Risikoanalyse ISMS Datenschutzgrundverordnung DMS

Risikoanalyse Part II nach DSGVO

10 Juli 2017 Daniel Rink 35 Minuten Lesezeit

In unserem ersten Artikel haben wir Ihnen gezeigt, wie Sie die Grundlage schaffen, ihre technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO risikoorientiert auszuwählen. Vielleicht sind Sie am Ende des Artikels und Durchführung des vorgeschlagenen Weges überrascht, dass Sie keine personenbezogenen Daten verarbeiten, die eine erweiterte Risikoanalyse erforderlich machen. Ich kann Sie aber beruhigen: für ein Unternehmen, welches beispielsweise im Handel tätig ist, wird dies der Normalzustand sein.

Vorgehen festlegen

Machen Sie sich Gedanken: welche identifizierten Verarbeitungsvorgänge (inklusive der personenbezogenen Daten) will ich einer detallierten

Treffen Sie Vorbereitungen

Wenn Sie noch nicht begonnen haben, ein Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) zu erstellen, fragen Sie sich, wo Sie personenbezogene Daten in Ihrem Unternehmen verarbeiten.
Häufig sind es z.B. :

  • Personaldaten (Stammdaten, Zeiterfassung, IP-Adressen, etc.)
  • Kundendaten (Adressdaten, Bestelldaten, Zahlungsdaten)

{{start-ph}}
Start und Ende
{{end-ph}}

{{start-new}}
Denken Sie aber immer daran, sowohl die Ergebnisse, sowie eine entsprechende Begründung zu dokumentieren (Art. 5 Abs. 2 DSGVO)
{{end-new}}

SchutzzielNormal Hoch Sehr hoch
Vertraulichkeit1 2 3
Integrität1 2 3
Verfügbarkeit1 23

Fokussieren Sie sich auf relevante Risiken

Vor dem Hintergrund, dass alle Maßnahmen risikoorientiert ausgewählt werden sollen, scheint die Aussage auf den ersten Blick fahrlässig. Machen Sie sich aber klar, dass sie nicht jedes Risiko gleich behandeln können.

Führen Sie eine mehrstufige Risikoanalyse durch.

Schritt 1: Fokussierung auf Risiken mit hohen und sehr hohem Schadenpotential

In der Informationssicherheit hat sich der erste Schritt als sog. Schutzbedarfsanalyse etabliert. Letztlich verbirgt sich hinter diesem Begriff nichts anderes als die Aufgabe, die zu schützenden Informationen in Ihrem Unternehmen zu identifizieren und den Schutzbedarf zu ermitteln. Im Bereich des Datenschutzes betrachten Sie nur personenbezogene Daten.

{{start-ph}}
Je nach Unternehmensgröße machen Sie ein Brainstorming, wo Sie überall personenbezogene Daten verarbeiten. Schieben Sie diesen Schritt nicht zu lange vor sich her, eine umfassende Identifizierung aller Verarbeitungsvorgänge wird Ihnen im ersten Schritt ohnehin nicht gelingen.
{{end-ph}}

Zur Übersicht