Ein Risiko zu analysieren bedeutet, sich mit einem möglichen Vorfall schon im Voraus auseinander zu setzen. Dieser Vorfall sollte realistisch (soweit uns das möglich ist) bewertet werden. Was kann im schlimmsten Fall passieren? Was würde das für uns oder für unser Unternehmen bedeuten? Wie man strukturiert an eine Risikoanalyse heran geht und durchführt, erläutert dieser Artikel.
Die Argumentation mit Risiken im Geschäftsalltag sollten Sie sich zunutze machen. Auf die Frage: „Wo sehen Sie an dieser Stelle konkret ein Risiko?“ werden viele Gesprächspartner, die gerade noch aufbrausend getobt haben, schnell etwas leiser oder schweigen gleich. Ein Risiko strukturiert zu bewerten erfordert doch etwas mehr, als nur seinem Bauchgefühl Luft zu machen.
Aber reden wir nicht um den heißen Brei, sondern werden wir konkret. Lassen Sie uns Risiken identifizieren und bewerten.
Inhaltsverzeichnis
Definition Risiko
Nicht nur in der ISO 31000, dem ISO Standard für das Risikomanagement (Risk management – Principles and guidelines) oder der ISO/IEC 27001 – Managementsystem für Informationssicherheit, ist das Risiko folgendermaßen definiert:
Risiko = Schaden x Eintrittswahrscheinlichkeit
Kurz gesagt, das Risiko ist das Produkt aus dem potentiell möglichen Schaden und der damit verbunden Eintrittswahrscheinlichkeit. So ganz ohne Mathematik kommen wir an dieser Stelle also nicht aus. Aber keine Panik! Es sollte nicht so schwierig sein, diese beiden Werte miteinander zu multiplizieren.
Die größere Herausforderung steckt in der Vorarbeit. Um Schaden und Eintrittswahrscheinlichkeit miteinander multiplizieren zu können, müssen wir sie in Werte „umwandeln“ bzw. klassifizieren.
Definition Risikokriterien
Eine Risikoanalyse muss einem systematischen Aufbau folgen. Die Ergebnisse müssen reproduzierbar sein. Das heißt, würde eine andere Person mit gleichem Know-how dasselbe Risiko bewerten, sollte es anhand der objektiven Kriterien zum selben Ergebnis kommen.
Daher ist es extrem wichtig, diese objektiven Kriterien vorab zu definieren. Sie sind von Unternehmen zu Unternehmen verschieden. Selbst innerhalb eines Unternehmens können sich die Risikokriterien unterscheiden.
Definition von Schadensklassen
Natürlich können Sie anstatt mit Schadensklassen zu arbeiten auch direkt mit finanziellen Werten arbeiten. Das heißt, Sie beziffern jeden potentiellen Schaden mit einer Summe X in Euro. Das macht es natürlich für unsere mathematische Formel einfach. In der Praxis ist dies aber schwierig. Denn wer kann schließlich beurteilen, welchen (relativ exakten) finanziellen Schaden zum Beispiel ein Reputationsschaden aufgrund fehlerhaft ausgelieferter Produkte nach sich zieht?
Falls Sie also nicht aufgrund interner oder externer Vorgaben dazu gezwungen sind, den Schaden tatsächlich in Euro zu bewerten, empfehle ich Ihnen, lieber Schadensklassen zu bilden. Vier Klassen sind aus meiner Erfahrung zum Starten sinnvoll:
- gering, mittel, hoch, sehr hoch
- sehr gering, gering, mittel, hoch
Beides führt letztendlich zum selben Ergebnis. Der Unterschied ist rein im Wording und in der Botschaft, die Sie damit vermitteln.
Das war’s? Was soll daran schon schwierig gewesen sein?
