Der Beitrag DORA- Sind Sie bereit ? erschien zuerst auf IRM Interim-Risiko-Management GmbH.

Eine Vielzahl an Verfahren zur Risikobeurteilung steht zur Verfügung. Die DSFA (auch en: privacy impact assessment, PIA oder data protection impact analysis, DPIA) ist eine Möglichkeit dazu. 

Sie analysiert, wie Vorfälle und Ereignisse den Datenschutz einer Person beeinträchtigen könnten, und ermittelt und quantifiziert die Fähigkeiten, die benötigt würden, sie zu managen.

Eine DSFA ist ein Prozess zur Bewertung eines Vorschlags zur Identifizierung der möglichen Auswirkungen auf die Privatsphäre und die persönlichen Daten einer einzelnen Person. 

Der Prozess macht insbesondere Folgendes:

• Er analysiert die möglichen Folgen einer Datenschutzverletzung in Bezug auf eine lebende Person (Basis Risikofrüherkennung). 
• Er berücksichtigt, ob eine Verarbeitung personenbezogener Daten im Falle eines Datenschutzvorfalls ein hohes Risiko aufweist.
• Er führt eine ausführliche Risikoanalyse für die Verarbeitung personenbezogener Daten durch.

Sie haben Fragen dazu? Kontaktieren Sie uns! 

Der Beitrag Cybersicherheit: Risikobeurteilung nach der DIN EN IEC 31010 erschien zuerst auf IRM Interim-Risiko-Management GmbH.

Die aktualisierte Norm DIN EN IEC 31010 wurde um die Integration von Cyber-Risikobewertungen ergänzt. Das heißt, digitale Bedrohungen können jetzt gezielt berücksichtigt werden. Die Cybersecurity und Künstliche Intelligenz mit ihren Risiken sind zentrale Faktoren. Und das nicht ohne Grund: Immer mehr Gebäudetechnik, Industrieanlagen und IT-Systeme sind vernetzt. Die Norm beinhaltet spezielle Ansätze wie die Business Impact Analyse (BIA), die auch in Kombination mit anderen Verfahren zum gewünschten Erlangen von Verständnis für Folgen und Wahrscheinlichkeiten führen. Mithilfe dieser Ansätze lassen sich beispielsweise IT- und Cyberrisiken in Smart Buildings und industriellen Steuerungssystemen (ICS) bewerten. Diese sind nicht nur für kritische Infrastrukturen von Interesse.

Sie haben Fragen zum Thema? Sprechen Sie uns an.

Der Beitrag KI und Cyber-Risikobewertungen erschien zuerst auf IRM Interim-Risiko-Management GmbH.

Die Erweiterung der Risikobeurteilungsmethoden gemäß der DIN EN IEC 31010 von bislang 30 auf nun 41 Verfahren sorgt für mehr Flexibilität bei der Auswahl individuell passender Anwendungen. Gleichzeitig kann die Auswahl der für das Unternehmen richtigen Methoden zur Risikobeurteilung jedoch herausfordernd sein. Wie sollte ein Unternehmen bei der Auswahl vorgehen?

Bei der Auswahl des bzw. der richtigen Verfahren sollte Folgendes berücksichtigt werden:

• Der Zweck der Beurteilung
• Die Bedürfnisse der Beteiligten
• Alles gesetzlichen, behördlichen und vertraglichen Anforderungen
• Das Tätigkeitsumfeld und-szenario
• Die Bedeutung der Entscheidung (z.B. die Folgen, falls eine falsche Entscheidung getroffen wird) 
• Alle festgelegten Entscheidungskriterien und ihre Form
• Die bis zur Entscheidung stehende Zeit
• Die vorhandenen und erhältlichen Informationen
• Die Komplexität der Situation
• Das vorhandene oder erhältliche Fachwissen

Wenn der Grad der Unsicherheit, Komplexität und Vieldeutigkeit des Kontextes ansteigt, steigt auch der Bedarf, eine größere Gruppe Beteiligter hinzuzuziehen, was Auswirkungen auf die Kombination der ausgewählten Verfahren haben wird.

Sie haben Fragen dazu? Sprechen Sie uns an!

Der Beitrag Risikobeurteilungen:Für welche Methode sollte sich mein Unternehmen entscheiden? erschien zuerst auf IRM Interim-Risiko-Management GmbH.

Verfahren zur Risikobeurteilung stellen allgemein Mittel zur Verbesserung des Verständnisses von Unsicherheit und deren Auswirkung auf Entscheidungen und Maßnahmen bereit.

Doch- wozu sind Risikobeurteilungen in der Praxis eigentlich gut?

Dazu gibt es bereits Erkenntnisse aus der aktuellen Risikonorm DIN EN IEC 31010.

