Risikoanalyse ISMS Datenschutzgrundverordnung DMS

Risikoanalyse nach der DSGVO

15 Juni 2017 Daniel Rink 40 Minuten Lesezeit

Die Datenschutz-Grundverordnung (DSGVO) verpflichtet Unternehmen geeignete technische und organisatorische Maßnahmen zu treffen. Diese Maßnahmen müssen risikoorientiert ausgewählt werden. Wie mache ich das? Wie das effizient funktionieren kann, zeigen wir Ihnen hier.

Häufig herrscht Verwirrung, wo und wie die Anforderungen der DSGVO einzuordnen sind. Wir Sie vielleicht schon in anderen Artikeln gelesen haben, teilen wir die Aufgaben auf, in insgesamt vier Prozesse (Datenschutzkonforme Verarbeitung , Umgang mit Ansprüchen von Betroffenen, Mitarbeitersensibilisierung und Umgang mit Datenschutzverletzungem). Im Rahmen des Prozess der datenschutzkonformen Verarbeitung fordert der Verordnungsgeber in Art. 32 DSGVO entsprechende technische und organisatorischen Maßnahmen. Welche Sie treffen müssen, wie Sie diese organisieren und anschließend dokumentieren (Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO) zeigen wir Ihnen hier.

Treffen Sie Vorbereitungen

Wenn Sie noch nicht begonnen haben, ein Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) zu erstellen, fragen Sie sich, wo Sie personenbezogene Daten in Ihrem Unternehmen verarbeiten.
Häufig sind es z.B. :

  • Personaldaten (Stammdaten, Zeiterfassung, IP-Adressen, etc.)
  • Kundendaten (Adressdaten, Bestelldaten, Zahlungsdaten)

{{start-ph}}
Häufig wird eine Zertifizierung im Bereich der Informationssicherheit mit einer ausreichenden Sicherheit der Verarbeitung gem. Art. 32 DSGVO gleichgesetzt. Im Regelfall wird das Schutzniveau ausreichend hoch sein, allerdings ist dies nicht zwingend so: Bei der durchzuführenden Risikobeurteilung werden die Risiken für das Unternehmen und nicht für die Rechte und Freiheiten von natürlichen Personen berücksichtigt. Auch kann ein Unternehmen Risiken für sich anders bewerten, als dies bei einer datenschutzrechtlichen Beurteilung möglich wäre.
{{end-ph}}

Fokussieren Sie sich auf relevante Risiken

Vor dem Hintergrund, dass alle Maßnahmen risikoorientiert ausgewählt werden sollen, scheint die Aussage auf den ersten Blick fahrlässig. Machen Sie sich aber klar, dass sie nicht jedes Risiko gleich behandeln können.

Führen Sie eine mehrstufige Risikoanalyse durch.

Schritt 1: Fokussierung auf Risiken mit hohen und sehr hohem Schadenpotential

In der Informationssicherheit hat sich der erste Schritt als sog. Schutzbedarfsanalyse etabliert. Letztlich verbirgt sich hinter diesem Begriff nichts anderes als die Aufgabe, die zu schützenden Informationen in Ihrem Unternehmen zu identifizieren und den Schutzbedarf zu ermitteln. Im Bereich des Datenschutzes betrachten Sie nur personenbezogene Daten.

Je nach Unternehmensgröße machen Sie ein Brainstorming, wo Sie überall personenbezogene Daten verarbeiten. Schieben Sie diesen Schritt nicht zu lange vor sich her, eine umfassende Identifizierung aller Verarbeitungsvorgänge wird Ihnen im ersten Schritt ohnehin nicht gelingen.

Idealerweise erledigen Sie diese Aufgabe mit den bereits im Verfahrensverzeichnis erfassten Kategorieren von personenbezogenen Daten.

Doch wie ermittle ich den potentiellen Schaden?

Hier empfehle ich als Anhaltspunkt das Schutzstufenkonzept des LfD Niedersachsen. Es gibt eine sehr gute Orientierung und kann ideal auf die eigenen Bedürfnisse angepasst werden. (z.B. A+B = geringes Risiko, C, D und E hohes bzw. sehr hohes Risiko).

Schritt 2: Erweiterte Schutzbedarfsanalyse

Für die Datenkategorieren, bei denen eine Analyse ergibt, dass sie einen hohen und sehr hohen Schutzbedarf haben (also die Kategorien C, D und E), führen Sie eine erweiterte Schutzbedarfsanalyse durch.

Hier überzeugt folgende Herangehensweise:

Bewerten Sie die Schutzstufen exponentiell um den starken Anstieg der Gefahren gerecht zu werden (also: A = 1, B = 2, C = 4, D = 8, sowie E = 16).