Jetzt haben wir zwar unsere Schadensklassen gebildet, jedoch können wir noch nicht die Anforderung erfüllen, dass unsere Bewertungen reproduzierbar sein sollen. Wir müssen sicherstellen, dass Projektleiter Müller die Projektrisiken nach denselben Kriterien bewertet wie sein Stellvertreter Herr Schmitt. Das klappt nur, wenn wir ihnen zu den Schadensklassen noch eine Hilfestellung geben, was darunter zu verstehen ist.
Die nachfolgende Tabelle zeigt eine mögliche Interpretation der Schadensklassen.
| Schadensklasse | Finanzieller Schaden | Ausfall Kernprozesse | Reputationsschaden | Auswirkungen auf natürliche Personen |
|---|---|---|---|---|
| gering | < 5.000 € | Minimale Verzögerungen in den nachfolgenden Prozessen (bis zu 2 Stunden) | Vorfall ist nur internen Mitarbeitern bekannt. Keine medialen Auswirkungen | Nachteile (wirtschaftlich, gesellschaftlich) im geringen Umfang für die Person |
| mittel | Zwischen 5.000 € und 20.000 € | Führt zu einer Verzögerung von ca. einen Tag bei den nachfolgenden internen Prozessen | Regionale mediale Auswirkungen | Finanzieller Schaden (nicht existenzgefährdend) |
| hoch | Zwischen 20.000 € und 50.000 € | Führt zu einer Verzögerung von mehr als einen Tag bei den nachfolgenden internen Prozessen | Vorfall hat nationale Mediale Auswirkungen, negatives Images auch bei Stellenausschreibungen | Identitätsdiebstahl, Diskriminierung |
| sehr hoch | > 50.000 € | Führt zu einer Verzögerung bei den geplanten Lieferzeiten; Kundentermine können nicht eingehalten werden | Vorfall hat internationale mediale Auswirkungen, Verlust von Kunden | Lebensgefahr, Existenzgefährdend |
Über die Ausprägung kann man natürlich diskutieren. Hier geht es mir primär darum, an einem Beispiel zu zeigen, wie Schadensklassen definiert sein können. Die inhaltliche Ausprägung, sowie die Anzahl der Kriterien, die man definiert, sind natürlich auf das eigene Unternehmen zu beziehen.
Definition der Eintrittswahrscheinlichkeit
Gleiches Spiel, nur dieses Mal für die Eintrittswahrscheinlichkeit. Ob Sie die Klassen wieder gering, mittel, hoch, sehr hoch oder anders taufen, liegt ganz bei Ihnen.
| Eintrittswahrscheinlichkeit | Schätzung für die Zukunft | Blick in die Vergangenheit |
|---|---|---|
| gering | Vorfall tritt frühestens in 6 Jahren oder später ein | Vorfall bisher noch nie eingetreten bzw. vor über 6 Jahren eingetreten |
| mittel | Vorfall tritt in den nächsten 4-6 Jahren ein | Vorfall ist in den letzten 4-6 Jahren eingetreten |
| hoch | Vorfall tritt in den nächsten 1-3 Jahren ein | Vorfall ist in den letzten 1-3 Jahren eingetreten |
| sehr hoch | Vorfall tritt im nächsten Jahr ein | Vorfall ist im letzten Jahr eingetreten |
Wie bei den Schadensklassen liegt die Ausprägung der Inhalte in Ihrem Unternehmen und richtet sich nicht nach meinem Beispiel!
Risikomatrix
Wir kennen jetzt unsere Schadensklassen und Eintrittswahrscheinlichkeiten, die wir bei der Bewertung zur Verfügung stellen. Daraus ergibt sich das mögliche Risiko. Da wir den größten Schaden mit „sehr hoch“ und die größte Eintrittswahrscheinlichkeit mit „sehr hoch“ beziffert haben, ist unser maximales Risiko:
maximales Risiko = Sehr hoher Schaden x sehr hohe Eintrittswahrscheinlichkeit
Genauso ermitteln sich alle anderen möglichen Risiken, die in unserer Matrix möglich sind.
