DSB Experten-Community

3 Comments on “DSB Experten-Community
  • Katharina Stevens says:

    Moin Regina,
    irgendwie habe ich mich aus dem DSB Experten Club geschossen… ?!?
    „Sie sind leider nicht als DSB Experte registriert. Werden Sie Teil der Experten Community…“
    Wie komme ich wieder rein?
    Gruß aus dem Norden,
    Katharina Stevens

    Antworten
  • Stephan Ihorst says:

    Guten Morgen Jasmin,

    ich habe mich in den letzten 2 Tagen mit der Risikoanalyse beschäftigt und dazu noch einige Fragen.
    1. In der von euch erstellten Vorlage zum Verfahrensverzeichnis gibt es die Felder DSFA Relevanz, in denen eine „grobe“ Vorbewertung des Risikos sinnvoll ist. Die von euch eingetragenen Werte in den Feldern sind „Erfahrungswerte“ von euch, die so für jedes Verfahren übernommen werden können?

    2. In eurer Beschreibung zur Risikoanalyse sind die Schadensklassen gering, mittel, hoch und sehr hoch festgelegt-ok. Die Schadenskategorien sind nun aber auf das Unternehmen und die betroffene Person gerichtet (finanzieller Schaden, Ausfall Kernprozesse, Reputationsschaden und Auswirkungen auf natürliche Personen). Warum bewerten wir im Datenschutz den Schaden für das Unternehmen? Weil dadurch auch ein Schaden für die betroffene Person entstehen kann? (siehe euer Beispiel aus der Lohnbuchhaltung – zu welchem Verfahren würde dieses Risiko gehören?).
    Da kann es aber weit mehr Gefährdungen für das Unternehmen geben – siehe elementare Gefährdungen aus dem BSI-Standard 200-3. Müssten diese Gefährdungen alle für jedes vorhandene Verfahren, welches in Betracht kommt, geprüft werden?
    Ich habe hier ein Verständnisproblem, wo ich nicht weiter komme und bitte deshalb um Hilfe.
    Vielen Dank und liebe Grüße aus dem Oldenburger Münsterland.
    Stephan

    Antworten
    • Regina says:

      Hallo Stephan,

      1. die Einschätzung beruht auf den Definitionen, die hinterlegt sind. Was gilt als hoch, mittel, gering…. Diese Definitionen sind zum Einen zu prüfen, ob die für das Unternehmen, um welches es geht auch gelten. Zudem musst du auch nochmal das Verfahren prüfen, ob bei dir dieselben Datenkategorien gelten. Danach richtet sich die Bewertung. Wenn aus bestimmten Gründen die Arbeitsweise im Unternehmen eine höhere Eintrittswahrscheinlichkeit birgt (weil z .B. TOMs fehlen), dann muss man hier auch nachjustieren. Das ganze ist eine Richtung, muss aber schon nochmal im Einzelfall geprüft werden.

      2. Hier muss man Unterscheiden zwischen allg. Risikoanalyse und DSFA. Bei der DSFA sieht man den Schaden auf die betroffene Person. Bei der allg. Risikoanalyse bezieht sich der Schaden auf das Unternehmen. Hast du dir hier beide Vorlagen angesehen? Da ist nämlich die Definition unterschiedlich. Je nachdem, welche Vorlage du verwendest, sind andere Schadenskategorien hinterlegt. Für DSFA musst du auch die Vorlage DSFA nehmen, dann sollten keine Definitionen von allg. Schäden hinterlegt sein.

      Ich hoffe, ich konnte dir weiterhelfen.
      Viele Grüße
      Regina

      Antworten

Leave a reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.