Risikomanagement ist ein Teil unseres täglichen Lebens. So müssen wir jeden Morgen entscheiden, mit welchem Risiko es verbunden ist, in unser Auto oder in die Bahn zu steigen, ob das Flugzeug tatsächlich die sicherste Art ist, sich fortzubewegen, oder ob es das Risiko Wert ist, das Geburtstagsgeschenk für die Liebste auch einmal sparsamer auszuwählen. Anders als bei dem letztgenannten Beispiel ist das Risiko, einen dauerhaften Nachteil davonzutragen, in der Praxis oft überschaubar. So ist z.B. das Flugzeug, statistisch gesehen, das mit Abstand sicherste Fortbewegungsmittel und auch uns persönlich wird zum Glück nicht jeden Tag ein Autounfall ereilen. Doch wehe dem, der dann doch das Pech hat, in das Raster der statistischen Ausnahmen zu fallen.
Es ist noch immer
gut gegangen
Ähnlich verhält es sich mit dem Datenschutz, könnte man zumindest meinen. Viele Unternehmer denken sich: „Es wird schon gut gehen.“ Und tatsächlich ist das Risiko, von der Datenschutzbehörde kontrolliert zu werden (wie in der letzten Kolumne berichtet) aktuell noch recht überschaubar. Doch wehe, wenn auch hier die Statistik zuschlägt. Aktuelle Fälle von Datenskandalen bei Apple, Facebook und Co. zeigen, welche Rolle das Thema der personenbezogenen Daten heutzutage spielt. Aktuell auch der Fall eines Wettbüros: Hier wurde eine empfindliche Strafe ausgesprochen, da eine Überwachungskamera auf einen öffentlichen Platz ausgerichtet war.
Was die Statistik sagt
Laut Angaben von Statista werden rund 24 Millionen Bundesbürger im Jahr Opfer von Cyberkriminalität. Das ist ein ganz erheblicher Anteil. Wenn man nun bedenkt, dass über die Hälfte der deutschen Unternehmen schon von Datendiebstahl, Sabotage oder Spionage betroffen waren, sprechen wir von ganz anderen Wahrscheinlichkeiten als beim Flugzeugtransfer. Eine neue Dimension nimmt dieses Thema nun mit der DSGVO an. Denn die sogenannten ,personenbezogenen Daten‘ genießen einen deutlich höheren Schutzstatus als die sonstigen Daten (z.B. Buchhaltungs- oder Entwicklungsdaten).
Eintrittsrisiko versus Folgen
Anders als beim Auto, Flugzeug oder der Lebensgefährtin sind die Folgen bei der Manifestation des Risikos beim Thema Datenschutz vielen nicht bekannt. Bei einem ,Data-Breach‘ (englisch Datenpanne) ist umgehend die zuständige Aufsichtsbehörde zu informieren und das gesamte Datenschutzkonzept offenzulegen. Nicht selten muss in solchen Fällen auch die gesamte IT-Infrastruktur analysiert und zu Teilen neu installiert werden. Konkret bedeutet dies den Ausfall von Produktion, den Verlust von Kundenvertrauen und ein mögliches Bußgeld von Behörden sowie Zivilklagen der Betroffenen. Doch wie hoch ist das Risiko denn nun genau?
Strukturiertes Vorgehen
Im Zuge der neuen DSGVO wurde eine sogenannte Datenschutz-Folgenabschätzung eingeführt. Vorteil dieser Neuerung ist es, dass die personenbezogenen Verfahren einer regelmäßigen Kontrolle unterliegen. Die Eintrittswahrscheinlichkeit erkannter Risiken kann somit durch die ständige Verbesserung der technisch organisatorischen Maßnahmen weiter gesenkt werden. Damit dieser Prozess funktioniert, müssen die Unternehmen selbstverständlich über den Zustand ihrer IT-Sicherheit und den internen Prozessen regelmäßig informiert sein.
Technik und Organisation
Nehmen wir nun einmal an, dass die technischen und organisatorischen Maßnahmen (TOM) den neuesten Standards entsprechen. Bei einer Datenschutz-Folgenabschätzung wäre damit alles im grünen Bereich und wir hätten keine größeren Risiken für personenbezogene Verfahren. Sollte dies jedoch nicht der Fall sein, sind die Daten einer erhöhten Gefahr ausgesetzt. Spätestens hier greift dann das erweiterte Risikomanagement der DSGVO.
Der praktische Ansatz
Das Risikomanagement wird vielen Unternehmen bereits aus dem Qualitätsmanagement ein Begriff sein. Hier geht es grundsätzlich einmal darum, die Eintrittswahrscheinlichkeit des Risikos mit seiner Auswirkung zu berechnen. In einer Risikomatrix werden schnell und transparent die höchsten Risiken im roten Bereich ausfindig gemacht und klar deklariert. Wichtig zu wissen: Die Auswirkung des Risikos ist immer gleichbleibend, durch die technisch organisatorischen Maßnahmen kann allerdings die Eintrittswahrscheinlichkeit entsprechend nach unten korrigiert werden.
Die Grundlagen schaffen!
In unseren Seminaren und Fortbildungen arbeiten wir mit realistischen Fallbeispielen aus der Praxis. Dies versetzt unsere Teilnehmer in die Lage, auch komplexe Aufgaben wie die Etablierung eines internen Datenschutz-Management-Systems gesetzeskonform aufzubauen und dieses auch aktuell zu halten.
Sprechen Sie uns bei Fragen rund um Ihr Risikomanagement an. Wir unterstützen Sie gerne!
Ihr Benjamin Richter (www.procova.de)
Teilen:
Weitere Inhalte der Serie