Database Reference
In-Depth Information
5.2.3.2.2 Risikobegriff
Der Risikobegriff stellt den zentralen Bezugspunkt für die risikoorientierte Vorgehenswei-
se des DSMS dar. Für diesen Praxisleitfaden wird auf die praxiserprobte Risikodefinition
der Informationssicherheit zurückgegriffen, wobei es dem Unternehmen frei steht, andere
Definitionen auszuwählen
6
. Die zugehörige ISO 27000 definiert dabei den Risikobegriff
als „Möglichkeit, dass eine vorhandene Bedrohung eine Schwachstelle eines Wertes oder
einer Gruppe von Werten ausnutzt und dadurch der Institution Schaden zufügen könn-
te“. Als „Wert“ in Bezug auf das DSMS - und im Folgenden als Risikoobjekt bezeichnet
- gilt das personenbezogene Datum. Weiterhin ist dieser Risikobegriff nur in negativer
Hinsicht - also auf das Schadensausmaß - ausgerichtet. Dies entspricht auch dem prakti-
schen Verständnis des Risikomanagements als Methode zur Schadensreduktion. Für das
DSMS gilt daher folgender Risikobegriff: „Risiko“ im Sinne des DSMS ist das Produkt aus
Eintrittswahrscheinlichkeit und Schadensausmaß.
5.2.3.2.3 Risikoidentifikation
Am Anfang des Risikomanagements steht die Risikoidentifikation, die den ersten Schritt
zur Ermittlung der Risikosituation des Unternehmens darstellt. Über die Risikoidentifika-
tion werden Informationen zu allen datenschutzspezifischen Risiken ermittelt. Für jedes
Risiko sind mögliche Eintrittswahrscheinlichkeiten sowie das Schadensausmaß zu ermit-
teln. Die Risiken sollten zudem immer vollständig identifiziert werden. Da dieser Prozess
- wie auch die Folgenden - sehr viele Ressourcen binden kann, wurden bis zu diesem
Punkt bereits durch den Scope des DSMS (Abschn. 4.2.1) deutliche Einschränkungen am
Umfang dieser Tätigkeiten vorgenommen. Nichtsdestotrotz sollten die Aufwände nicht
unterschätzt werden.
Die an diesem Punkt genannten Begriffe und Aktivitäten werden auch in Abb.
5.14
dargestellt und in den folgenden Passagen näher beschrieben.
Zunächst sind die
Risikoobjekte
zu identifizieren. Dies sind im DSMS die personenbe-
zogenen Daten. Diese können auch gruppiert betrachtet werden, etwa nach zugehörigem
Geschäftsprozess oder der Rechtsgrundlage, auf der sie erhoben worden sind. Abbildung
5.14
zeigt, dass - bezogen auf ein fiktives Unternehmen - im Rahmen des CRM auch
personenbezogene Daten verarbeitet werden, die nach § 42a BDSG im Falle eines Da-
tenschutzvorfalls nach dieser Rechtsvorschrift behandelt werden müssten (beispielsweise
Bank- oder Kreditkartenkontendaten).
DernächsteFaktorbeiderRisikoanalyseistder
potentielleSchaden
. Hierbeilassensich
die einschlägigen Vorgehensweisen aus der Informationssicherheit für die Klassifizierung
von Informationswerten analog übertragen
7
[30]. Auch erste Ansätze im Datenschutz
sind erkennbar, etwa durch Veröffentlichung von Vorfällen im Internet („Projekt
6
Beispielsweise aus der allgemein für Risikomanagementsysteme geschaffenen ISO 31000, die ein
Risiko als „Auswirkung von Unsicherheit auf Ziele“ definiert.
7
Vgl. zu diesen Vorgehensweisen bspw. Loomans, Business Impact Assessment im Unternehmens-
einsatz.
Search WWH ::
Custom Search