ti­gen Unter­stüt­zung bei dem „Risi­ko­ma­nage­ment“ und der Datenschutz-Folgenabschätzung? 

Plan

Fest­le­gung von Art, Umfang und Form des Risi­ko­ma­nage­ments im Datenschutz

Do

Fest­le­gung der Ansprech­part­ner, Schu­lung, Ent­wurf und Freigabe

Act

Aktua­li­sie­rung und Anpas­sung der Risikomanagements

Check

Prü­fung der Aktua­li­tät und Rich­tig­keit des Risikomanagements.

Leis­tun­gen

Bei den meis­ten Geschäfts­pro­zes­sen wer­den per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet. Fin­den Sie hier mei­ne Dienst­leis­tun­gen, die ich diver­sen Unter­neh­men seit vie­len Jah­ren zur Ver­fü­gung stelle. 

Cle­ver sein — das Risi­ko­ma­nage­ment und die Daten­schutz-Fol­gen­ab­schät­zung effi­zi­ent und pra­xis­nah gestalten

Ich unter­stüt­ze Sie bei der Erstel­lung Ihrer Risi­ko­be­wer­tung und der Daten­schutz-Fol­gen­ab­schät­zung. Nut­zen Sie mei­ne mehr­jäh­ri­ge Exper­ti­se, um zügig die Risi­ko­be­wer­tung Ihrer Ver­ar­bei­tungs­tä­tig­kei­ten zu erstel­len.

Buchen Sie ein ent­spre­chen­des Modul oder nut­zen Sie mei­ne punk­tu­el­le Unter­stüt­zung. Ich bie­te Ihnen die Doku­men­ta­ti­on in Ihrem Ziel­sys­tem. Nach mei­ner Erfah­rung ist die Inter­view­tech­nik die effi­zi­en­tes­te Metho­de, um zügig zu der ers­ten Ver­si­on zu kom­men. Die Bera­tung kann bei Ihnen vor Ort oder per Video­kon­fe­renz erfol­gen. 

10 Fra­gen zum Risi­ko­ma­nage­ment und Datenschutz-Folgenabschätzung

Jedes Unter­nehmen, wel­ches per­so­nen­be­zo­ge­ne Daten regel­mä­ßig ver­ar­bei­tet, hat die gesetz­li­che Pflicht, ein Risi­ko­ma­nage­ment zu erstel­len. Da immer noch viel Unsi­cher­heit in die­sem The­ma besteht, fin­den Sie hier ein paar Ant­wor­ten auf die häu­figs­ten Fra­gen:

Die DSGVO ver­pflich­tet Unter­neh­men, ange­mes­se­ne und wirk­sa­me Maß­nah­men zum Schutz per­so­nen­be­zo­ge­ner Daten zu eta­blie­ren. Für eine Beur­tei­lung, wel­che Maß­nah­men getrof­fen wer­den müs­sen oder ob vor­han­de­ne Maß­nah­men aus­rei­chend sind, ist eine Risi­ko­ana­ly­se erfor­der­lich. Risi­ken, die sich zum Bei­spiel aus einem unbe­fug­ten Zugriff auf Per­so­nal­da­ten erge­ben könn­ten, müs­sen erkannt und bewer­tet wer­den. Rei­chen die vor­han­de­nen Schutz­maß­nah­men aus oder müs­sen die Maß­nah­men opti­miert oder erwei­tert wer­den? Die Risi­ko­ana­ly­se wird zum Mess­in­stru­ment für eine daten­schutz­kon­for­me Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten.

Vor der Risi­ko­be­wer­tung ist zu prü­fen, ob die Ver­ar­bei­tungs­tä­tig­keit ord­nungs­ge­mäß doku­men­tiert wor­den ist und die Daten­schutz­grund­sät­ze erfüllt sind. Dazu gehö­ren fol­gen­de Punkte:

  • - Recht­mä­ßig­keit, Ver­ar­bei­tung nach Treu und Glau­ben, Transparenz
  • - Zweck­bin­dung
  • - Daten­mi­nie­rung
  • - Rich­tig­keit
  • - Spei­cher­be­gren­zung
  • - Inte­gri­tät und Vertraulichkeit
  • - Nach­weis­bar­keit

Bei einer Iden­ti­fi­ka­ti­on der Risi­ken für betrof­fe­ne Per­so­nen fin­det man in der DSGVO fol­gen­de Beispiele 

  • - Dis­kri­mi­nie­rung
  • - Iden­ti­täts­dieb­stahl oder ‑betrug
  • - finan­zi­el­ler Verlust
  • - Ruf­schä­di­gung,
  • - wirt­schaft­li­che oder gesell­schaft­li­che Nachteile
  • - Erschwe­rung der Rechts­aus­übung und Ver­hin­de­rung der Kon­trol­le durch betrof­fe­ne Personen
  • - Aus­schluss oder Ein­schrän­kung der Aus­übung von Rech­ten und Freiheiten
  • - Pro­fi­ler­stel­lung oder ‑nut­zung durch Bewer­tung per­sön­li­cher Aspekte
  • - kör­per­li­che Schä­den infol­ge von Hand­lun­gen auf der
    Grund­la­ge feh­ler­haf­ter oder offen­ge­leg­ter Daten

Fol­gen­de Ereig­nis­se kön­nen bei betrof­fe­nen Per­so­nen zu einem Scha­den führen:

