Risikoanalyse im Datenschutz: Aufbau, Ablauf und Beispiele aus der Praxis
- Eine Datenschutz-Risikoanalyse beurteilt Risiken für die Rechte und Freiheiten Betroffener.
- Risiken können Diskriminierung, Identitätsdiebstahl, finanzieller Verlust oder Rufschädigung umfassen.
- Eine Risikobewertung sollte die Perspektive der betroffenen Personen berücksichtigen.
- Zu den Bewertungskriterien gehören Eintrittswahrscheinlichkeit und Schwere des Schadens.
- Software wie Proliance 360 unterstützt bei der rechtssicherer Risikobewertung und der sauberen Dokumentation.
- Item A
- Item B
- Item C
Was ist eine Risikoanalyse im Sinne der DSGVO?
Eine DSGVO-Risikoanalyse dient dazu, zu ermitteln, ob und in welchem Ausmaß eine Verarbeitung personenbezogener Daten Risiken für die Rechte und Freiheiten betroffener Personen mit sich bringen kann. Auf dieser Grundlage können Unternehmen evaluieren, ob eine Datenschutz-Folgenabschätzung (DSFA) erforderlich ist und wann die Verarbeitung als risikoreich einzustufen ist.
Besonderheiten einer Datenschutz-Risikoanalyse nach DSGVO
Bei der Beurteilung von Risiken stützt sich die Risikoanalyse im Datenschutz genau wie die herkömmliche Risikoanalyse vor allem auf zwei Eckpfeiler: Die Eintrittswahrscheinlichkeit und die Schwere des Schadens.
Anhand dieser Kriterien müssen Unternehmen systematisch etwaige Risiken ausmachen, beurteilen und dokumentieren. Das Besondere dabei: Der Beurteilende muss dabei die Sicht der betroffenen Person einnehmen.
Was gilt laut DSGVO als Datenschutzrisiko?
Obwohl die DSGVO einem risikobasierten Ansatz folgt, definiert sie nicht, was unter einem Datenschutzrisiko zu verstehen ist. Unter Erwägungsgrund 75 der DSGVO sind unterschiedliche Datenschutzrisiken aus Betroffenensicht aufgeführt, die jedoch einiges an Interpretationsspielraum lassen. Diese Datenschutzrisiken beziehen sich auf personenbezogene Daten und umfassen unter anderem:
- Diskriminierung
- Identitätsdiebstahl oder -betrug
- Finanzieller Verlust
- Rufschädigung
- Andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile
Vorgehen für ein sicheres Datenschutz-Risikomanagement im Unternehmen
Es gibt verschiedene Datenschutz-Schutzstufen, die Sie im DSGVO-Risikomanagement beachten müssen. Um abzuwägen, wie risikobehaftet eine Situation und damit die Eintrittswahrscheinlichkeit ist und ob eine DSFA gebraucht wird, sollten Verantwortliche Folgendes überprüfen und die einzelnen Punkte zum Beispiel mit „niedrig“, „mittel“, „hoch“ und „sehr hoch“ bewerten:
Wie wahrscheinlich ist es, dass ein bestimmtes Ereignis mit potenziell negativen Folgen eintritt?
Dies kann anhand der folgenden Kriterien beurteilt werden:
- Missbrauchsinteresse: Wie relevant sind die Daten für Dritte, beispielsweise, um einen Identitätsdiebstahl durchzuführen?
- Machbarkeit: Wie hoch ist der Aufwand, um einen bestimmten Schaden zu verursachen?
- Entdeckungsrisiko: Wie hoch sind die Sicherheitsvorkehrungen und wie schnell wird ein Missbrauch entdeckt werden?
- Verarbeitungshäufigkeit: Wie oft werden die betroffenen Daten verarbeitet, wobei eine Manipulation möglich wäre?
Wie hoch ist das Risiko für Betroffene hinsichtlich der verschiedenen Lebensbereiche?
Auch hierbei empfiehlt es sich auf qualitativ bewertbare Kriterien zurückzugreifen, um die Schwere des Risikos für einen Betroffenen abbilden zu können. Ansatzpunkte hierfür wären etwa:
- Einschnitte in das informationelle Selbstbestimmungsrecht eines Betroffenen: Wurden personenbezogene Daten z. B. unzulässigen Marketingzwecken zugeführt?
- Finanzielle Auswirkungen: Entstehen dem Betroffenen Zusatzkosten oder gar unschätzbare finanzielle Belastungen, etwa durch einen Identitätsdiebstahl?
- Soziale Folgen für den Betroffenen: Wurden hochsensible personenbezogene Daten öffentlich bekannt, etwa zur sexuellen oder politischen Orientierung, und resultieren daraus Ausgrenzung, Mobbing oder Diskriminierung?
