18. Dezember 2019

Unter dem Titel "Nicht Bußgelder, sondern Datenpannen vermeiden" hat Security Insider einen interessanten Artikel veröffentlich, in dem es darum geht im Datenschutz das Richtige zu tun. Das heißt in erste Linie zu fragen, wie Datenpannen vermieden werden können, bevor man sich darüber Gedanken macht, wie ein drohendes Bußgeld vermieden werden kann.

risiko quadrant

Im Datenschutz wie auch in der Informationssicherheit allgemein, ist eine echte Risikoanalyse die solide Basis für geeignete Maßnahmen. Nach einer solchen Risikoanalyse wird man in der Regel feststellen, dass man in allen vier Risikoklassen Risiken angesiedelt hat. Für jedes Risiko muß untersucht werden, ob es vermieden werden kann. Ist dies nicht oder nicht mit vertretbarem Aufwand möglich, gilt insbesondere für die in den oberen Quadranten angesiedelten Risiken potenzielles Schadensausmaß oder Eintrittswahrscheinlichkeit auf ein akzeptables Restrisiko zu verringern. Für die verbleibenden Restrisiken muss dann eine klare Vorgehensweise definiert werden. Im Fall des Datenschutzes heißt dies:

  • korrekte und rechtzeitige Meldung einer Datenpanne
  • Maßnahmen definieren, die geeignet sind den entstandenen bzw. möglicherweise noch entstehenden Schaden schnellstmöglich einzudämmen
  • klare Schnittstelle zu den Aufsichtsbehörden