  • - unbe­fug­te oder unrecht­mä­ßi­ge Verarbeitung
  • - Ver­ar­bei­tung wider Treu und Glauben
  • - für den Betrof­fe­nen intrans­pa­ren­te Verarbeitung
  • - unbe­fug­te Offen­le­gung von und Zugang zu Daten
  • - unbe­ab­sich­tig­ter Ver­lust, Zer­stö­rung oder Schä­di­gung von Daten
  • - Ver­wei­ge­rung der Betroffenenrechte
  • - Ver­wen­dung der Daten durch den Ver­ant­wort­li­chen zu
    Zwe­cken, die nicht recht­mä­ßig sind
  • - Ver­ar­bei­tung von Daten, die nicht ange­for­dert wurden
  • - Ver­ar­bei­tung nicht rich­ti­ger Daten,
  • - Ver­ar­bei­tung über die Spei­cher­frist hinaus.

Wei­te­re Gefähr­dun­gen erge­ben sich aus dem Bereich der Infor­ma­ti­ons­si­cher­heit, die oben im Video dar­ge­stellt werden.

Unter­schät­zen Sie den Auf­wand einer Risi­ko­be­wer­tung nicht. Pla­nen Sie genü­gend Zeit und Res­sour­cen aus allen betei­lig­ten Fach­be­rei­chen ein.

Auf­ge­deck­te Män­gel und deren Behe­bung kön­nen eben­falls Zeit und Auf­wän­de mit sich bringen. 

Fazit: Eine Risi­ko­ana­ly­se ist stark abhän­gig von Ver­ar­bei­tungs­tä­tig­keit, den erfor­der­li­chen Betei­lig­ten und den not­wen­di­gen IT-Sys­te­men und Schnittstellen.

Neh­men Sie mit mir Kon­takt für eine Kos­ten- und Auf­wands­schät­zung Ihres Risi­ko­ma­nage­ments auf.

Eine Daten­schutz-Fol­gen­ab­schät­zung ist erfor­der­lich, wenn die Ver­ar­bei­tung vor­aus­sicht­lich ein hohes Risi­ko für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen zur Fol­ge hat.

Der Auf­wand ermit­telt sich unter ande­rem an der Kom­ple­xi­tät der Ver­ar­bei­tungs­tä­tig­keit, der invol­vier­ten Betei­lig­ten und der Anzahl der IT-Sys­te­me und Schnittstellen.

Grund­sätz­lich müs­sen Sie für die Erstel­lung eher in Tagen als in Stun­den den­ken. Für eine Abschät­zung der Erstel­lung einer Daten­schutz-Fol­gen­ab­schät­zung mel­den Sie sich ger­ne bei mir.

Eine Daten­schutz-Fol­gen­ab­schät­zung (DSFA) ist eine daten­schutz­recht­li­che Detail­ana­ly­se einer Ver­ar­bei­tungs­tä­tig­keit. Der Ver­ant­wort­li­che der Daten­ver­ar­bei­tung ist für die Erstel­lung der DSFA zustän­dig. Dabei soll­te ein Pro­jekt­team gebil­det wer­den, weil tech­ni­sche, funk­tio­na­le, daten­schutz­recht­li­che und orga­ni­sa­to­ri­sche Aspek­te berück­sich­tigt wer­den müs­sen. Der Daten­schutz­be­auf­trag­te ist dabei hinzuzuziehen.

Eine DSFA muss min­des­tens ent­hal­ten: eine sys­te­ma­ti­sche Beschrei­bung der geplan­ten Ver­ar­bei­tungs­vor­gän­ge und der Zwe­cke der Ver­ar­bei­tung, gege­be­nen­falls ein­schließ­lich der von dem für die Ver­ar­bei­tung Ver­ant­wort­li­chen ver­folg­ten berech­tig­ten Interessen.

Wei­te­re Details sie­he oben.

Der Ver­ant­wort­li­che stellt der Auf­sichts­be­hör­de fol­gen­de Infor­ma­tio­nen zur Verfügung:

  • - Anga­ben zu den jewei­li­gen Zustän­dig­kei­ten des Ver­ant­wort­li­chen und wei­te­ren Beteiligten
  • - die Zwe­cke und die Mit­tel der beab­sich­tig­ten Verarbeitung
  • die zum Schutz der Rech­te und Frei­hei­ten der betrof­fe­nen Per­so­nen vor­ge­se­he­nen Maß­nah­men und Garantien
  • ggf. die Kon­takt­da­ten des Datenschutzbeauftragten
  • die Daten­schutz-Fol­gen­ab­schät­zung
  • alle sons­ti­gen von der Auf­sichts­be­hör­de ange­for­der­ten Informationen.

Kon­takt

Buchen Sie ein kos­ten­frei­es Erst­ge­spräch und las­sen Sie uns über Ihr Risi­ko­ma­nage­ment sprechen.

kontakt-niehoff-systemberatung

Aktu­el­le News zum The­ma Daten­schutz und Informationssicherheit

In die­sem Bereich fin­den Sie Nach­rich­ten und Hin­ter­grund­in­for­ma­tio­nen zum The­ma Daten­schutz und Infor­ma­ti­ons­si­cher­heit. Sie haben ein The­ma, was einen Bei­trag wert wäre? Mel­den Sie sich gerne.