Risiko-Identifikation - wenn's im Gehirn stürmt

Die Risikobewertung ist ein essentieller Teil einer DSFA (Datenschutzfolgenabschätzung).

 

Damit man eine Bewertung der Risiken durchführen kann, muss man natürlich zunächst mal wissen, welche Risiken es überhaupt gibt. Klingt doof? Ist aber so! - und gar nicht mal so einfach.

 

Ein wichtiger Grundsatz bei der DSFA ist ja "kennen Sie Ihre Verarbeitung". Das heißt, alle Teilschritte und alle Akteure einer Verarbeitung sollten klar definiert und beschrieben sein.

Daten-Flüsse und Prozesse stehen fest und damit auch die Bereiche, an denen die Risiko-Identifikation ansetzt. Man weiß also bereits, was man sich in einer Risiko-Identifikation ansehen muss. 

 

 

Was noch nicht klar ist

Welche Risiken gibt's denn eigentlich an welchen Stellen, sind die schon abgesichert oder müsste man noch Maßnahmen ergreifen? Also muss man dazu einen Überblick schaffen. 

 

Nun gibt es kostenpflichtige und kostenlose Vorlagen für die Risikobewertung (die zum Großteil aus der Informationssicherheit stammen). Schöne Excel-Listen, die aber nun mal erstmal gefüllt werden müssen. Da setzt man sich halt einfach hin und füllt die!

 

Kann man machen - oder man setzt sich in den Biergarten und genießt die Sonne. Denn das Ergebnis dürfte weder halbwegs vollständig noch nachvollziehbar sein. Aber Sie lesen den Blog ja nicht um zu erfahren, wie man es nicht machen sollte. 

 

Die Methode „BrainStormCheckWriting“

Zur Risikoidentifikation gibt es viele unterschiedliche Vorgehensweisen. Da in kleinen und mittelständischen Unternehmen Zeit und Personal zwei extrem kritische und knappe Ressourcen sind, ist es eher schwierig, ganze Teams und Experten z.B. zu umfassenden Workshops oder Brainstormings zusammen zu koordinieren. Obwohl das eigentlich aus meiner Sicht die erfolgversprechendsten Vorgehensweisen wären.

 

Wenn die Situation eher so aussieht, dass die Akteure zusätzliche Aufgaben nur stückweise erfüllen können, also „wenn sie Zeit haben“, dann kann man eine Mischung aus Checkliste, Brainstorming und Brainwriting verwenden. Diese hat den Vorteil (aber auch den Nachteil!), dass sich jeder Akteur zeitversetzt mit der Auflistung von möglichen Risiken aus seiner Sicht beschäftigen kann.

 

Ein weiterer Vorteil ist, dass diese Methode auch zu Corona-Zeiten eine Möglichkeit bietet, die Risiko-Identifikation durchzuführen. Also unter Bedingungen, bei denen es nicht möglich ist, eben mal eine Gruppe von Menschen in einem Raum für mehrere Stunden mit dem Ziel intensiver Kommunikation zusammenzubringen,

 

Der Nachteil liegt auf der Hand: Die Ergebnisse entstehen größtenteils ohne direkte Begleitung durch Experten und müssen intensiv nachgeprüft werden.

 

Notwendig sind hier in jedem Fall eine genaue Erklärung und Anleitung, wie der Einzelne vorgehen sollte. Und Erreichbarkeit eines Ansprechpartners für Nachfragen.

 

 

Screenshot aus „Muster Datenschutz Risikobewertung“, www.datenschutzdocs.de

 

Außerdem erfordert diese Methode einen anschließenden Abgleich, um Doppel-Nennungen von Risiken (aber auch zu viele „copy/paste“ Inhalte) zu vermeiden.

 

Und – es ist nicht möglich, alle denkbaren und realistischen Risiken im Detail als Beispiele aufzulisten.  Aber das ist eine Fehlerquelle, die bei praktisch allen Methoden zur Risiko-Identifikation enthalten ist: Es kann ein Risiko übersehen werden.

 

Die Akteure

Wer sollte nun die Identifikation von Risiken durchführen? Ein Experte, der eben mal vorbeikommt und alle Risiken auflistet? Eher nicht. Ohne die bereits in der DSFA involvierten Personen kommt der auch nicht sehr weit. Wer kennt sich also aus?

