Achtung! Sobald Sie eine Schwellwertanalyse durchführen, raten wir Ihnen dringend, eine Fachperson aus dem Bereich Datenschutz oder juristische Unterstützung ins Boot zu holen. Die Datenverarbeitung ist dann so sensibel, dass Sie Unterstützung brauchen, um ein angemessenes Schutzniveau sicherzustellen.

Eine Schwellwertanalyse ist eine Form der Risikoabschätzung, die man in der Regel vor einer Datenschutzfolgenabschätzung (DSFA) durchführt. Zur Erinnerung: Wenn es sich bei den zu verarbeitenden Daten um sehr sensible Daten handel (z.B. Daten nach Artikel 9), muss eine umfangreichere Analyse in Form einer DSFA durchgeführt werden, um die Daten angemessen zu schützen.

Es gibt keine genauen Vorgaben für die Anzahl der Risikoklassen. In der Praxis hat es sich  aber als hilfreich herausgestellt, vier Schadensklassen und vier Klassen für die Eintrittswahrscheinlichkeit zu verwenden (bspw. geringfügig, überschaubar, substanziell und groß).

Anhand der folgenden Tabelle können Sie eine Analyse der  einzelnen Verarbeitungen durchführen.  

Vorlagen

• Vorlage Risikobewertung (PDF-Datei)

Anhand dieser Matrix können Maßnahmen zur Eindämmung der Risiken ergriffen werden. Dazu zählen alle technischen und organisatorischen Maßnahmen (TOMs), die entweder den Schaden oder die Eintrittswahrscheinlichkeit verringern. Die so genannte "Schwellwertanalyse" bringt folgende Ergebnisse: 

• Alle „grünen“ Verarbeitungen unterliegen keinem Risiko, so dass keine besonderen Schutzmaßnahmen erforderlich sind.
  
• Verarbeitungen, die in den gelben und orangenen Feldern eingeordnet sind, sollten intensiver betrachtet werden. Hier muss sichergestellt werden, ob die technischen und organisatorischen Maßnahmen ausreichen, um einen adäquaten Schutz der Daten zu gewährleisten. Dies beinhaltet z.B. eine genauere Überprüfung der beteiligten  Dienstleister und der Prozesse rund um die Zugriffsberechtigungen und Weiterverarbeitungen.
  
• Bei Verarbeitungen, die in den „roten“ Feldern eingeordnet sind, sollten Sie eine Rechtsberatung hinzuziehen. Hier sind die Risiken so hoch, dass eine intensive Überprüfung aller Aspekte ein absolutes Muss ist. Hier müssen in der Regel weitere Maßnahmen ergriffen werden, wie z.B. die intensive Prüfung der Verarbeitung durch die Durchführung einer Datenschutzfolgeabschätzung.

Beispiele für Schutzmaßnahmen

• Die Verschlüsselung von Daten kann verhindern, dass die Daten genutzt werden können, auch wenn sie in die Hände von Unbefugten gelangen.
  
• Eine strenge Regelung von Zugriffsrechten kann verhindern, dass Daten in die Hände von Unbefugten gelangen.
  
• Eine regelmäßige Sensibilisierung der eigenen Mitarbeitenden für Sicherheitsrisiken im Alltag und eine entsprechende Unterweisung helfen dabei, Risiken durch Cyber-Angriffe zu verringern.
  

Die Ergebnisse der Risikoanalyse und die ergriffenen Maßnahmen sollten in jedem Fall in der  Datenschutz-Dokumentation festgehalten werden.