Da wir ja das Risiko auch rechnerisch ermitteln möchten, ist es sinnvoll, den Klassen Werte zu hinterlegen. Je nach Anzahl der Klassen und der Ergebniswerte, kann es sinnvoll sein, die Werte nicht mit 1-x zu vergeben, sondern vielleicht mit 10, 20, 30….
Wir wissen jetzt jedenfalls, dass in unserem Beispiel das maximale Risiko einem Wert von 16 entspricht und das minimale Risiko den Wert 1 hat. Ich finde es einfacher, mit diesen Werten nun das Risikoakzeptanzniveau festzulegen.
Definition Risikoakzeptanzniveau
Was für ein schöner Begriff: „Risikoakzeptanzniveau“ 🙂 Das heißt?
Wir haben jetzt unsere Risikomatrix konstruiert. Daraus erschließt sich aber noch nicht, was nun für das Unternehmen ein tragbares Risiko ist. Auch dies muss vor der Durchführung der Risikoanalyse festgelegt werden.
Anhand der oben dargestellten Risikomatrix kann das Unternehmen nun zum Beispiel festlegen, dass alle Risiken mit einem Ergebniswert von < 4 automatisch akzeptiert werden. Damit würde für das Unternehmen das Risikoakzeptanzniveau folgendermaßen aussehen:
Für die spätere Risikoanalyse bedeutet das dann, dass alle Risiken mit einem Ergebnis < 4 keine weiteren Maßnahmen fordern.
Risikoklassen
Sie können die Anzahl der Risikoergebnisklassen natürlich auch wieder selbst wählen. Mindestens zwei sollten es schon sein – akzeptierte Risiken und nicht akzeptierte Risiken.
Sinnvollerweise hat man mindestens drei Risikoklassen. Diese können Sie gerne wieder in geringe Risiken, mittlere Risiken und hohe Risiken einteilen.
Geringe Risiken (in unserem Beispiel die mit einem Wert < 4) akzeptieren Sie automatisch. Mittlere Risiken (mit Werten zwischen 4 und 8 im Beispiel) werden individuell akzeptiert. Wer das Recht hat, diese Risiken zu akzeptieren, müssen Sie ebenfalls festlegen. Ist das der zuständige Abteilungs- oder Projektleiter oder muss so etwas immer über die Geschäftsleitung laufen? Hohe Risiken (mit Werten größer als 8 im Beispiel) bedürfen grundsätzlich immer einer Risikobehandlung und können nur mit Begründung durch die Geschäftsleitung akzeptiert werden. Wie das bei Ihnen aussehen soll, entscheiden Sie!
Soweit zu den Vorarbeiten. Jetzt geht es zur eigentlichen Durchführung der Risikoanalyse.
Prozess Risikoanalyse
Eine sinnvolle Risikoanalyse ist normalerweise in ein Risikomanagementsystem eingebunden. Dem Risikomanagementsystem widme ich einen separaten Beitrag im Blog. Daher möchte ich an dieser Stelle nicht weiter darauf eingehen. Hier wollen wir den Schwerpunkt auf die Durchführung einer Risikoanalyse setzen, also auf den eigentlichen Risikomanagement-Prozess.
Genau genommen ist die eigentliche Risikoanalyse nur ein Teilbereich aus dem kompletten Risikomanagement-Prozess, wie der Prozessablauf nach ISO 31000 zeigt.
Risikoidentifikation
Im ersten Schritt geht es darum festzustellen, was denn überhaupt passieren kann. Wer könnte das besser als die Person(en) im Unternehmen, die auch tatsächlich mit dem Risiko direkt konfrontiert sind. Der Risk Owner oder auf deutsch, der Risikoeigner. Der Risikoeigner sollte die Risiken für seinen Bereich kennen. Das kann der Abteilungsleiter sein, aber auch der Projektleiter. Je nach Größe der Abteilung oder des Projektteams können auch entsprechend Mitglieder aus dem Team bei der Erfassung der Risiken unterstützen. Der Risikoeigner (=Verantwortliche) ist aber wie immer im Job der „Hutträger“, also der Abteilungs- oder Projektleiter.
