Database Reference
In-Depth Information
haben und insbesondere für die Kalkulation der beiden zentralen Faktoren „Eintritts-
wahrscheinlichkeit“ und „Schadenspotential“ verwendet werden können. Zudem besteht
bei der Erstimplementierung die Hauptaufgabe der Risikobewertung zunächst darin, eine
Priorisierung einzelner Risiken zu ermöglichen und die Maßnahmen auf die dringendsten
Probleme zu richten. Damit unterscheidet sich dieser Ansatz von der an
generellen
Schutz-
standards orientierten Vorgehensweise und berücksichtigt die begrenzten Ressourcen des
Unternehmens besser.
NichtzuvernachlässigenistdiebeigrößerenUnternehmennotwendige
Risikoaggrega-
tion
, die Ermittlung und Bewertung der Wirkungszusammenhänge der einzelnen Risiken.
Diese wird durch die zentrale Stelle für das Risikomanagement durchgeführt, denn auch
die Datenschutzrisiken müssen - trotz der oben erwähnten geringen Vergleichbarkeit -
mit den anderen Unternehmensrisiken zusammengeführt werden. In diesem aggregierten
Gesamtkontext fällt es dann auch leichter, später die Geschäftsleitung von bestimmten Ri-
sikobehandlungsoptionen zu überzeugen, wenn sich nämlich ein Datenschutzrisiko auch
gegenüber den anderen Unternehmensrisiken als relativ hoch darstellt.
KleinGmbH
Für die Klein GmbH wählt der Verantwortliche für den Datenschutz nach Rücksprache
mit der Geschäftsleitung eine qualifizierte Risikobewertung und bestimmt drei Risiko-
klassen: niedrig, mittel und hoch. Auf eine Risikomatrix wird verzichtet. Gemeinsam
mit den Verantwortlichen bewertet der Verantwortliche für den Datenschutz sodann
die einzelnen Risiken je Abteilung. Dabei legt er besonderen Fokus auf die Meinung
ebendieser Verantwortlichen, um gemeinsam zu einer finalen Bewertung zu kommen
und die sich daraus ergebenden Konsequenzen auch bewusst zu machen.
Für das identifizierte Risikoobjekt der lokalen CRM-Datei kommen in einem ge-
meinsamen Workshop der Abteilungsleiter Vertrieb und der Verantwortliche für den
Datenschutz zu folgendem Ergebnis:
Unter den Daten in der CRM-Datei befinden sich auch solche mit Personenbezug,
dienach § 42aBDSGeineInformationspflichtnachsichziehenkönnten. Betrachtetman
sowohl das Szenario eines Audits durch die Aufsichtsbehörde in der jetzigen Situation
als auch einen potentiellen Datendiebstahl, so kommt man zu dem Ergebnis, dass die
daraus resultierenden Risiken eines Bußgelds sowie von Absatzeinbußen wegen Wahr-
nehmen der Informationspflicht nach § 42a BDSG in beiden Szenarien einen hohen
SchadeninFormvonBußgeldernundAbsatzeinbußennachsichziehenwürden. Dieses
hohe Schadenspotential rechtfertigt es, sich näher mit der Eintrittswahrscheinlichkeit
zu beschäftigen.
So liegen zahlreiche Schwachstellen vor: Insgesamt hat jeder Mitarbeiter theoretisch
ZugriffaufdieCRM-Datei, jedochhatkeinerderMitarbeiterbisdatoeineSchulungzum
Thema absolviert. Somit wird nach dem Vorsichtsprinzip von einer fehlenden Aware-
ness der Mitarbeiter ausgegangen. Das zugehörige System, auf dem die CRM-Datei
liegt, unterstützt kein Identity Management und es besteht keine Zugriffskontrolle.
Die TOMs sind damit ebenfalls unzureichend. Dazu bestehen schwerwiegende Bedro-
hungen: Die Aufsichtsbehörde hat die Klein GmbH nach dem kürzlich ergangenen
Search WWH ::
Custom Search