Magazin
Risikoanalyse im Datenschutz

Risikoanalyse im Datenschutz

Letztes Update:
14
.
10
.
2024
Lesezeit:
0
Min
Das Wort „Risikomanagement“ ist für viele Unternehmer kein Fremdwort – und doch ist es, in Verbindung mit der Datenschutzgrundverordnung, für viele ein Buch mit sieben Siegeln. Das aber muss es nicht sein, denn die Datenschutz-Risikoanalyse gleicht einer herkömmlichen Risikoanalyse.
Risikoanalyse im Datenschutz
Die wichtigsten Erkenntnisse
  • Datenschutz-Risikoanalyse beurteilt Risiken für die Rechte und Freiheiten Betroffener.
  • Bewertungskriterien: Eintrittswahrscheinlichkeit und Schwere des Schadens.
  • Software Proliance 360 unterstützt bei rechtssicherer Risikobewertung und Dokumentation.
  • Risikobewertung erfordert Betrachtung aus Perspektive der betroffenen Personen.
  • Risiken können Diskriminierung, Identitätsdiebstahl, finanzieller Verlust oder Rufschädigung umfassen.

Eine DSGVO-Risikoanalyse ist die Beurteilung, ob durch eine falsche oder fehlerhafte Verarbeitung personenbezogener Daten (z. B. durch einen Newsletter-Versand) ein Risiko für die Rechte und Freiheiten einer betroffenen Person entstehen kann. Um dieses potenzielle Risiko besser einschätzen zu können und um zu evaluieren, ob eine Datenschutz-Folgenabschätzung notwendig ist, muss eine Bewertung vorgenommen werden, wann etwas als risikoreich einzustufen ist.

Aufbau einer Datenschutz-Risikoanalyse

Die Risikoanalyse im Datenschutz stützt sich wie eine herkömmliche Risikoanalyse zur Beurteilung vor allem auf zwei Eckpfeiler: Die Eintrittswahrscheinlichkeit und die Schwere des Schadens. Aus Betroffenensicht müssen anhand dieser Kriterien systematisch etwaige Risiken ausgemacht, beurteilt und dokumentiert werden. Dass bei diesem Risikomanagement nach der DSGVO vom Beurteilenden die Sicht der betroffenen Person eingenommen werden muss, hebt diese Art der Risikoanalyse von herkömmlichen Risikoanalysen und Durchführungen ab.

Obwohl die DSGVO einem risikobasierten Ansatz folgt, definiert sie nicht, was unter einem Datenschutz-Risiko zu verstehen ist. Unter Erwägungsgrund 75 der DSGVO sind jedoch unterschiedliche Datenschutzrisiken aus Betroffenensicht aufgeführt, die aber einiges an Interpretationsspielraum lassen. Diese Datenschutzrisiken beziehen sich auf personenbezogene Daten und sind unter anderem:

  • Diskriminierung
  • Identitätsdiebstahl oder -betrug
  • Finanzieller Verlust
  • Rufschädigung
  • Andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile

Vorgehen für ein sicheres Datenschutz-Risikomanagement im Unternehmen

Es gibt verschiedene Datenschutz-Schutzstufen, die Sie im DSGVO-Risikomanagement beachten müssen. Um abzuwägen, wie risikobehaftet eine Situation und damit die Eintrittswahrscheinlichkeit ist und ob eine Datenschutz-Folgenabschätzung gebraucht wird, empfiehlt es sich, Folgendes zu überprüfen:

  1. Wie wahrscheinlich ist es, dass ein bestimmtes Ereignis mit potenziell negativen Folgen eintritt?

Dies kann anhand der folgenden Kriterien beurteilt werden:

  • Missbrauchsinteresse: Wie relevant sind die Daten für Dritte, beispielsweise, um einen Identitätsdiebstahl durchzuführen?
  • Aufwand, der benötigt wird, um den bestimmten Schaden zu verursachen?
  • Entdeckungsrisiko: Wie hoch sind die Sicherheitsvorkehrungen und wie schnell wird ein Missbrauch entdeckt werden?
  • Verarbeitungshäufigkeit: Wie oft werden die betroffenen Daten verarbeitet, wobei eine Manipulation möglich wäre?