Im Rahmen der Risikoanalyse geht es bei der Risikoidentifikation darum, potentielle Vorfälle zu benennen. Hier wird noch nichts bewertet. Stellen Sie sich einfach die Frage: „Was könnte passieren?“
Und bleiben Sie dabei realistisch! Bei manchen Risiko-Workshops habe ich den Eindruck, es geht darum, die Risikoliste mit Zeilen zu füllen. Das sollte eigentlich nicht das primäre Ziel sein. Bringen Sie die nur die Vorfälle auf den Tisch, bzw. in die Excel-Mustervorlage oder ihr Risikoanalyse-Programm, die auch tatsächlich in Ihrem Bereich existieren.
Spielen wir das ganze mal an einem Beispiel durch. Sie sind kaufmännischer Leiter eines kleinen mittelständischen Unternehmens und haben damit auch die Personalleitung über.
Szenario: Der Mitarbeiter, der für die Lohnabrechnung zuständig ist, fällt für mehrere Wochen (bis zu 6 Wochen), aus.
Gut, das ist nun unser Szenario. Aber ist das tatsächlich auch ein Risiko? Nein! Und das ist ein entscheidender Punkt, dem ich in der Praxis bei Risikoworkshops oft begegne. Selbst manche Bücher definieren so ein Risikoszenario. Dabei haben wir hier lediglich einen Vorfall beschrieben. Zum Risiko wird dieser aus meiner Sicht erst, wenn sich daraus eine Konsequenz ergibt, die für das Unternehmen zu einem Schaden führt. Dies liest man aus obigen Szenario nicht heraus. Aus diesem Grund habe ich in der Excel-Mustervorlage im Anhang ein separates Feld mit „…führt zu“ ergänzt. Damit werden Sie daran erinnert, diese wichtige Information nicht zu vergessen.
Beschreibung des Schadens („…führt zu“): Lohnabrechnung für das gesamte Unternehmen kann nicht mehr erstellt werden. Löhne können nicht mehr bezahlt werden.
Erst jetzt wird es eine „runde Sache“ und der Vorfall wird mit einem potentiellen Schadensszenario verknüpft. Wir haben uns an dieser Stelle aber noch keine Gedanken über das „Warum“ gemacht. Was ist denn nun die Ursache dafür, dass der Ausfall des Mitarbeiters zum Ausfall der Lohnabrechnung führt? Weil auch dies eine wichtige Information ist, finden Sie ebenfalls ein separates Feld dazu in meiner Risikoanalyse-Excel Vorlage.
Ursache / Grund für das Eintreten des Szenarios (=Schwachstelle): Da es sich beim zuständigen Mitarbeiter um eine Single-Source handelt, also um nur eine einzige Person, die das entsprechende Know-how hat, kommt es beim Ausfall dieses Mitarbeiters über mehrere Wochen zum Schaden.
Risikoanalyse
Jetzt kommen wir erst zur eigentlichen Risikoanalyse. Wir analysieren, wie groß der Schaden für das Unternehmen ist und wie groß die Eintrittswahrscheinlichkeit für dieses Risikoszenario ist.
Bevor wir in die Durchführung des Risiko-Prozesses gegangen sind, haben wir unsere Hausaufgaben gemacht und definiert, welche Schadensklassen und Eintrittswahrscheinlichkeiten wir zur Auswahl stellen möchten.
Schadensklasse: Wenn wir uns nun auf unsere Schadensklassen-Definition beziehen, können wir von einem Reputationsschaden ausgehen. Dieser Vorfall wird es wahrscheinlich in die regionale Presse schaffen. Zudem hätte es finanzielle Auswirkungen bei den betroffenen Personen. Mit diesen Kriterien wären wir bei der Schadensklasse „mittel“.
Eintrittswahrscheinlichkeit: Dass es in der jetzigen Konstellation zu einem mehrwöchigen Ausfall kommen kann, ist aus Schätzung des Unternehmens in den nächsten 1-3 Jahren durchaus möglich. Damit wäre die Eintrittswahrscheinlichkeit bei „hoch“.
