WAS VERBIRGT SICH HINTER DEM RISIKOMANAGEMENT IN DER DSGVO?

Mit der Procova UG unterstützt Benjamin Richter die Unternehmen der Region beim Thema Datenschutz. Der Fokus liegt hierbei in der Aus- und Weiterbildung sowie der Durchführung von Audits im Raum Südwestfalen. Dabei kann er auf eine mehr als 10-jährige Erfahrung zurückgreifen.

Risikomanagement ist ein Teil unseres täglichen Lebens. So müssen wir jeden Morgen entscheiden, mit welchem Risiko es verbunden ist in unser Auto oder in die Bahn zu steigen, ob das Flugzeug tatsächlich die sicherste Art ist sich fortzubewegen oder ob es das Risiko Wert ist, das Geburtstagsgeschenk für die Liebste auch einmal sparsamer auszuwählen. Anders als bei dem letztgenannten Beispiel, ist das Risiko einen dauerhaften Nachteil davonzutragen in der Praxis oft überschaubar. So ist z.B. das Flugzeug, statistisch gesehen, dass mit Abstand sicherste Fortbewegungsmittel und auch uns persönlich wird zum Glück nicht jeden Tag ein Autounfall ereilen. Doch wehe dem, der dann doch das Pech hat, in das Raster der statistischen Ausnahmen zu fallen.

Es ist noch immer gut gegangen

Ähnlich verhält es sich mit dem Datenschutz, könnte man zumindest meinen. Viele Unternehmer denken sich: „Es wird schon gut gehen“. Und tatsächlich ist das Risiko, von der Datenschutzbehörde kontrolliert zu werden (wie in der letzten Kolumne berichtet) aktuell noch recht überschaubar. Doch wehe, wenn auch hier die Statistik zuschlägt. Aktuelle Fälle von Datenskandalen bei Apple, Facebook und Co. zeigen, welche Rolle das Thema der personenbezogenen Daten heutzutage spielt. Aktuell auch der Fall eines Wettbüros: Hier wurde eine empfindliche Strafe ausgesprochen, da eine Überwachungskamera auf einen öffentlichen Platz ausgerichtet war.

Was die Statistik sagt

Laut Angaben von Statista werden rund 24 Mio. Bundesbürger im Jahr Opfer von Cyberkriminalität. Das ist ein ganz erheblicher Anteil. Wenn man nun bedenkt, dass über die Hälfte der deutschen Unternehmen schon von Datendiebstahl, Sabotage oder Spionage betroffen war, sprechen wir von ganz anderen Wahrscheinlichkeiten als beim Flugzeugtransfer. Eine neue Dimension nimmt dieses Thema nun mit der DSGVO an. Denn die sogenannten ‚personenbezogenen Daten‘ genießen einen deutlich höheren Schutzstatus als die sonstigen Daten (z.B. Buchhaltungs- oder Entwicklungsdaten).

Eintrittsrisiko vs. Folgen

Anders als beim Auto, Flugzeug oder der Lebensgefährtin sind die Folgen bei der Manifestation des Risikos beim Thema Datenschutz vielen nicht bekannt. Bei einem ‚Data-Breach‘ (engl. Datenpanne) ist umgehend die zuständige Aufsichtsbehörde zu informieren und das gesamte Datenschutzkonzept offenzulegen. Nicht selten muss in solchen Fällen auch die gesamte IT-Infrastruktur analysiert und zu Teilen neu installiert werden. Konkret bedeutet dies den Ausfall von Produktion, dem Verlust von Kundenvertrauen und ein mögliches Bußgeld von Behörden sowie Zivilklagen der Betroffenen. Doch wie hoch ist das Risiko denn nun genau?

Strukturiertes Vorgehen

Im Zuge der neuen DSGVO wurde eine sog. Datenschutz-Folgenabschätzung eingeführt. Vorteil dieser Neuerung ist es, dass die personenbezogenen Verfahren einer regelmäßigen Kontrolle unterliegen. Die Eintrittswahrscheinlichkeit erkannter Risiken kann somit, durch die ständige Verbesserung der technisch organisatorischen Maßnahmen, weiter gesenkt werden. Damit dieser Prozess funktioniert, müssen die Unternehmen selbstverständlich über den Zustand ihrer IT-Sicherheit und den internen Prozessen regelmäßig informiert sein.

Technik und Organisation

Nehmen wir nun einmal an, dass die technischen und organisatorischen Maßnahmen (TOM) den neuesten Standards entsprechen. Bei einer Datenschutz-Folgenabschätzung wäre damit alles im grünen Bereich und wir hätten keine größeren Risiken für personenbezogene Verfahren. Sollte dies jedoch nicht der Fall sein, sind die Daten einer erhöhten Gefahr ausgesetzt. Spätestens hier greift dann das erweiterte Risikomanagement der DSGVO.

Der praktische Ansatz

Das Risikomanagement wird vielen Unternehmen bereits aus dem Qualitätsmanagement ein Begriff sein. Hier geht es grundsätzlich einmal darum die Eintrittswahrscheinlichkeit des Risikos mit seiner Auswirkung zu berechnen. In einer Risikomatrix werden schnell und transparent die höchsten Risiken im roten Bereich ausfindig gemacht und klar deklariert. Wichtig zu wissen: Die Auswirkung des Risikos ist immer gleichbleibend, durch die technisch organisatorischen Maßnahmen kann allerdings die Eintrittswahrscheinlichkeit entsprechend nach unten korrigiert werden.

Die Grundlagen schaffen

In unseren Seminaren und Fortbildungen arbeiten wir mit realistischen Fallbeispielen aus der Praxis. Dies versetzt unsere Teilnehmer in die Lage, auch komplexe Aufgaben wie die Etablierung eines internen Datenschutz-Management-Systems gesetzeskonform aufzubauen und dieses auch aktuell zu halten.

Sprechen Sie uns bei Fragen rund um Ihr Risikomanagement an. Wir unterstützen Sie gerne (www.procova.de)!