Zur Einstufung der Wahrscheinlichkeit werden die Stufen „niedrig“, „mittel“, „hoch“ und „sehr hoch“ empfohlen.

  1. Wie hoch ist das Risiko für Betroffene hinsichtlich der verschiedenen Lebensbereiche?

Auch hierbei empfiehlt es sich, ebenfalls auf qualitativ bewertbare Kriterien zurückzugreifen, um die Schwere des Risikos für einen Betroffenen abbilden zu können. Ansatzpunkte hierfür wären etwa:

  • Einschnitte in das informationelle Selbstbestimmungsrecht eines Betroffenen: Wurden personenbezogene Daten z. B. unzulässigen Marketingzwecken zugeführt?
  • Finanzielle Auswirkungen: Entstehen dem Betroffenen Zusatzkosten oder gar unschätzbare finanzielle Belastungen, etwa durch einen Identitätsdiebstahl?
  • Soziale Folgen für den Betroffenen: Wurden hochsensible personenbezogene Daten öffentlich bekannt, etwa zur sexuellen oder politischen Orientierung, und resultieren daraus Ausgrenzung, Mobbing oder Diskriminierung?
  • Gesundheitliche Auswirkungen: Leidet der Betroffene als Resultat unter psychischen und physischem Stress bis hin zu schweren Depressionen?

Zur Einstufung der Schwere werden ebenfalls die Stufen „niedrig“, „mittel“, „hoch“ und „sehr hoch“ empfohlen.

Wie ist Ihr Unternehmen aufgestellt?

Gerade Unternehmen sollten bei der Bewertung der Risiken von Verarbeitungstätigkeiten über die wichtigsten Aspekte im Bilde sein, da es sich um eine zentrale datenschutzrechtliche Pflicht handelt. Kenntnisse über die Durchführung zielgerichteter, praxisorientierter Risikobewertungen verringern die unternehmerischen Herausforderungen in puncto Datenschutz und können somit zu einer Vermeidung von:

  • Reputationsverlust oder
  • hohen Bußgeldern bzw. gar Schadensersatzforderungen beitragen.

Jetzt Checkliste herunterladen und prüfen, wie es um Risikobewertungen und Datenschutz-Folgenabschätzungen in Ihrem Unternehmen steht.

Wir unterstützen Sie bei Risikobewertungen und Datenschutz-Folgenabschätzung im Unternehmen

Wenn Sie sich unsicher sind oder gerne eine Anleitung für das Nachkommen Ihrer datenschutzrechtlichen Pflichten wünschen, dann hilft die Software Proliance 360 weiter: Proliance 360 unterstützt Sie beim Erkennen und Minimieren von Risiken von Verarbeitungstätigkeiten, indem Ihnen das Tool unter anderem vorgedachte und insbesondere praxistaugliche Lösungen an die Hand gibt.

Zusätzlich steht Ihnen natürlich Ihr externer Datenschutzbeauftragter von datenschutzexperte.de zur Seite: Er wird Ihnen schnell und zuverlässig bei der Risikobewertung von Verarbeitungstätigkeiten helfen. Sollten bereits hohe Risiken identifiziert worden sein, wird Sie Ihr externer Datenschutzbeauftragter professionell beim weiteren Vorgehen unterstützen.

Mehr zum Thema Risikobewertung und Datenschutz-Folgenabschätzung erfahren Sie außerdem in unserem Blogartikel: DSFA – wann ist eine Datenschutz-Folgenabschätzung nötig?

Beispielfall einer Risikoanalyse: IT-Risikoanalyse

In der Praxis empfiehlt es sich, eine solche Datenschutz-Risikoanalyse für ein Unternehmen nach einem bestimmten Muster vorzunehmen. Dieses kann beispielsweise wie folgt aussehen:

Ausgangsszenario: Ein Unternehmen hat nur einen IT-Sicherheitsangestellten, der der Einzige ist, der mit dem Vorgehen bei einer Datenschutzverletzung vertraut ist.