Risikobewertung
Mit den getroffenen Klassifizierungen für Schaden und Eintrittswahrscheinlichkeit ergibt sich nun ein Risikowert. Zu unserer Freude geht dieser Schritt nun automatisch (siehe Bild oben). Wir haben vorher ja unsere Hausaufgaben gemacht und die Risikoklassen definiert.
Ein mittlerer Schaden multipliziert mit einer hohen Eintrittswahrscheinlichkeit ergibt ein mittleres Risiko mit einem Risikowert von 8. Damit haben wir ein Risiko, das einer weiteren Entscheidung bedarf. Es wird nämlich als mittleres Risiko nicht automatisch akzeptiert.
Der kaufmännische Leiter möchte dieses Risiko nicht tragen. Das heißt, es ist per Definition nicht akzeptiert. Auch der Risikoeigner entscheidet sich nicht dafür, das Risiko zu akzeptieren. Damit muss das Risiko in irgendeiner Weise verringert werden.
Risikobehandlung
Dieser Schritt ist nur nötig, wenn das Risiko nicht akzeptiert wird. Eine Risikobehandlung kann unterschiedlich ausfallen.
- Minimieren des Risikos, indem Maßnahmen umgesetzt werden, die entweder den Schaden oder die Eintrittswahrscheinlichkeit verringern.
- Eliminieren des Risikos, indem man das Eintreten des Vorfalls komplett vermeidet.
- Übertragen des Risikos an einen Dritten, zum Beispiel eine Versicherung.
- Akzeptieren und regelmäßige Überwachung des Risikos.
In der angehängten Excel-Vorlage finden Sie ein Feld „geplante Zusatzmaßnahme“. Hier können Sie angeben, mit welcher Maßnahme Sie die Eintrittswahrscheinlichkeit oder den Schaden minimieren möchten.
Auch andere Maßnahmen wie das Übertragen oder Eliminieren des Risikos sollten hier dokumentiert werden. Beachten Sie, dass der Risikoeigner nur bedingt Maßnahmen selber freigeben kann. Je nach Aufwand von Zeit, Ressourcen und Kosten muss für eine Maßnahme die Geschäftsleitung hinzugezogen werden.
Geplante Zusatzmaßnahme in unserem Beispiel: Der kaufmännische Leiter schlägt als Maßnahme vor, eine weitere Person mit der Lohnbuchhaltung vertraut zu machen. Damit minimiert sich der Schaden nach Umsetzung der Maßnahme und fällt nun in die Klasse „gering“. Der Ausfall eines Mitarbeiters führt somit nicht zu einer Unterbrechung in der Lohnbuchhaltung. Die Eintrittswahrscheinlichkeit, dass ein Mitarbeiter mehrere Wochen ausfällt, bleibt allerdings gleich.
Damit haben wir mit geringem Schaden und hoher Wahrscheinlichkeit ein akzeptiertes Risiko.
Weitere Informationen zur geplanten Zusatzmaßnahme: Sie können in der Risikobehandlung auch gleich die Details zum Status der Maßnahme, den Kosten, Verantwortlichkeiten und Umsetzungszeiten angeben, wenn Sie möchten.
Risikobericht / Risikopräsentation einer Risikoanalyse
Häufig liest man von einem Risikobericht. Es gibt dazu aber keine verpflichtende Form und Darstellung. Wenn Sie die Excel-Vorlage aus diesem Beitrag verwenden, haben Sie damit natürlich auch gleich einen Risikobericht Ihrer Risikoanalyse. Sie haben eine übersichtliche Darstellung aller identifizierten Risiken. Sie können nach verschiedenen Risikoklassen filtern und sich die Maßnahmen anzeigen lassen. Es ist also alles da.
Damit der Risikobericht allerdings auch seine Gültigkeit hat, ist es wichtig, ihn der Geschäftsleitung zu präsentieren.
