Beschreibung¶
Die Risiken für die Rechte und Freiheiten natürlicher Personen – mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere – können aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einem physischen, materiellen oder immateriellen Schaden führen könnte, insbesondere wenn die Verarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann, wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren, wenn personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Zugehörigkeit zu einer Gewerkschaft hervorgehen, und genetische Daten, Gesundheitsdaten oder das Sexualleben oder strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln betreffende Daten verarbeitet werden, wenn persönliche Aspekte bewertet werden, insbesondere wenn Aspekte, die die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, die Zuverlässigkeit oder das Verhalten, den Aufenthaltsort oder Ortswechsel betreffen, analysiert oder prognostiziert werden, um persönliche Profile zu erstellen oder zu nutzen, wenn personenbezogene Daten schutzbedürftiger natürlicher Personen, insbesondere Daten von Kindern, verarbeitet werden oder wenn die Verarbeitung eine große Menge personenbezogener Daten und eine große Anzahl von betroffenen Personen betrifft.
Im Rahmen des DSMS werden Risiken identifiziert und bewertet, insbesondere bei den Verarbeitungstätigkeiten, während der Datenschutz-Folgenabschätzung (DSFA) und bei der Prüfung der Drittlandsübermittlung.
Vorgehen¶
| Aktivität | Beschreibung | Anmerkung | |
|---|---|---|---|
| 1 | Bestimmung von personenbezogenen Daten | Als vorbereitende Maßnahme, um letztendlich Risiken identifizieren zu können, sollte erfasst werden, welche personenbezogenen Daten bzw. Datengruppen im Unternehmen überhaupt verarbeitet werden. | Auf der Seite Personenbezogene Daten können diese Daten erfasst werden. |
| 2 | Durchführung der Strukturanalyse | Im zweiten Schritt sollte bestimmt werden, auf welchen Systemen die personenbezogenen Daten verarbeitet werden. Dies geschieht in einer sogenannten Strukturanalyse | Weitere Informationen zur Strukturanalyse bzw. Erstellung eines Netzplans erhalten Sie auf der Seite: Strukturanalyse - Netzplan Hier kann auch der fertige Netzplan abgelegt werden. |
| 3 | Identifikation von Risiken | Die Vorbereitungsphase ist nun abgeschlossen. Auf Grundlage der erarbeiteten Dokumentation können nun Datenschutzrisiken identifiziert und im DSMS erfasst werden. | Typischerweise werden Risiken aus den erfassten 04 - Verarbeitungstätigkeiten abgeleitet oder entstammen einer 07 - Datenschutz-Folgenabschätzung. |
| 4 | Zuordnung von Risiken | Erfasste Datenschutzrisiken können Verarbeitungstätigkeiten sowie Datenschutz-Folgenabschätzungen zugeordnet werden. | Um einzelne Risiken Verarbeitungstätigkeiten, Datenschutz-Folgenabschätzungen oder Prüfungen der Drittlandsübermittlung zuzuordnen ist es wichtig, als “Stichwort” (Englisch: Label) die jeweilige ID (VVT-ID, DSFA-ID oder PDD-ID) auf der entsprechenden Risiko-Seite zu setzen. In dem folgenden Beispiel ist das Risiko den Verarbeitungstätigkeiten mit der ID vvt-001 und vvt-002 zugeordnet: image-20240724-130656.png Für die Zuordnung zu DSFA ist das Label des entsprechenden DSFA zu nutzen (z.B. dsfa-001). Für die Zuordnung zur Prüfung der Drittlandsübermittlung ist das Label der entsprechenden Prüfung zu nutzen (z.B. pdd-001). |
| 5 | Bewertung der Risiken | Alle ermittelten Risiken werden bewertet, um deren Kritikalität zu bestimmen. 1. Eintrittswahrscheinlichkeit: Die Eintrittswahrscheinlichkeit muss durch geeignetes Fachpersonal eingeschätzt werden. Die Einschätzung kann sich dabei z.B. auf Statistiken und eigene Erfahrungen stützen. 2. Schadenshöhe: Hierbei geht es darum, wie sich der Eintritt eines Risikos auswirkt, d. h. welche Schäden (finanzieller und anderer Art) entstehen. Der Risikowert ergibt sich aus der Eintrittswahrscheinlichkeit und der Schadenshöhe und kann in der Risikomatrix ermittelt werden. Risiken mit einem hohen Risikowert (A) müssen behandelt werden. | Orientierungshilfe bei der Bewertung von Risiken bietet die DSMS Risikomatrix und Einstufungshilfe zur Risikobewertung |
| 6 | Risikobehandlung | Im Anschluss wird festgelegt, wie mit den identifizierten Risiken umgegangen wird. Die Möglichkeiten zum Umgang mit einem Risiko sind: - Risikovermeidung (Einstellen bzw. Anpassung einer Tätigkeit) - Risikoreduktion (Ermittlung von Sicherheitsmaßnahmen) - Risikotransfer (z.B. Versicherung) - Keine Behandlung notwendig (Grundsätzlich für alle C-Risiken anzuwenden) | Sollten hohe Restrisken bestehen bleiben, kann die Verarbeitung nicht durchgeführt werden bzw. besteht die Pflicht zur vorherigen Konsultation gemäß Art. 36 DSGVO |
Seiteninhalt
Änderungshistorie¶
| Datum | Autor | Änderung |
|---|---|---|
| 2026-02-15 | Visitrans | Execute SPEC-02: YAML frontmatter for 646 files, link conversion, validation |
| 2026-02-14 | Visitrans | Execute SPEC-01: Bulk-Export 646 Confluence pages to Obsidian vault |