Textseite
Schutzklassen und Risikoanalyse
Abschlussbedingungen
Für die Verarbeitung von personenbezogenen Daten gibt es verschiedene Risikoklassen. Ein hohes Risiko hat die Verarbeitung von besonders sensiblen Daten (z.B. Gesundheitsdaten oder Daten von Kindern und Jugendlichen) oder die Verarbeitung von sehr großen Datenmengen (z.B. eine App zur landesweiten Abgabe von Steuererklärungen). Geschäftliche E-Mail-Adressen, die eventuell ohnehin auf der Webseite des Unternehmens stehen, sind weniger kritisch als persönliche Daten, wie Anschrift, Telefonnummer oder Geburtsdatum von Teilnehmenden einer Schulung, die ansonsten nicht öffentlich sind. Besonders kritisch sind Daten, aus denen man Informationen über die Persönlichkeit oder die Lebensumstände des Betroffenen ableiten kann.
In der Lerneinheit „Datenschutz und IT-Sicherheit“ wird später beschrieben, wie Schutzklassen definiert und wie eine Risikoanalyse für bestimmte Verarbeitungen durchgeführt werden.
Sobald Sie die Risikoklasse der Daten ermittelt haben, die Sie verarbeiten, können Sie daraus Maßnahmen zur Verarbeitung der Daten ableiten, die den Schutz der Daten gewährleisten:
- Wo werden die Daten abgelegt?
- Wer kann auf die Daten zugreifen?
- Wie lange werden die Daten gespeichert?
- Welche Anbieter und Dienstleister kommen für die
Verarbeitung dieser Daten in Frage? Entspricht das Schutzniveau der Risikoklasse?
Risikoklassen bei Projektdaten
Projektbezogene Daten werden meist in einem Onlinespeicher abgelegt, auf den alle Projektbeteiligten Zugriff erhalten. Auch hier sollte man sich überlegen, ob wirklich alle Beteiligten auf alle Daten Zugriff haben sollten:
- Die Kontaktliste des Projektteams mag weniger kritisch sein, insbesondere, wenn sie mit Einverständnis aller Projektbeteiligten online abgelegt wird.
- Sollten später z.B. Listen mit den Daten der Teilnehmenden mit Adressdaten und weiteren persönlichen Daten angelegt werden, sollte man den Zugriff möglicherweise auf die Personen einschränken, die diese Daten brauchen, um die Schulungen durchzuführen oder sie abzurechnen.
Aufgabe
Versetzen Sie sich in die Rolle der Betroffenen, deren Daten Sie in Ihrem Projekt verarbeiten. Sind dabei besonders schützenswerte Daten? Gibt es Daten die schützenswerter sind als andere? Glauben Sie, dass die Daten bei Ihnen dem Risiko angemessen sicher aufbewahrt sind?
Keine Angst, Sie sollen an dieser Stelle keine abschließende Prüfung vornehmen. Vielmehr geht es um eine erste Einschätzung, ob Sie zu diesem Punkt noch weitere Maßnahmen ergreifen müssen. Sollten Sie Bedenken haben, zögern Sie nicht und tauschen Sie sich mit anderen Personen in Ihrer Organisation aus (z.B. Datenschutzbeauftragten oder die interne IT-Abteilung).
GDPRism ist ein Projekt der Organisationen Medienkompetenz Team e.V. und Educommart und wurde kofinanziert durch das ERASMUS+ Programm der Europäischen Union.
Von der Europäischen Union finanziert. Die geäußerten Ansichten und Meinungen entsprechen jedoch ausschließlich denen des Autors bzw. der Autoren und spiegeln nicht zwingend die der Europäischen Union oder der Europäischen Exekutivagentur für Bildung und Kultur (EACEA) wider. Weder die Europäische Union noch die EACEA können dafür verantwortlich gemacht werden