Präsentation der Risiken bei der Geschäftsleitung
Hier sind wir jetzt zwar schon wieder im Risikomanagementsystem, trotzdem möchte ich an dieser Stelle auf diesen Aspekt kurz eingehen. Selbst wenn die geringen Risiken automatisch akzeptiert werden – per Definition, sollten die übergeordneten Verantwortlichen davon Kenntnis haben. Es ist klar, dass die „kleinen Risiken“ nicht die Zeit der Geschäftsleitung fressen sollen. Trotzdem sollten Sie der Geschäftsleitung entweder im Quartalsmeeting oder bei aktuellem Risiko ein Update in Sachen Risiko-Status liefern.
Bei „roten“, also hohen Risiken, benötigen Sie in der Regel sowieso ein Statement der Geschäftsleitung. Ganz wichtig! Vergessen Sie nicht, diese Entscheidung der Leitung zu hohen Risiken dann auch zu dokumentieren. Entweder direkt in der Risikoanalyse oder in einem separaten Protokoll.
Grafische Übersicht der Risiken
Mir persönlich gefällt es gut, vor allem die hohen Risiken grafisch in der Risikomatrix darzustellen. In dieser Darstellungsform bekommen die hohen und mittleren Risiken einen Punkt in der Risikomatrix entsprechend ihrer Einstufung in Schaden und Eintrittswahrscheinlichkeit.
Das ist zwar eine kleine Fleißarbeit, aber toll für ein Managementmeeting.
Vorlage Risikoanalyse
Wie versprochen, gibt es hier nun eine kostenlose Vorlage in Excel, die den Anforderungen der ISO 31000 entspricht.
Wenn Ihnen die Vorlage gefällt, hinterlassen Sie uns doch 5 Sterne beim Artikel und bewerten Sie uns auf Google oder ProvenExpert.
Risikoanalyse im Datenschutz
Rechte und Freiheiten natürlicher Personen
Da sich unser Blog auch um das Schwerpunktthema Datenschutz dreht, möchte ich hierauf noch mal gesondert eingehen. Die DSGVO spricht von Risiken für die Rechte und Freiheiten natürlicher Personen. Darunter fällt der Schutz der Grundrechte und Grundfreiheiten. Artikel 2 des Grundgesetzes impliziert das Grundrecht auf informationelles Selbstbestimmungsrecht. Das heißt, jede natürliche Person hat das Recht über seine Daten selbst zu bestimmen.
Als Rechtsgrundlage gelten: Charta der Grundrechte und Grundfreiheiten der EU (GrCh), Menschenrechtskonvention(MRK), nationale Gesetze (z.B. Grundgesetz (GG) der Bundesrepublik Deutschland)
Was bedeutet Risiko nach der DSGVO?
Der Begriff „Risiko“ ist nicht explizit in der DSGVO bestimmt. Allerdings kann der Erwägungsgrund 75 der DSGVO herangezogen werden.
Ein Risiko im Sinne der DS-GVO ist das Bestehen der Möglichkeit des Eintritts eines Ereignisses, das selbst einen Schaden (einschließlich ungerechtfertigter Beeinträchtigung von Rechten und Freiheiten natürlicher Personen) darstellt oder zu einem weiteren Schaden für eine oder mehrere natürliche Personen führen kann.
Erwägungsgrund 75 der DSGVO
Es hat zwei Dimensionen: Erstens die Schwere des Schadens und zweitens die Wahrscheinlichkeit, dass das Ereignis und die Folgeschäden eintreten.
Egal ob Risiken welche natürliche Personen oder Unternehmen betreffen. Die Vorgehensweise für die Identifizierung, Bewertung, Analyse und Behandlung bleibt immer dieselbe.
Das DSK-Kurzpapier Nummer 18 gibt einen Überblick zur Risikoanalyse Datenschutz. Es finden sich auch einige Beispiele im Dokument.
