Risiken von Cyberangriffen (er)kennen – Der Weg zu einer effizienten Risikobewertung und Datenschutz-Folgenabschätzung

Die Energiebranche ist immer wieder Ziel von Cyberangriffen. Die Datenschutzgrundverordnung (DS-GVO) verpflichtet Unternehmen und Behörden deshalb dazu, geeignete technische und organisatorische Maßnahmen zu treffen, um personenbezogene Daten zu schützen (Art. 24, 32 DS-GVO). Die Maßnahmen müssen dabei unter Berücksichtigung des Risikos, welches für die Betroffenen durch die Datenverarbeitung entsteht, nachweisbar angemessen sein.

Kommen Verantwortliche im Zuge der Durchführung der Risikobewertung zu dem Ergebnis, dass die Datenverarbeitung voraussichtlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt, haben sie ergänzend eine Datenschutz-Folgenabschätzung (DSFA) vorzunehmen (Art. 35 DS-GVO). Die Entscheidung über die Durchführung oder Nichtdurchführung der DSFA ist schriftlich zu dokumentieren. Dabei sind die maßgeblichen Gründe für den konkreten Verarbeitungsvorgang anzugeben.

Höhe des Risikos = Eintrittswahrscheinlichkeit x Schwere des Schadens

Da sich das Risiko aus der Multiplikation der Eintrittswahrscheinlichkeit mit der möglichen Schwere des Schadens ergibt, sind diese beiden Faktoren zu bewerten. Dabei wird die Eintrittswahrscheinlichkeit für einen unbefugten Zugriff und die Offenlegung der Daten bei einer Aufbewahrung dieser in einer Papierakte im Panzerschrank regelmäßig geringer sein als bei einer Speicherung in elektronischer Form in einer Cloud. Bei der Bewertung der Schwere des Schadens ist wesentlich, welche Auswirkungen für die betroffene Person (nicht das Unternehmen!) zu erwarten sind. Würde die Cloud gehackt und die Daten im Internet öffentlich, könnte dies im besten Fall nur eine leichte Verärgerung des Kunden, im schlimmsten Fall beispielsweise Cyber-Mobbing zur Folge haben.

Der Datenschutzbeauftragte ist bei der Risikobewertung maßgeblich auf die Unterstützung der Beschäftigten angewiesen, die über das notwendige Prozess- und IT-Wissen verfügen. Die Beschäftigten wiederum benötigen Arbeitshilfen, wie etwa eine Einstufungstabelle mit passenden Beispielen zur Einschätzung der Eintrittswahrscheinlichkeit und der Schwere des Schadens. Sinnvoll ist auch die Erarbeitung eines Fragen- und Kriterienkatalogs, um entscheiden zu können, ob eine DSFA durchzuführen ist oder nicht. Die ausgefüllte Arbeitshilfe dient am Ende außerdem als Nachweis für die Erfüllung der Rechenschaftspflicht.

Die Durchführung der Risikobewertung bietet Unternehmen außerdem die Möglichkeit, Prozesse und Schwachstellen zu analysieren und Prozesse zu optimieren. Zudem werden die Beschäftigten für Datenschutzthemen sensibilisiert. Erfolgt die Risikobewertung z. B. im Rahmen der jährlichen Überprüfung des Verzeichnisses von Verarbeitungstätigkeiten kann dieses direkt aktualisiert werden, sodass aus der „lästigen Übung“ ein produktiver und routinierter Prozess wird.

Ansprechpartner*innen: Dr. Andreas Lied/Dr. Jost Eder/Alexander Bartsch/Thomas Schmeding

PS: Sie interessieren sich für dieses Thema? Melden Sie sich gerne hier zu unserer Webinarreihe an.