Praxistipp DSGVO #1: Risikoanalyse
Nachdem wir schon vor einer Weile drei Themen der neuen EU-Datenschutzgrundverordnung (DSGVO) hier im Blog etwas näher betrachtet haben (siehe Die neue EU-Datenschutzgrundverordnung: Die Einwilligung – Die neue EU-Datenschutzgrundverordnung: Grundsätze der Datenverarbeitung – Die neue EU-Datenschutzgrundverordnung: Was wird gelten?), wollen wir nunmehr dazu übergehen, die weiteren neue Anforderungen im Wege von Praxistipps aufzubereiten.
Praxistipp DSGVO #1: Die Risikoanalyse
Zu Beginn der Beschäftigung mit der Umsetzung von Maßnahmen für Datenschutz und Informationssicherheit im Unternehmen neigen die Verantwortlichen dazu in Anbetracht der Fülle von Vorschriften, Empfehlungen und technischen Möglichkeiten, den Wald vor lauter Bäumen nicht mehr zu sehen. Daher sollte am Anfang des Aufbaus eines Datenschutzmanagements im Unternehmen immer die Durchführung einer Risikoanalyse stehen. Dies gilt auch im Fall der Umsetzung der DSGVO.
Risiken identifizieren
Dazu müssen zunächst bestehende Risiken identifiziert werden, beispielsweise:
– Diebstahl von Daten durch Fremde
– Diebstahl durch Daten durch die eigenen Mitarbeiter
– Datenverluste durch fahrlässiges Handeln im Unternehmen
– Datenverluste durch technische Fehler
…
Wichtig ist an dieser Stelle die Unterscheidung verschiedener Risiken:
Zum einen die unmittelbaren Risiken für die Rechte von Personen, deren Daten das Unternehmen verarbeitet, und die daraus folgenden (mittelbaren) Konsequenzen für das Unternehmen.
Beispiel: Die Nutzerdaten eines Datingportals werden im Internet öffentlich.
Zum anderen bestehen Risiken für das Unternehmen, die sich aus der Verletzung von Rechten der betroffenen Personen ergeben können, aber auch in anderen Vorfällen begründet sein können, wie z.B.
– Die Verhängung von Bußgeldern und/oder die Untersagung von Verfahren durch die Aufsichtsbehörde
– Zivilrechtliche Haftungsrisiken
– Rufschäden.
Risiken bewerten
Im zweiten Schritt ist dann zu bewerten wie wahrscheinlich es ist, dass sich ein identifiziertes Risiko verwirklicht:
– Da nur Laptops mit verschlüsselten Festplatten eingesetzt werden, können im Fall des Verlustes eines Geräts keine Daten in unbefugte Hände geraten
– In der Vergangenheit sind Vertriebsmitarbeiter mit den Daten des Unternehmens zur Konkurrenz abgewandert
Schließlich müssen Maßnahmen Verringerung oder Vermeidung der Risiken entworfen werden:
– Sofern noch nicht geschehen, werden Laptops und andere mobile Geräte verschlüsselt
– Jeder Zugriff auf Daten im unternehmenseigenen Netzwerk wird protokolliert
– Ein fundiertes Berechtigungskonzept sorgt dafür, dass nur diejenigen Zugriff auf Daten erhalten, die ihn benötigen
– …
Maßnahmen festlegen und umsetzen
Aufbauend auf der Risikoanalyse können dann die notwendigen nachfolgenden Schritte definiert und umgesetzt werden. Hinzu kommt, dass nunmehr viele Vorschriften der DSGVO Risikoanalysen voraussetzen (siehe z.B. Art. 24 Abs. 1, Art. 25 Abs. 1 und Art. 32 Abs. 1), so dass mit der Durchführung dann gleich eine der neuen gesetzlichen Vorgaben erfüllt ist.