10 Juli 2017 Daniel Rink 35 Minuten Lesezeit
In unserem ersten Artikel haben wir Ihnen gezeigt, wie Sie die Grundlage schaffen, ihre technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO risikoorientiert auszuwählen. Vielleicht sind Sie am Ende des Artikels und Durchführung des vorgeschlagenen Weges überrascht, dass Sie keine personenbezogenen Daten verarbeiten, die eine erweiterte Risikoanalyse erforderlich machen. Ich kann Sie aber beruhigen: für ein Unternehmen, welches beispielsweise im Handel tätig ist, wird dies der Normalzustand sein.
Machen Sie sich Gedanken: welche identifizierten Verarbeitungsvorgänge (inklusive der personenbezogenen Daten) will ich einer detallierten
Wenn Sie noch nicht begonnen haben, ein Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) zu erstellen, fragen Sie sich, wo Sie personenbezogene Daten in Ihrem Unternehmen verarbeiten.
Häufig sind es z.B. :
{{start-ph}}
Start und Ende
{{end-ph}}
{{start-new}}
Denken Sie aber immer daran, sowohl die Ergebnisse, sowie eine entsprechende Begründung zu dokumentieren (Art. 5 Abs. 2 DSGVO)
{{end-new}}
Schutzziel | Normal | Hoch | Sehr hoch |
---|---|---|---|
Vertraulichkeit | 1 | 2 | 3 |
Integrität | 1 | 2 | 3 |
Verfügbarkeit | 1 | 2 | 3 |
Vor dem Hintergrund, dass alle Maßnahmen risikoorientiert ausgewählt werden sollen, scheint die Aussage auf den ersten Blick fahrlässig. Machen Sie sich aber klar, dass sie nicht jedes Risiko gleich behandeln können.
Führen Sie eine mehrstufige Risikoanalyse durch.
In der Informationssicherheit hat sich der erste Schritt als sog. Schutzbedarfsanalyse etabliert. Letztlich verbirgt sich hinter diesem Begriff nichts anderes als die Aufgabe, die zu schützenden Informationen in Ihrem Unternehmen zu identifizieren und den Schutzbedarf zu ermitteln. Im Bereich des Datenschutzes betrachten Sie nur personenbezogene Daten.
{{start-ph}}
Je nach Unternehmensgröße machen Sie ein Brainstorming, wo Sie überall personenbezogene Daten verarbeiten. Schieben Sie diesen Schritt nicht zu lange vor sich her, eine umfassende Identifizierung aller Verarbeitungsvorgänge wird Ihnen im ersten Schritt ohnehin nicht gelingen.
{{end-ph}}