Ihre Erfahrungen mit der Risikoanalyse
Ich bin gespannt, welche Erfahrungen Sie mit der Durchführung einer Risikoanalyse bisher gemacht haben. Wo sehen Sie die Stolpersteine? Was geht Ihnen im Risikoprozess einfach von der Hand? Lassen Sie uns in einem Kommentar an Ihren Erfahrungen teilhaben.
Unterstützung in Sachen Risikomanagement
Gerne unterstützen wir Sie natürlich mit Workshops vor Ort oder Onlinemeetings bei der Erstellung eines Risikomanagement-Prozesses oder auch in der Durchführung einer Risikoanalyse. Egal ob ISO 31000, ISO 9001 oder ISO 27001…. – kontaktieren Sie uns: info@datenbeschuetzerin.de
FAQs zum Thema Risikoanalyse
Was ist eine Risikoanalyse?
Die Risikoanalyse ist ein strukturiertes Vorgehen, um potenzielle Ereignisse zu identifizieren, die einen Schaden darstellen können. Neben der Identifizierung ist die Bewertung und Behandlung der Risiken ein elementarer Bestandteil der Risikoanalyse.
Gibt es normative Vorgaben zur Durchführung einer Risikoanalyse?
Das Risikomanagement ist im internationalen ISO Standard 31000 (Risk management – Principles and guidelines) definiert. Die ISO/IEC 27001 gibt ebenfalls Vorgaben zur Durchführung der Risikoanalyse.
Wie ist Risiko definiert?
Ein Risiko setzt sich zusammen aus dem potentiell möglichen Schaden und der möglichen Eintrittswahrscheinlichkeit.
Definition Risiko = Schaden x Eintrittswahrscheinlichkeit
Um Schaden und Eintrittswahrscheinlichkeit multiplizieren zu können, rechnet man mit Schadensklassen und Klassen der Eintrittswahrscheinlichkeit.
Wie können Schadensklassen und Eintrittswahrscheinlichkeiten definiert werden?
Meistens trifft man für die Einteilung von Schadensklassen auf die Einstufung: Hoch / Mittel / Gering. Entscheidend ist aber, zu definieren, was sich hinter diesen Klassen verbirgt. Dazu muss genau definiert werden, wann ein Schaden als Hoch, Mittel oder Gering gesehen wird. Dasselbe gilt für die Klassen der Eintrittswahrscheinlichkeit. Tabellen dazu befinden sich im Artikel im gleichnamigen Abschnitt.
Was ist eine Risikomatrix?
Die Risikomatrix zeigt grafisch, welche Risiken möglich sind. Durch die vorher definierten Schadensklassen und Klassen für die Eintrittswahrscheinlichkeit, ergeben sich die möglichen Werte für das Risiko. Die Matrix zeigt meistens einen Quadranten des Koordinatensystems. Auf der x-Achse liegt der potentielle Schaden. Auf der y-Achse wird die Eintrittswahrscheinlichkeit angegeben.
Aus der bekannten Formel: Risiko = Schaden x Eintrittswahrscheinlichkeit, sind nun in der Matrix die möglichen Risikowerte ersichtlich.
Meistens sind die Risikowerte in der Matrix auch optisch hervorgehoben. Rot werden die Werte dargestellt, die als sehr hoch eingestuft werden. Gelb und grün sind in der Regel die Abstufungen nach unten. Hierzu gibt es aber keine farblichen Vorgaben.
Was ist das Risikoakzeptanzniveau?
Anhand der Risikomatrix lässt sich optisch übersichtlich darstellen, welche maximalen Risikowerte theoretisch möglich sind. Die maximalen Werte wird man in der Regel nicht akzeptieren. Das heißt, hier wird sich das Unternehmen darum annehmen, die Risiken zu behandeln. Wo genau die Schwelle liegt, welche Risiken als akzeptiert gelten und ab wann Risikobehandlung durchgeführt werden muss, kennzeichnet das Risikoakzeptanzniveau.
