W+ST Datenschutzkonzept
4. Risiken

Die Aufnahme der Risikolage

Die Risikolage zum Datenschutz ist generell für die einzelnen Prozesse zu beurteilen, hierbei ist die "Schwere des Risikos", das heißt der potenzielle Schaden und die Wahrscheinlihckeit eines Verstoßes zu beurteilen.

 

Schwere des Risikos

Bei der Schwere des Risikos unterscheiden wir fünf Kategorien (Klassifikationen), die sich aus der möglichen Fülle der Daten und ihrer Sensibilität bei einem möglichen Verstoß ableiten.

  • "gering"  (Einzel-/Massendaten pseudonymisiert)
  • "mittel"  (Einzel-/Massendaten mit geringer Informationsdichte)
  • "hoch"  (Massendaten mit hoher Informationsdichte)
  • "sehr hoch"  (sensible Massendaten)
  • "unautorisiert"  (unautorisiert verarbeitete Massendaten)

 

Die Eintrittswahrscheinlichkeit eines Verstoßes

Die Eintrittswahrscheinlichkeit eines Verstoßes wird in einem zweistufigen Verfahren eingeschätzt. Dabei wird die Sicherheitslage der drei Grundkonzepte anhand einer Checklistenbeurteilung von 0-100% beurteilt. Dieses Beurteilungsverfahren wird ebenso auf die Sicherheitslage der einzelnen Arbeitsprozesse angewendet. Das Ergebnis aus den Konzepten und das des jeweiligen Prozesses wird gewichtet zusammengefasst.

 

exemplarische Gewichtung der Ergebnisse

  • 50% genereller IT-Einsatz und IT-Sicherheitskonzept
  •   5% räumliches Sicherheitskonzept
  • 25% Kommunikationskonzept
  • 20% interne Prozesse und Geschäftsprozesse

 

Klassifizierung der Eintrittswahrscheinlichkeit

Die Ergebnisse der Beurteilung der Sicherheitsgrade der Einzelprozesse - unter Berücksichtigung der Ergebnisse der drei unternehmensübergreifenden Konzepte - ist in eine Beurteilung der Eintrittswahrscheinlichkeit zu überführen. Dazu klassifizieren wir die Ergebnisse in insgesamt vier Stufen:

  •  0 - 20%  "sehr hoch"
  • 21 - 60%  "hoch"
  • 61 - 80%  "mittel"
  • 81 - 100% "gering"

Risikoklassifizierung

In den grünen Kombinationen liegt ein geringes Risiko für eine Datenschutzverletzung im Rahmen des Prozesses vor.

In den gelben Kombinationen ist die Risikolage verstärkt zu beobachten und es sind ggf. weitere Maßnahmen vorzunehmen. Bei sehr hoher Schwere ist gegebenenfalls auch das Vorliegen einer Risiko-Folgeabschätzung zu prüfen.

In den roten Feldern ist die Risikolage gegebenenfalls im Hinblick auf das Vorliegen einer Risiko-Folgeabschätzung zu beurteilen.

 

zurück zum Datenschutzkonzept