Risiko-Szenario: Ausfall des IT-Sicherheitsangestellten durch Krankheit

Beschreibung eines potenziellen Schadens: Datenschutzverletzung, beispielsweise durch einen Virus, der bei einem Mitarbeiter in einer Mail versteckt war und personenbezogene Daten abgreift

Schwachstelle: IT-Sicherheitsangestellter ist ohne Vertreter

Auswirkung des Schadens: Im schlimmsten Fall wird das ganze Unternehmens-Netzwerk befallen, die Arbeit kommt zum Erliegen

Grund für das Eintreten des Szenarios: Der IT-Sicherheitsmitarbeiter ist ohne qualifizierte Vertretung, Know-How liegt bei einer Person

Schadensklasse: Sehr hoch

Eintrittswahrscheinlichkeit: hoch

Beispielsfall einer Risikoanalyse: IT-Risikoanalyse - Risikomatrix

Wenn Sie sich unsicher sind, wie Sie ein Risiko bewerten sollen, dann können Sie es auch anhand einer Matrix visuell darstellen. Das oben herangezogene IT-Risiko-Beispiel kann so in einer gebräuchlichen Risikomatrix verdeutlicht und eingeordnet werden.

Sollten Sie zu diesem Thema konkrete Fragen haben, beispielsweise, wie Sie solche Risikoanalysen für Ihr Unternehmen umsetzen können ober ob Sie für ein bestimmtes Szenario eine Datenschutz-Folgenabschätzung (DSFA) brauchen, hilft Ihnen ein externer Datenschutzexperte jederzeit weiter.

Muster-Risikoanalyse zum Download

Zu Dokumentations- und Übersichtszwecken ist es ratsam, eine Risikoanalyse im Datenschutz schriftlich vorzunehmen. Hierfür am besten geeignet sind tabellarische Vorlagen. Ein solches Risikoanalyse-Muster bieten wir Ihnen folgend zum Download an. Der oben aufgeführte exemplarische IT-Risikoanalyse-Fall ist bereits als Orientierungsbeispiel in der Tabelle eingetragen.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Datenschutz-Folgenabschätzung
Datenschutz im Unternehmen
Datensicherheit
Redaktion
Alexander Ingelheim
Co-Founder & CEO
-
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
In diesem Beitrag
Example Link H2
Example Link H3
Example Link H4
Example Link H5
Example Link H6
Beitrag teilen
Sie haben noch Fragen? Wir sind gerne für Sie da.
Unverbindliche Beratung
Verwandte Artikel