- Gesundheitliche Auswirkungen: Leidet der Betroffene als Resultat unter psychischem und physischem Stress bis hin zu schweren Depressionen?
Warum sollten Unternehmen die Risikoanalyse nach DSGVO ernst nehmen?
Gerade Unternehmen sollten bei der Analyse und Beurteilung ihrer der Risiken von Verarbeitungstätigkeiten über die wichtigsten Aspekte im Bilde sein, da es sich um eine zentrale datenschutzrechtliche Pflicht handelt.
Kenntnisse über die Durchführung zielgerichteter, praxisorientierter Risikoanalysen können den Datenschutz im Unternehmen vereinfachen und reduzieren nicht nur die Risiken für Betroffene, sondern auch Unternehmensrisiken, wie:
- Reputationsverlust
- Bußgeldzahlungen
- Schadensersatzforderungen
Die Datenschutzexperten von Proliance unterstützen Sie mit Branchen-Know-how und fundierter Erfahrung mit der DSGVO-Umsetzung in Unternehmen.
Risikoanalyse in der Praxis: Beispiele aus dem Unternehmensalltag
In der Praxis empfiehlt es sich für Unternehmen, eine Datenschutz-Risikoanalyse nach einem bestimmten Muster vorzunehmen. Die folgenden Beispiele zeigen, wie das gelingen kann.
Beispiel 1: IT-Risikoanalyse mit szenariobasiertem Risikosteckbrief
- Ausgangsszenario: Ein Unternehmen hat nur einen IT-Sicherheitsangestellten, der der Einzige ist, der mit dem Vorgehen bei einer Datenschutzverletzung vertraut ist.
- Risiko-Szenario: Ausfall des IT-Sicherheitsangestellten durch Krankheit
- Beschreibung eines potenziellen Schadens: Datenschutzverletzung, beispielsweise durch einen Virus, der bei einem Mitarbeiter in einer Mail versteckt war und personenbezogene Daten abgreift
- Schwachstelle: IT-Sicherheitsangestellter ist ohne Vertreter
- Auswirkung des Schadens: Im schlimmsten Fall wird das ganze Unternehmens-Netzwerk befallen, die Arbeit kommt zum Erliegen
- Grund für das Eintreten des Szenarios: Der IT-Sicherheitsmitarbeiter ist ohne qualifizierte Vertretung, Know-hHow liegt bei einer Person
- Schadensklasse: Sehr hoch
- Eintrittswahrscheinlichkeit: hoch
Beispiel 2: IT-Risikoanalyse mit Risikomatrix
Sie sind unsicher, wie Sie ein Risiko bewerten sollen? Dann hilft die visuelle Darstellung von Risiken anhand einer Matrix. Das oben herangezogene IT-Risiko-Beispiel kann so in einer gebräuchlichen Risikomatrix verdeutlicht und eingeordnet werden.
So unterstützt Proliance 360 mittelständische Unternehmen bei Risikoanalysen und DSFA
Wenn Sie DSGVO-Risiken im Unternehmen mühelos erkennen und minimieren möchten, unterstützt die Software Proliance 360 Sie dabei mit vorgedachten und praxistauglichen Lösungen. Persönliche Unterstützung bietet ein externer Datenschutzbeauftragter von Proliance. Unsere Experten begleiten Sie schnell und zuverlässig bei der Analyse von Risiken bei Ihren Verarbeitungstätigkeiten. Deckt die Risikoanalyse hohe Risiken auf, steht Ihnen ein externer Datenschutzbeauftragter weiteren Vorgehen professionell zur Seite.
Sie haben noch Fragen? Wir haben die Antworten
Eine DSGVO-Risikoanalyse ermittelt, ob und in welchem Ausmaß eine Verarbeitung personenbezogener Daten Risiken für die Rechte und Freiheiten betroffener Personen mit sich bringt. Sie hilft Unternehmen zu bewerten, ob eine Datenschutz-Folgenabschätzung (DSFA) erforderlich ist. Proliance unterstützt dabei mit Proliance 360 und Experten.
Die Risikoanalyse stützt sich vor allem auf Eintrittswahrscheinlichkeit und Schwere des Schadens und betrachtet die Sicht der betroffenen Person. Zur Einschätzung der Wahrscheinlichkeit helfen Missbrauchsinteresse, Machbarkeit, Entdeckungsrisiko und Verarbeitungshäufigkeit. Proliance unterstützt mit Proliance 360 bei Bewertung und Dokumentation.
Die DSGVO definiert Datenschutzrisiken nicht abschließend. Erwägungsgrund 75 nennt aus Betroffenensicht u. a. Diskriminierung, Identitätsdiebstahl oder -betrug, finanziellen Verlust, Rufschädigung sowie andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile. Proliance hilft, diese Risiken strukturiert zu bewerten und zu dokumentieren.
Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
