Um ein Risiko zu bestimmen, muss ein Verantwortlicher neben dem Schaden auch die Eintrittswahrscheinlichkeit abschätzen. Helfen können hier:
- die Art der Verarbeitung (z. B. Cloud Computing),
- der Umfang (z. B. Exponierungsgrad bei sehr "lukrativen" Daten),
- die Umstände (z. B. beim internationalen Datenverkehr oder in risikoträchtigen Verarbeitungssituationen wie bei Gesundheitsdaten) sowie
- der Zweck der Verarbeitung (z. B. Big-Data-Wünsche von Positionsdaten)
Aufsichtsbehörden haben Listen mit Risikofaktoren veröffentlicht, die als Checkliste zur Identifikation von Risiken dienen können.[1]
Eine Eintrittswahrscheinlichkeit lässt sich nur dann plausibel schätzen, wenn die Frage nach dem "Angreifer" gestellt wird. Da "Angreifer" auch Angestellte und Abteilungen eines legitim arbeitenden Unternehmens sein können, die schlicht aus Unwissenheit falsch handeln, empfiehlt sich auch im Datenschutzrecht die Verwendung des entkriminalisierten Begriffs "Risikoquelle".
Mögliche Schutzverletzungen im Voraus klassifizieren
Es bietet sich im Vorfeld aus Effizienzgründen an, die jeweiligen Arten der Schutzverletzungen mit spezifischen auf das konkrete Unternehmen (Kontext, Art und Umstände der Datenverarbeitung) abgestimmten Risiken jeweils zu klassifizieren und zu dokumentieren. So können in einem Unternehmen die (unwiederbringliche) Vernichtung oder Veränderung von personenbezogenen Daten, wie insbesondere im medizinischen Bereich, viel höhere potenzielle Risiken für die betroffenen Personen nach sich ziehen als in anderen Unternehmen, wie etwa im Facility Management.
Dieser Inhalt ist unter anderem im Haufe Finance Office Premium enthalten. Sie wollen mehr?
Jetzt kostenlos 4 Wochen testen