Ähnliche Themen, die Sie auch interessieren könnten

Bußgeldkatalog bei Datenschutzverstoß
14
.
10
.
2024
Bußgeldkatalog bei Datenschutzverstoß
Bußgelder sind neben strafrechtlichen Sanktionen typische Instrumente, um Rechtsvorschriften in der Praxis durchzusetzen. Auch die datenschutzrechtlichen Vorschriften der Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) sehen daher Bußgelder vor. Seit Inkrafttreten der Datenschutzgrundverordnung ist es bereits zu mehreren Millionenbußgeldern gegen Unternehmen und tausenden kleineren Bußgeldern gekommen. Das Thema der DSGVO-Bußgelder ist also nicht auf die leichte Schulter zu nehmen – darum sollten Sie sich umfassend über dieses Thema informieren.
Ausspähen von Daten gem. § 202a StGB: Straftaten durch Cyberangriffe weiter auf dem Vormarsch
20
.
09
.
2024
Ausspähen von Daten gem. § 202a StGB: Straftaten durch Cyberangriffe weiter auf dem Vormarsch
Das Ausspähen von Daten nach § 202a des Strafgesetzbuches ist zu einer der größten Bedrohungen für deutsche Unternehmen geworden. Experten mahnen zu mehr Investitionen in die Informationssicherheit.
Screensharing und Datenschutz: Die besten Tipps
29
.
06
.
2020
Screensharing und Datenschutz: Die besten Tipps
Damit auch in Zeiten von Corona und flächendeckendem Home-Office der Datenschutz bei digitalen Arbeiten nicht vergessen wird, haben wir für Sie die besten Datenschutz-Tipps zum Thema Screensharing.
Löschkonzept nach DSGVO in Unternehmen
14
.
10
.
2024
Löschkonzept nach DSGVO in Unternehmen
Bereits vor der DSGVO sah das alte Bundesdatenschutzgesetz eine Löschung von Daten in bestimmten Fällen vor. Viele Unternehmen das Thema Datenlöschung nicht ernst genommen und folglich ihre Löschpflicht nicht konsequent umgesetzt. Mit der seit dem 25. Mai 2018 geltenden EU-Datenschutzverordnung (DSGVO) können sich Unternehmen angesichts drastisch erhöhter Bußgeldrahmen bei Datenpflichtverstößen Nachlässigkeiten in diesem Bereich nicht mehr leisten. Denn eines ist klar: Zu jedem datenschutzkonformen Datenmanagement im Unternehmen gehört zwingend ein entsprechendes Löschkonzept. Was ist dabei zu beachten?
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Datenschutzaudit: Der Fragenkatalog für die Zertifizierung
30
.
10
.
2024
Datenschutzaudit: Der Fragenkatalog für die Zertifizierung
Der Datenschutzaudit nach DSGVO bietet für Unternehmen die Möglichkeit, die eigene Datenschutzkonformität freiwillig prüfen zu lassen und nach außen hin durch ein Zertifikat unter Beweis zu stellen.
Datenschutz im Gesundheitswesen: Ein Blick auf Gesundheitsdaten und die DSGVO
30
.
10
.
2024
Datenschutz im Gesundheitswesen: Ein Blick auf Gesundheitsdaten und die DSGVO
Egal, ob in der Arztpraxis, in der Pflege oder im Krankenhaus – Datenschutz im Gesundheitswesen ist von großer Bedeutung. Wir werfen einen Blick darauf, welche Regeln gemäß der DSGVO für medizinische Daten gelten und geben praktische Tipps, um den Herausforderungen erfolgreich zu begegnen.
Ab wann ist ein Datenschutzbeauftragter Pflicht?
14
.
10
.
2024
Ab wann ist ein Datenschutzbeauftragter Pflicht?
Die Datenschutzgrundverordnung (DSGVO) weitet den Verantwortungsbereich des Datenschutzbeauftragten aus und droht daneben mit erheblichen Sanktionen bei Nichtbeachtung der datenschutzrechtlichen Vorschriften. Sich mit der Pflicht zur Bestellung eines Datenschutzbeauftragten auseinanderzusetzen, ist für Unternehmen daher unabdingbar.
Aufbewahrungsfristen & Löschfristen nach DSGVO
14
.
10
.
2024
Aufbewahrungsfristen & Löschfristen nach DSGVO
Unternehmen verarbeiten oftmals eine Menge personenbezogener Daten. Für diese Datenverarbeitung und -Speicherung benötigen sie eine entsprechende Rechtsgrundlage. Sollte der Grund oder die Rechtsgrundlage hierfür entfallen, sind Unternehmen grundsätzlich verpflichtet, die Daten zu löschen. Hierzu gibt es die sogenannten Aufbewahrungsfristen. Gesetzliche Aufbewahrungsfristen geben vor, wie lange gewisse Unterlagen aufbewahrt werden müssen und schieben die datenschutzrechtlichen Löschfristen nach hinten. Diese Fristen müssen beachtet werden, da sonst Bußgelder die Folge sein können.
datenschutz-Muster

Kostenlose Materialien zum Thema

Verarbeitungsverzeichnis (VVT)
Nutzen Sie unser kostenloses VVT Datenschutz Muster und setzen Sie die DSGVO sicher um.
Bestellung eines Datenschutz­beauftragten nach DSGVO
Berufen Sie jetzt einfach und schnell einen Datenschutzexperten mit unserer Bestellurkunde.
Auftrags­verarbeitungsvertrag (AV-Vertrag)
Erstellen Sie mit unserem kostenlosen Muster einen DSGVO-konformen Auftragsverarbeitungsvertrag.
Home-Office Vereinbarung für Mitarbeiter
Jetzt Datenschutz-Vorlage downloaden und eine Zusatzvereinbarung Home-Office erstellen
Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!