Risikoanalysen bei Verarbeitungen

Risikoanalysen vielfacher Art gehören zum Alltag in Unternehmen. So auch bei der Verarbeitungen von personenbezogenen Daten. 

Verarbeitung personenbezogener Daten

Ein Thema nur für Spezialisten? Keineswegs.

„TOMs“ sollen Schaden vermeiden

Daten dürfen weder versehentlich gelöscht werden, noch dürfen sie in falsche Hände geraten. Aber wie lässt sich das sicherstellen? Technische Maßnahmen, etwa die Verschlüsselung von Daten, können ein wichtiger Baustein sein. Ähnliches gilt für organisatorische Maßnahmen wie etwa sichere Türschlösser. Zusammenfassend spricht man in der Praxis oft von „TOMs“, also den technischen und organisatorischen Maßnahmen.

Eine Risikoanalyse steht am Anfang

TOMs kosten meistens Geld, manchmal sogar viel Geld. Schon deshalb gilt der Grundsatz: So viel wie nötig davon, aber nicht unnötig viel! Was nach den konkreten Umständen erforderlich ist, ergibt sich aus einer Risikoanalyse. Unter der Bezeichnung „Datenschutz-Folgenabschätzung“ ist sie in der DSGVO vorgeschrieben. Über kurz oder lang wird jeder, der Daten verarbeitet, damit konfrontiert.

Auch scheinbar harmlose Daten können brisant sein

Häufig hört man in Unternehmen Aussagen wie: „Jedenfalls unsere Abteilung hat nur mit harmlosen Daten zu tun. Außer Adressen von Kunden und Angaben zu den Bestellungen dieser Kunden haben wir nichts.“ Eine Risikoanalyse ist auch dann nicht entbehrlich. Beispielsweise sind Kundenadressen manchmal Adressen von gefährdeten Personen. Das kommt sicher nicht häufig vor. Aber wenn doch, können zusätzliche Sicherungsmaßnahmen notwendig sein.

Die Mitarbeit aller im Unternehmen ist unentbehrlich

Niemand im Unternehmen sollte genervt sein, wenn ihm Datenschutzverantwortliche scheinbar banale Fragen stellen. Nur wer selbst mit den Daten umgeht, weiß im Detail, welche Art von Daten das sind und wo ein Gefahrenpotenzial für den Datenschutz stecken kann. Das Nachdenken darüber lässt sich nicht auf andere „abschieben“.

Manche Daten sind von Haus aus heikel

Manchmal ergibt sich das Risiko schon aus der Art der Daten. Typisch hierfür sind medizinische Daten. Sie sind ihrem Wesen nach vertraulich. Deshalb sind beispielsweise Daten beim Betriebsarzt immer besonders schutzwürdig. Ein PC mit solchen Daten muss deshalb speziell abgesichert werden.

Scheinbar banale Vorgänge können brisant sein

Nicht immer sind die Risiken so offensichtlich. Ein Beispiel dafür ist die Einbindung von besonderen Schriftarten auf einer Webseite. Das geschieht häufig über den Zugriff auf Dienste wie Google Fonts. Ein völlig banaler Vorgang? Leider nein, denn wenn jemand auf die Webseite zugreift, übermittelt Google Fonts Daten von ihm an Google. Google ist in den USA ansässig. Dies zieht besondere rechtliche Probleme nach sich. Es hat also gute Gründe, wenn im Rahmen einer DSFA auch Fragen nach solchen Abläufen gestellt werden.

Am Anfang steht die Frage nach den Daten

Jede Risikoanalyse läuft nach einem bestimmten Raster ab. Das ist auch bei der DSFA so. Am Anfang steht die Frage, welche personenbezogenen Daten verarbeitet werden. Normalerweise sollte sich dies schon aus dem ohnehin vorhandenen Verzeichnis der Verarbeitungstätigkeiten ergeben. Die Angaben, die dort enthalten sind, sollten allerdings bei dieser Gelegenheit überprüft werden.

Es folgt die Ermittlung des Schutzbedarfs

Personenbezogene Daten können unterschiedlich schutzbedürftig sein. Deshalb ist eine Einstufung der Daten anhand eines Rasters aus drei Kategorien üblich. Sie reichen vom geringen Schutzbedarf (etwa bei üblichen Adressdaten) über mittleren Schutzbedarf (etwa bei Angaben zum Personenstand) bis hin zu hohem Schutzbedarf (etwa bei medizinischen Daten).

Die Folgen etwaige Pannen sind wichtig

An diese Einstufung schließt sich die Frage an, welche Folgen etwaige Daten-Pannen haben können. Diese Frage ist deshalb wichtig, weil Pannen Schadensersatzforderungen, Geldbußen und andere Folgen für das Unternehmen nach sich ziehen können. Man sollte deshalb nicht voreilig davon ausgehen, dass „ohnehin im Normalfall nichts passiert“.

Die Risikoanalyse bildet eine Handlungsgrundlage 

Ergebnis einer DSFA ist ein umfangreiches „Risikopapier“. Es bildet unter anderem die Grundlage dafür, welche Schutzmaßnahmen als notwendig anzusehen sind. Nur selten führt eine DSFA dazu, dass bestimmte Daten überhaupt nicht mehr verarbeitet werden dürfen. Viel häufiger ist es, dass bestimmte Spielregeln ergänzt oder vorhandene Spielregeln in der Praxis endlich umgesetzt werden.

Benötigen Sie dennoch Hilfe? Kein Problem!

  Jetzt Kontakt aufnehmen

Das könnte Sie auch interessieren:

• 26.01.2023: Kostenfreies Webinar: Das yourIT Datenschutz-Team stellt sich vor
• 04.10.2022: Datenauskunft als Datenpanne