Database Reference
In-Depth Information
5.2.3.2.5 Risikobehandlung
An diesem Punkt sind die Risiken identifiziert und bewertet. Nun muss eine Entscheidung
darübergetroffenwerden, wiemitdeneinzelnenRisikenimFolgendenüberentsprechende
Maßnahmen umgegangen werden soll. Dies bildet den Kern der risikobasierten Vorge-
hensweise des DSMS und stellt die Weichen für den Erfolg des DSMS. Zur Behandlung
der Datenschutzrisiken gibt es fünf Möglichkeiten:
Sie können möglicherweise ganz vermieden werden.
Sie können verringert werden in Form der Anpassung bestehender TOMs als auch der
Einführung neuer TOMs.
Sie können (in Grenzen) auf Dritte abgewälzt werden.
Sie können (in Grenzen) versichert werden.
Sie können akzeptiert werden.
Die Risikoverringerung über entsprechende TOMs ist dabei die häufigste und auch prak-
tikabelste Behandlungsmethode. Als Richtschnur gilt für die Risikobehandlung: Je höher
Eintrittswahrscheinlichkeit und potenzieller Schaden des Risikos sind, desto eher sollte an
dieser Stelle angesetzt und eine Reduzierung des Risikos angestrebt werden. Dabei sollte
bei der Auswahl von TOMs im Datenschutz eine risikopräventive und ursachenbezoge-
ne Vorgehensweise gewählt werden. Wirkungsbezogene (reaktive) Maßnahmen machen
nämlich die Rechtsverletzung im Rahmen der Realisierung des Datenschutzrisikos nicht
ungeschehen. Daraus ergibt sich, dass primär die Schwachstellen über geeignete TOMs
geschlossen werden müssen. Diese allgemein bekannte Vorgehensweise im Datenschutz
wird über die hier vorgenommene Risikoorientierung jedoch gleichzeitig zielgerichtet auf
die hohen Risiken fokussiert und ermöglicht so eine Berücksichtigung der begrenzten Res-
sourcen. Damit kann das Unternehmen eine individuelle Maßnahmenliste erstellen, die
auf die jeweilige Risikosituation zugeschnitten ist. Bei der Auswahl von einzelnen Maßnah-
men kann man auch auf bereits bestehende Regelwerke zurückgreifen, etwa die bekannten
IT-Grundschutz-Kataloge, die auch einen Baustein zum Datenschutz enthalten [ 21 9 , 31].
Bei der Maßnahmenauswahl sollte ferner geprüft werden, ob eine Maßnahme nicht
mehrere Risiken gleichzeitig vermindern kann. Ebenso sind Wechselwirkungen der
einzelnen Risiken untereinander zu beachten. Da regelmäßig mehrere Maßnahmenop-
tionen zur Verfügung stehen, sind diese unter Effektivitäts- und Effizienzgesichtspunkten
miteinander zu vergleichen und auszuwählen.
Zur effektiven Risikobehandlung ist spätestens an dieser Stelle jedem Risiko ein Ri-
sikoinhaber zuzuteilen und im Risikoregister neben dem Risiko zu vermerken. Dieser
Risikoinhaber steht in der Verantwortung, das Risiko entsprechend den Vorgaben der
Risikostrategie zu verwalten und zu beobachten. Das bedeutet zum einen, dass der Risi-
koinhaber bei dem Nichterreichen dieses Ziels oder bei Realisierung des Risikos (intern)
zur Rechenschaft gezogen wird. Es bedeutet auch, dass der Risikoinhaber die zur Risi-
9 Zur beispielhaften Auswahl von Maßnahmen aus den Grundschutzkatalogen beim Cloud-
Computing im Rahmen eines ISMS, vgl. Loomans, Cloud-Computing im Lichte einer Bundes-
behörde - BSI-Grundschutz in der Wolke.
 
Search WWH ::




Custom Search