Risikoanalyse im Datenschutz

Eine DSGVO-Risikoanalyse ist die Beurteilung, ob durch eine falsche oder fehlerhafte Verarbeitung personenbezogener Daten (z. B. durch einen Newsletter-Versand) ein Risiko für die Rechte und Freiheiten einer betroffenen Person entstehen kann. Um dieses potenzielle Risiko besser einschätzen zu können und um zu evaluieren, ob eine Datenschutz-Folgenabschätzung notwendig ist, muss eine Bewertung vorgenommen werden, wann etwas als risikoreich einzustufen ist.

Aufbau einer Datenschutz-Risikoanalyse

Die Risikoanalyse im Datenschutz stützt sich wie eine herkömmliche Risikoanalyse zur Beurteilung vor allem auf zwei Eckpfeiler: Die Eintrittswahrscheinlichkeit und die Schwere des Schadens. Aus Betroffenensicht müssen anhand dieser Kriterien systematisch etwaige Risiken ausgemacht, beurteilt und dokumentiert werden. Dass bei diesem Risikomanagement nach der DSGVO vom Beurteilenden die Sicht der betroffenen Person eingenommen werden muss, hebt diese Art der Risikoanalyse von herkömmlichen Risikoanalysen und Durchführungen ab.

Obwohl die DSGVO einem risikobasierten Ansatz folgt, definiert sie nicht, was unter einem Datenschutz-Risiko zu verstehen ist. Unter Erwägungsgrund 75 der DSGVO sind jedoch unterschiedliche Datenschutzrisiken aus Betroffenensicht aufgeführt, die aber einiges an Interpretationsspielraum lassen. Diese Datenschutzrisiken beziehen sich auf personenbezogene Daten und sind unter anderem:

• Diskriminierung
• Identitätsdiebstahl oder -betrug
• Finanzieller Verlust
• Rufschädigung
• Andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile

Vorgehen für ein sicheres Datenschutz-Risikomanagement im Unternehmen

Es gibt verschiedene Datenschutz-Schutzstufen, die Sie im DSGVO-Risikomanagement beachten müssen. Um abzuwägen, wie risikobehaftet eine Situation und damit die Eintrittswahrscheinlichkeit ist und ob eine Datenschutz-Folgenabschätzung gebraucht wird, empfiehlt es sich, Folgendes zu überprüfen:

1. Wie wahrscheinlich ist es, dass ein bestimmtes Ereignis mit potenziell negativen Folgen eintritt?

Dies kann anhand der folgenden Kriterien beurteilt werden:

• Missbrauchsinteresse: Wie relevant sind die Daten für Dritte, beispielsweise, um einen Identitätsdiebstahl durchzuführen?
• Aufwand, der benötigt wird, um den bestimmten Schaden zu verursachen?
• Entdeckungsrisiko: Wie hoch sind die Sicherheitsvorkehrungen und wie schnell wird ein Missbrauch entdeckt werden?
• Verarbeitungshäufigkeit: Wie oft werden die betroffenen Daten verarbeitet, wobei eine Manipulation möglich wäre?

Zur Einstufung der Wahrscheinlichkeit werden die Stufen „niedrig“, „mittel“, „hoch“ und „sehr hoch“ empfohlen.

2. Wie hoch ist das Risiko für Betroffene hinsichtlich der verschiedenen Lebensbereiche?

Auch hierbei empfiehlt es sich, ebenfalls auf qualitativ bewertbare Kriterien zurückzugreifen, um die Schwere des Risikos für einen Betroffenen abbilden zu können. Ansatzpunkte hierfür wären etwa:

• Einschnitte in das informationelle Selbstbestimmungsrecht eines Betroffenen: Wurden personenbezogene Daten z. B. unzulässigen Marketingzwecken zugeführt?
• Finanzielle Auswirkungen: Entstehen dem Betroffenen Zusatzkosten oder gar unschätzbare finanzielle Belastungen, etwa durch einen Identitätsdiebstahl?
• Soziale Folgen für den Betroffenen: Wurden hochsensible personenbezogene Daten öffentlich bekannt, etwa zur sexuellen oder politischen Orientierung, und resultieren daraus Ausgrenzung, Mobbing oder Diskriminierung?
• Gesundheitliche Auswirkungen: Leidet der Betroffene als Resultat unter psychischen und physischem Stress bis hin zu schweren Depressionen?

Zur Einstufung der Schwere werden ebenfalls die Stufen „niedrig“, „mittel“, „hoch“ und „sehr hoch“ empfohlen.

