Datenschutz in der Praxis umsetzen
In der Datenschutz-Grundverordnung (DS-GVO) ist vor allem die Beurteilung des Risikos für den Betroffenen ein wichtiges Thema. Daher sollte sich jedes Unternehmen darüber Gedanken machen, wie das Risiko bei der Verarbeitung von personenbezogenen Daten beurteilt werden kann.
BLOG-TIPP: DATENSCHUTZ IN DER PRAXIS – WAS SIND PERSONENBEZOGENE DATEN NACH DS-GVO?
Beurteilung mit Sicht auf den Betroffenen
Um eine Risiko-Beurteilung im Datenschutz durchzuführen, sollte der Verantwortliche dies immer aus Sicht des Risikos für den Betroffenen durchführen. Es sollte immer eine entsprechende Erwägung aufgrund verschiedener Risiken aus Sicht des Betroffenen stattfinden. Zu besonderen Risiken gehören für den Betroffenen Diskriminierung, Identitätsdiebstahl, Identitätsverlust, finanzielle Verluste, Rufschädigung und so weiter.
Eintrittswahrscheinlichkeit
Alles in allem sollten die Risiken für den Betroffenen für Schäden von Rechten und Freiheiten bewertet werden, mit der Beurteilung, wie hoch die Eintrittswahrscheinlichkeit sein kann. Jeder Vorgang bei dem personenbezogene Daten verarbeitet werden, sollte mit dem Blick auf das Risiko und die Eintrittswahrscheinlichkeit beurteilt werden.
BLOG-TIPP: HACKERANGRIFFE UND DIE DS-GVO – WENN PERSONENBEZOGENE DATEN VERLOREN GEHEN
Schwere des Risikos für den Betroffenen
Ein weiterer Faktor für die Risiko-Beurteilung ist die Schwere des Risikos bzw. die Schwere der Auswirkung für den Betroffenen. Es sollte also sehr genau betrachtet werden, welche Faktoren das Risiko hervorrufen und welcher Schaden für den Betroffenen zu erwarten wäre.
Beide Werte können einen Aufschluss darüber geben, welche weiteren Schritte notwendig sind.
BLOG-TIPP: PERSONENBEZOGENE DATEN SCHÜTZEN – SOCIAL ENGINEERING ERKENNEN UND VERHINDERN
Die Datenschutz-Folgenabschätzung
Wenn das Risiko für den Betroffenen entsprechend hoch zu bewerten ist oder personenbezogene Daten der besonderen Kategorien verarbeitet werden, dann ist es meist notwendig, eine Datenschutz-Folgenabschätzung zusätzlich zur Risiko-Beurteilung durchzuführen.
BLOG-TIPP: DATENSCHUTZ-FOLGENABSCHÄTZUNG NACH DS-GVO
Risiken minimieren
Ziel der Risiko-Beurteilung im Datenschutz ist es, nach den Vorgaben der DS-GVO, mögliche Schwachstellen zu erkennen und diese zu minimieren. Dazu dienen unter anderem unterschiedlichste technische und organisatorische Maßnahmen (TOM).
Risiken für den Betroffen sollten dahingehend minimiert werden, dass Schäden für den Betroffenen gar nicht erst entstehen können. Darüber hinaus gilt es aber auch, mögliche Fahrpläne zu entwickeln, um auch bei bestehenden Risiken schadensbegrenzend einschreiten zu können.
Bei der Beurteilung von Risiken geht es dabei nicht um die Masse der Wahrscheinlichkeiten, sondern viel mehr um das persönliche Risiko und den Schaden für jeden einzelnen Betroffenen.
Risiko-Beurteilung regelmäßig neu bewerten
Mögliche Risiken können sich je nach Ablauf und betroffenen Systemen dynamisch weiterentwickeln. Das macht es notwendig, dass eine Risiko-Beurteilung im Datenschutz regelmäßig neu bewertet werden muss. Dabei können externe Fachleute, zum Beispiel ein (externer) Datenschutzbeauftragter, behilflich sein.
Datenschutz: Risikomanagement und -Beurteilung im Unternehmen etablieren
Ein Risikomanagement und eine Risiko-Beurteilung im Datenschutz sollten in jedem Unternehmen und in jeder Organisation etabliert werden. Regelmäßige Überprüfungen und Aktualisierungen gehören ebenfalls zu einem sicheren Datenschutz.
BLOG-TIPP: WAS IST EIN DATENSCHUTZ-AUDIT UND WER BRAUCHT ES?
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung, die Betreuung durch einen externen Datenschutzbeauftragten und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.