Um ein Risiko zu bestimmen, muss ein Verantwortlicher neben dem Schaden auch die Eintrittswahrscheinlichkeit abschätzen. Helfen können hier:
- die Art der Verarbeitung (z. B. Cloud Computing),
- der Umfang (z. B. Exponierungsgrad bei sehr "lukrativen" Daten),
- die Umstände (z. B. beim internationalen Datenverkehr oder in risikoträchtigen Verarbeitungssituationen wie im Medizinbereich) sowie
- der Zweck der Verarbeitung (z. B. Big-Data-Wünsche von Positionsdaten).
Eine Eintrittswahrscheinlichkeit lässt sich nur dann plausibel schätzen, wenn die Frage nach dem "Angreifer" gestellt wird. Da "Angreifer" auch Mitarbeiter und Abteilungen eines legitim arbeitenden Unternehmens sein können, die schlicht aus Unwissenheit falsch handeln, empfiehlt sich auch im Datenschutzrecht die Verwendung des entkriminalisierten Begriffs "Risikoquelle".
Mögliche Schutzverletzungen im Voraus klassifizieren
Es bietet sich im Vorfeld aus Effizienzgründen an, die jeweiligen Arten der Schutzverletzungen mit spezifischen auf das konkrete Unternehmen (Kontext, Art und Umstände der Datenverarbeitung) abgestimmten Risiken jeweils zu klassifizieren und zu dokumentieren. So können in einem Unternehmen die (unwiederbringliche) Vernichtung oder Veränderung von personenbezogenen Daten, wie insbesondere im medizinischen Bereich, viel höhere potenzielle Risiken für die betroffenen Personen nach sich ziehen als in anderen Unternehmen, wie etwa im Facility Management.
Das ist nur ein Ausschnitt aus dem Produkt Finance Office Professional. Sie wollen mehr?
Jetzt kostenlos 4 Wochen testen
Anmelden und Beitrag in meinem Produkt lesen