Wie gesagt, wir betrachten nur C, D und E. Zur Ermittlung des jeweiligen Schutzbedarfs, ziehen wir nun die Schutzziele aus Art. 32 Abs. 2 DSGVO heran: Vertraulichkeit, Integrität und Verfügbarkeit.

SchutzzielNormal Hoch Sehr hoch
Vertraulichkeit1 2 3
Integrität1 2 3
Verfügbarkeit1 23

Beispiel: Als E-Commerce Händler speichern Sie Stammdaten, Kontaktdaten, Bankdaten und das Zahlugsverhalten Ihrer Kunden.

Bei Kundendaten, Stammdaten und Kontaktdaten handelt es sich um Daten mit geringem Risiko (B) und sind danach nicht mehr bei der erweiterten Risikoanalyse zu berücksichtigen.

Denken Sie aber immer daran, sowohl die Ergebnisse, sowie eine entsprechende Begründung zu dokumentieren (Art. 5 Abs. 2 DSGVO)

Bankdaten haben die Schutzstufe C (4 Punkte). Die Daten über das Zahlungsverhalten hingegen D (8 Punkte). Diese beiden Kategorien sind damit Bestandteil der erweiterten Schutzbedarfsanalyse. Sie müssen die Schutzstufe multiplizieren nun den Wert der Schutzstufe mit dem jeweils individuell ermittelten Schutzziel-Wert.

Hieraus ergibt sich folgendes Ergebnis:

DatenkategorieSchutzstufe Vertraulichkeit Integrität Verfügbarkeit Gesamt
BankdatenC (4) 2 2 1 16
ZahlungsverhaltenD (8) 2 1 2 32

Schritt 3: Umfassende Risikoanalyse

Als Vorarbeit machen Sie sich Gedanken, welche Kategorien Sie sich im Rahmen einer umfassenden Risikoanalyse ansehen wollen. Dies hängt maßgeblich auch von den individuellen Gegebenheiten der Verarbeitung ab.
{{start-ph}}
Für kleinere Unternehmen, welche die Verarbeitung von personenbezogenen Daten nicht zum Gegenstand ihrer originären Tätigkeit haben, hat sich die umfassende Risikoanalyse ab 16 Punkten als praktikabel herausgestellt.
{{end-ph}}
Sie sollten in jedem Fall besondere Arten von personenbezogenen Daten einer umfassenden Risikoanalyse unterziehen.

In einem weiteren Artikel werde ich Ihnen einen Weg aufzeigen, wie Sie eine umfassende Risikoanalyse durchführen.

Schritt 4: Etablieren Sie ein verfahrensübergreifendes Sicherheitskonzept

Mit einem verfahrensübergreifenden Sicherheitskonzept ist gemeint, im Unternehmen allgemeine technische und organisatorische Maßnahmen zu treffen, die für alle IT-Systeme und damit auch Anwendungen und den darauf gespeicherten Daten Anwendung finden.

Sie werden auch immer verfahrensübergreifende Schutzmaßnahmen in ihrem Unternehmen haben. Denken Sie nur an:

  • Maßnahmen zum Schutz des Gebäudes
  • Maßnahmen zur Netzwerksicherheit
  • Maßnahmen zum Zugriffschutz

Es ist nicht sinnvoll, diese Maßnahmen für jedes Verfahren aufzuführen (doppelter Aufwand!).

Auch sollten Sie sich für einen Standard entscheiden, der best-practise ist, um auch einen angemessenen Schutz für die Daten zu erreichen, bei denen Sie einen niedrigen/normalen Schutzbedarf analysiert haben.

Hier spielen Informationssicherheitssysteme (ISMS) nach ISO 27001 oder BSI-Grundschutz eine wichtige Rolle. Wenn Sie ein derartiges Informationssicherheitssystem etabliert haben - perfekt.

In der Regel werden Sie aber kein ISMS implementiert haben. Auch erachten wir diese Hürde für Unternehmen, die nicht technikaffig sind, als sehr hoch. Hier ist die gerade sich am Markt etablierende VDS Richtlinie 3473 eine gelungene Alternative. Sie baut auf dem sog. Pareto-Prinzip auf (mit 20% des Aufwandes 80% des Ergebnisses erreichen) und da der Verordnungsgeber ausdrücklich auch die Implementierungskosten als einen Faktor mit in die Abwägung aufgenommen hat, ideal für kleinere Unternehmen. Übrigens: eine Zertifizierung ist nicht unbedingt erforderlich vielmehr sollten die geforderten Maßnahmen umgesetzt werden.

Schritt 5: Dokumentieren Sie die Ergebnisse

Denken Sie an die Rechenschaftspflicht und dokumentieren Sie die Analyse. Idealerweise bietet sich hier das Verzeichnis der Verarbeitungstätigkeiten gem. Art. 30 DSGVO an.

Zur Übersicht