Optisch in der Risikomatrix, zieht das Riskoakzeptanzniveau eine diagonale Grenze durch den Quadranten (siehe Grafik im Artikel).
Welche Schritte müssen bei einer Risikoanalyse durchgeführt werden?
Der Ablauf einer Risikoanalyse sollte immer strukturiert erfolgen. Dabei sind die folgenden vier Punkte abzuarbeiten:
- Risikoidentifikation (Welche Ereignisse können eintreten?)
- Risikoanalyse (Welchen Schaden kann das Ereignis auslösen, welche Eintrittswahrscheinlichkeit liegt zugrunde?)
- Risikobewertung (Wird das Risiko akzeptiert oder muss es behandelt werden?)
- Risikobehandlung (wenn das Risiko nicht akzeptierbar ist, muss entweder das Risiko minimiert, eliminiert oder übertragen werden. In besonderen Fällen kann es auch akzeptiert und regelmäßig überwacht werden.)
Was sind Risiken für die Rechte und Freiheiten natürlicher Personen?
Der Datenschutz sieht in der Risikoanalyse nur diejenigen Risiken, die Einfluss auf natürliche Personen haben. Ein Risiko ist auch im Datenschutz definiert als Schaden x Eintrittswahrscheinlichkeit. Das heißt, bei Datenschutz-Risiken bezieht sich der Schaden auf die Person. Der Schaden könnte demnach also zum Beispiel sein:
- Finanzieller Schaden
- wirtschaftliche Nachteile
- gesellschaftliche Nachteile
- Identitätsdiebstahl
- Lebensgefahr
- Existenzgefährdung
- …
Ist eine Risikoanalyse im Datenschutz dasselbe wie eine Datenschutz-Folgenabschätzung?
Eine DSFA beruht auf der Risikoanalyse. Sie geht aber noch etwas weiter bzw. tiefer. Bevor man in eine Datenschutz-Folgenabschätzung einsteigt, muss schon eine grobe Risikoanalyse durchgeführt worden sein. Eine DSFA muss nämlich nur durchgeführt werden, wenn ein Risiko vorliegt. Diese Frage kann man nur beantworten, wenn schon eine grobe Einschätzung des Risikos vorher getroffen wurde.
Sehr geehrte Frau Regina Stoiber,
ich danke Ihnen für diese äußerst übersichtliche und hilfreiche Homepage.
Im Internet gibt es viele generelle Informationen zu diesem Thema, sie sind nicht so verständlich und erklärend wie auf Ihrer Website. Die Erklärungen sind sehr gut. Vielen Dank dafür.
Ein toller Artikel, dachte ich zuerst, doch nach dem Lesen wusste ich doch nicht, was ich genau zu tun habe. Nehme ich das Verzeichnis von Verarbeitungstätigkeiten her und arbeite jedes einzelne Verfahren (zum Beispiel Stammdaten der Mitarbeiter) oder müssen alle in diesem Verzeichnis erfassten und erhobenen personenbezogenen Daten einzelnen einer Betrachtung unterzogen werden?
Ein konkretes Beispiel würde ich im Artikel sehr begrüßen. Recht herzlichen Dank sogar für die Ergänzung!
Ihr Kommentar bezieht sich auf den Beitrag zur Risikoanalyse allgemein. Haben Sie auch unseren Beitrag zum Verarbeitungsverzeichnis gesehen? Damit sollte Ihre Frage beantwortet werden. Falls nicht, kommen Sie gerne nochmal auf uns zu.
Viele Grüße
Regina
der mit Abstand beste Artikel zur Risikoanalyse, den ich kenne.
Vielen Dank für diesen detaillierten Artikel!
Sehr geehrte Frau Stoiber,
Ihre verständliche, ausführliche und konkrete Darstellung der „Risikoanalyse“ hat mir sehr geholfen. Herzlichen Dank dafür!
Mit freundlichem Gruß
Herbert Gilges
Vielen Dank für das positive Feedback. Das freut uns sehr.
Herzliche Grüße
Regina Stoiber