Praxistipp Nr. 1: Die Risikoanalyse

Zu Beginn der Umsetzung von Maßnahmen für Datenschutz und Informationssicherheit im Unternehmen neigen die Verantwortlichen dazu, in Anbetracht der Fülle von Vorschriften, Empfehlungen und technischen Möglichkeiten, den Wald vor lauter Bäumen nicht mehr zu sehen. Daher sollte am Anfang des Aufbaus eines Datenschutzmanagements im Unternehmen immer die Durchführung einer Risikoanalyse stehen.

Risiken identifizieren

Dazu müssen zunächst bestehende Risiken identifiziert werden, beispielsweise:

  • Diebstahl von Daten durch Fremde
  • Diebstahl durch Daten durch die eigenen Mitarbeiter
  • Datenverluste durch fahrlässiges Handeln im Unternehmen
  • Datenverluste durch technische Fehler etc.

Wichtig ist an dieser Stelle die Unterscheidung verschiedener Risiken:

1. die unmittelbaren Risiken für die Rechte von Personen, deren Daten das Unternehmen verarbeitet, und die daraus folgenden (mittelbaren) Konsequenzen für das Unternehmen.

2. bestehen Risiken für das Unternehmen, die sich aus der Verletzung von Rechten der betroffenen Personen ergeben können, aber auch in anderen Vorfällen begründet sein können, wie z.B.

  • Verhängung von Bußgeldern und/oder Untersagung von Verfahren durch die Aufsichtsbehörde
  • Zivilrechtliche Haftungsrisiken
  • Rufschäden

Risiken bewerten

Im zweiten Schritt ist dann zu bewerten wie wahrscheinlich es ist, dass sich ein identifiziertes Risiko verwirklicht:

  • Da nur Laptops mit verschlüsselten Festplatten eingesetzt werden, können im Fall des Verlustes eines Geräts keine Daten in unbefugte Hände geraten
  • In der Vergangenheit sind Vertriebsmitarbeiter mit den Daten des Unternehmens zur Konkurrenz abgewandert
  • Schließlich müssen Maßnahmen Verringerung oder Vermeidung der Risiken entworfen werden:
    -  Sofern noch nicht geschehen, werden Laptops und andere mobile Geräte verschlüsselt
    -  Jeder Zugriff auf Daten im unternehmenseigenen Netzwerk wird protokolliert
    -  Ein fundiertes Berechtigungskonzept sorgt dafür, dass nur diejenigen Zugriff auf Daten erhalten,   die ihn benötigen

Maßnahmen festlegen und umsetzen

Aufbauend auf der Risikoanalyse können dann die notwendigen nachfolgenden Schritte definiert und umgesetzt werden. Hinzu kommt, dass nunmehr viele Vorschriften der DSGVO Risikoanalysen voraussetzen (siehe z.B. Art. 24 Abs. 1, Art. 25 Abs. 1 und Art. 32 Abs. 1), so dass mit der Durchführung dann gleich eine der neuen gesetzlichen Vorgaben erfüllt ist.