Wie ist Ihr Unternehmen aufgestellt?

Gerade Unternehmen sollten bei der Bewertung der Risiken von Verarbeitungstätigkeiten über die wichtigsten Aspekte im Bilde sein, da es sich um eine zentrale datenschutzrechtliche Pflicht handelt. Kenntnisse über die Durchführung zielgerichteter, praxisorientierter Risikobewertungen verringern die unternehmerischen Herausforderungen in puncto Datenschutz und können somit zu einer Vermeidung von:

• Reputationsverlust oder
• hohen Bußgeldern bzw. gar Schadensersatzforderungen beitragen.

Jetzt Checkliste herunterladen und prüfen, wie es um Risikobewertungen und Datenschutz-Folgenabschätzungen in Ihrem Unternehmen steht.

Wir unterstützen Sie bei Risikobewertungen und Datenschutz-Folgenabschätzung im Unternehmen

Wenn Sie sich unsicher sind oder gerne eine Anleitung für das Nachkommen Ihrer datenschutzrechtlichen Pflichten wünschen, dann hilft die Software Proliance 360 weiter: Proliance 360 unterstützt Sie beim Erkennen und Minimieren von Risiken von Verarbeitungstätigkeiten, indem Ihnen das Tool unter anderem vorgedachte und insbesondere praxistaugliche Lösungen an die Hand gibt.

Zusätzlich steht Ihnen natürlich Ihr externer Datenschutzbeauftragter von datenschutzexperte.de zur Seite: Er wird Ihnen schnell und zuverlässig bei der Risikobewertung von Verarbeitungstätigkeiten helfen. Sollten bereits hohe Risiken identifiziert worden sein, wird Sie Ihr externer Datenschutzbeauftragter professionell beim weiteren Vorgehen unterstützen.

Mehr zum Thema Risikobewertung und Datenschutz-Folgenabschätzung erfahren Sie außerdem in unserem Blogartikel: DSFA – wann ist eine Datenschutz-Folgenabschätzung nötig?

Beispielfall einer Risikoanalyse: IT-Risikoanalyse

In der Praxis empfiehlt es sich, eine solche Datenschutz-Risikoanalyse für ein Unternehmen nach einem bestimmten Muster vorzunehmen. Dieses kann beispielsweise wie folgt aussehen:

Ausgangsszenario: Ein Unternehmen hat nur einen IT-Sicherheitsangestellten, der der Einzige ist, der mit dem Vorgehen bei einer Datenschutzverletzung vertraut ist.

Risiko-Szenario: Ausfall des IT-Sicherheitsangestellten durch Krankheit

Beschreibung eines potenziellen Schadens: Datenschutzverletzung, beispielsweise durch einen Virus, der bei einem Mitarbeiter in einer Mail versteckt war und personenbezogene Daten abgreift

Schwachstelle: IT-Sicherheitsangestellter ist ohne Vertreter

Auswirkung des Schadens: Im schlimmsten Fall wird das ganze Unternehmens-Netzwerk befallen, die Arbeit kommt zum Erliegen

Grund für das Eintreten des Szenarios: Der IT-Sicherheitsmitarbeiter ist ohne qualifizierte Vertretung, Know-How liegt bei einer Person

Schadensklasse: Sehr hoch

Eintrittswahrscheinlichkeit: hoch

Beispielsfall einer Risikoanalyse: IT-Risikoanalyse - Risikomatrix

Wenn Sie sich unsicher sind, wie Sie ein Risiko bewerten sollen, dann können Sie es auch anhand einer Matrix visuell darstellen. Das oben herangezogene IT-Risiko-Beispiel kann so in einer gebräuchlichen Risikomatrix verdeutlicht und eingeordnet werden.

Sollten Sie zu diesem Thema konkrete Fragen haben, beispielsweise, wie Sie solche Risikoanalysen für Ihr Unternehmen umsetzen können ober ob Sie für ein bestimmtes Szenario eine Datenschutz-Folgenabschätzung (DSFA) brauchen, hilft Ihnen ein externer Datenschutzexperte jederzeit weiter.

Muster-Risikoanalyse zum Download

Zu Dokumentations- und Übersichtszwecken ist es ratsam, eine Risikoanalyse im Datenschutz schriftlich vorzunehmen. Hierfür am besten geeignet sind tabellarische Vorlagen. Ein solches Risikoanalyse-Muster bieten wir Ihnen folgend zum Download an. Der oben aufgeführte exemplarische IT-Risikoanalyse-Fall ist bereits als Orientierungsbeispiel in der Tabelle eingetragen.