 

Die Nutzer kennen die praktische Anwendung, die Abteilungsleitung kennt die Prozesse, die IT kennt die Geräte, Systeme, Netze, Datenflüsse und Schnittstellen zu externen Plattformen, der IT Security Dienstleister kennt Angriffsmöglichkeiten und Abwehrmaßnahmen, die Auftragsverarbeiter kennen ihre eigenen Systeme und Maßnahmen am besten, die Geschäftsleitung kennt die übergreifende Organisation und hat den Überblick.

 

Also im Großen und Ganzen die wichtigsten Akteure, die bereits für die DSFA Informationen liefern mussten und nun an einer Risiko-Identifikation mitwirken sollten.  

 

Der Risiko-Identifikationsbogen

Stellen Sie sich vor, sie sitzen da mit einem leeren Blatt Papier und müssen nun alle möglichen Risiken für „Ihren“ Verarbeitungsschritt auflisten. Ganz schnell taucht die Frage auf „was ist denn überhaupt ein Risiko?“.

 

Und hier hilft eine Vorlage, eine Auflistung oder eine Checkliste, die „typische“ Risiken nennt. Zusätzlich gibt es eventuell spezifische Risiken, die dann noch zusätzlich hinzugefügt werden können. Diese Vorlage wird in so viele Teilschritte und auf so viele Akteure aufgeteilt, wie dies Sinn macht. Jeder bekommt einen eigenen Identifikations-Bogen und macht dort Angaben zu den für seinen Verarbeitungsbereich relevanten Risiken. 

 

Ein sklavisches Abarbeiten der aufgelisteten Risiko-Bereiche ist nicht das Ziel. Stattdessen sollte idealerweise der Teilprozess in der Praxis betrachtet werden. Die Vorlage soll nur den Einstieg und die vollständige Betrachtung erleichtern.

 

Screenshots aus „Muster Datenschutz Risikobewertung“, www.datenschutzdocs.de

 

Die Ergebnisse

Nun sind die Ergebnisse aus den Risikoidentifikations-Bögen nicht immer das, was man sich vorgestellt hatte. Ein Teil der Nacharbeit besteht (neben dem Befüllen der Liste für die Risiko-Analyse und -Bewertung mit den „Ereignissen“ aus der Risikoidentifikation) natürlich darin, Lücken zu schließen, wo diese offensichtlich zu den in der DSFA beschriebenen Bereichen und Prozessen bestehen.

 

Wenn beispielsweise im Personalbereich bekanntermaßen noch wichtige Dokumente zu Informationspflichten fehlen, dieser Punkt aber in der Risikoidentifikation nicht aufgelistet ist, muss vervollständigt werden.

 

Auftragsverarbeiter werden auch mal nicht direkt eingebunden und sofern dies der Fall ist, muss dies nachgeholt werden oder zumindest deren Dokumentation von Maßnahmen so wasserdicht sein, dass sich alle möglichen Risiken auf dieser Basis als maximal gering oder mittel beziffern ließen. Typische TOM-Dokumente von Auftragsverarbeitern geben das übrigens oft nicht so ganz eindeutig her.

 

Und es hilft auch nichts, "unbequeme" Bereiche einfach mal zu vergessen. "Augen auf und durch" ist hier eher das Motto. Denn gerade die kritischen Verarbeitungsbereiche sollen ja im Rahmen der DSFA behandelt werden. 

 

Insgesamt muss sich in der Risikoidentifikation widerspiegeln, dass sich alle Akteure und letztendlich der Verantwortliche tatsächlich umfassend mit den möglichen und realistischen Risiken der Verarbeitung auseinandergesetzt haben. Denn eine Risikobewertung, die auf "eben mal schnell hingekritzelten" Risikoidentifikationen basiert, oder bei der nicht ersichtlich ist, nach welcher strukturierten Vorgehensweise man zu den Ergebnissen kam, könnte bei einem Audit oder einer Prüfung durch eine Aufsichtsbehörde ziemlich schnell zu Staub zerfallen. 

 

 

Beim nächsten Mal geht es dann an den nächsten Schritt. Die Analyse der Folgen für die Betroffenen und darauf basierend die Bewertung der Risiken in Risikostufen, die einen realistischen Risikowert ergeben.