Insbesondere gilt:

• strukturierte Informationen zur Unterstützung von Entscheidungen und Maßnahmen bereitzustellen, wenn es Unsicherheit gibt
• die Erläuterung von Auswirkungen, die Annahmen auf das erreichen von Zielen haben
• mehrfache Alternativen, Systeme, Technologien oder Ansätze zu vergleichen, wenn es bei jeder Alternative facettenreiche Unsicherheit gibt
• Hilfe bei der Festlegung realisierter und operativer Ziele
• Hilfe bei der Bestimmung der Risikokriterien einer Organisation, z.B. Risikogrenze, Risikobereitschaft oder Risikotragfähigkeit
• Setzen von Prioritäten
• Risiken erkennen und verstehen, einschließlich Risiken mit extremen Folgen
• Chancen erkennen und erfolgreich nutzen
• Benennung der beitragenden Faktoren von Risiken
• effektive und effiziente Maßnahmen zur Risikosteuerung und-bewältigung
• Bestimmung von modifizierten Auswirkungen vorgeschlagener Maßnahmen zur Risikosteuerung, Änderung in Art und Größe des Risikos
• Kommunikationen über Risiko und Auswirkung
• Lernen aus Versagen und Erfolgen, Verbesserungen
• Erfüllung der behördlichen und sonstigen Anforderungen

Sie benötigen dazu Unterstützung ? Sprechen Sie uns an.

Der Beitrag IT- Risiken Risikobeurteilungen geben Sicherheit? erschien zuerst auf IRM Interim-Risiko-Management GmbH.

Die mögliche Zielgruppe dieser Informationen besteht aus:

• Allen an Risikobeurteilung und-management beteiligten Personen
• Personen, die an der Entwicklung von (internen) Anleitungen/Richtlinien beteiligt sind, in den festgelegt wird, wie Risiko in bestimmten Kontexten zu beurteilen ist
• Mitarbeiter, die Entscheidungen fällen müssen, bei denen es Unsicherheit gibt, einschließlich:
  • derjenigen, die Risikobeurteilungen in Auftrag geben oder deren Ergebnisse bewerten
  • derjenigen, die die Ergebnisse der Beurteilungen verstehen müssen sowie
  • derjenigen, die die Beurteilungsverfahren auszuwählen habe, damit bestimmt Zwecke erreicht werden.

Organisationen, die Risikobeurteilungen für Konformitätszwecke durchführen müssen, würden von der Nutzung geeigneter formaler und standardisierter Risikobeurteilungsverfahren profitieren.

Sie brauchen Unterstützung zum aktuellen Thema? Sprechen Sie uns an.

Der Beitrag Überarbeitung zur Risikobeurteilung der DIN EN IEC 31010:2024-12 erschien zuerst auf IRM Interim-Risiko-Management GmbH.

Im Rahmen der ehrenamtlichen Ausschuss Arbeit in der Handelskammer Hamburg ist ein praxisorientiertes Konzept mit Gesamtcheckliste für Hamburger Unternehmen entstanden.

Zusätzlich als Ergänzung sind die themenbezogenen Checklisten des Hamburger Beauftragten für Datenschutz und Informationsfreiheit zu empfehlen:

https://datenschutz-hamburg.de/pressemitteilungen/2021/06/2021-06-01-fragebogen-datentransfer

Der Beitrag Wegfall des Privacy Shield erschien zuerst auf IRM Interim-Risiko-Management GmbH.

Mit Urteil vom 16.07.2020 (Az: C‑311/18) hat sich der Europäische Gerichtshof mit der Zulässigkeit der EU-Standardvertragsklauseln in der Variante “Controller-to-Processor” (2010/87/EU) sowie des Angemessenheitsbeschlusses der EU-Kommission zum EU-US Privacy Shields (Durchführungsbeschluss (EU) 2016/1250) befasst.

Was hat der EuGH entschieden?

Der EuGH hatte sich anhand der Vorlagefragen des irischen High Courts insbesondere mit der Frage zu befassen, inwieweit die Garantien für den Export personenbezogener Daten in ein Drittland in Gestalt des EU-US Privacy Shields und der EU-Standardvertragsklauseln als ausreichende Schutzmechanismen anzusehen seien, um ein im wesentlichen gleichwertiges Datenschutzniveau hinsichtlich des gesetzlichen Schutzes der Rechte und Freiheiten von Betroffenen in der Europäischen Union herzustellen.

EU-US Privacy Shield
Das Gericht hat das EU-US Privacy Shield als Nachfolgeregelung für das Safe Harbor Abkommen für ungültig erklärt. Der Grund hierfür sind mögliche Zugriffe auf personenbezogene Daten von EU-Bürgern durch US-amerikanische Sicherheitsbehörden auf Grund vorrangiger Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses oder zur Durchführung von Gesetzen, was nicht in Einklang mit den Grundrechten der EU-Bürger zu bringen seien. Zusätzlich seien die Überwachungsprogramme durch US-Sicherheitsbehörden als unverhältnismäßig einzustufen. EU-Bürgern stünden im Übrigen keine ausreichenden Rechtsschutzmöglichkeiten vor den US-Gerichten zur Verfügung, um Rechtsverletzungen überprüfen zu lassen. Auch die im Privacy Shield eingerichtete Ombudsperson könne keine ausreichenden Überwachungskompetenzen gegenüber den US-Geheimdiensten ausüben, um möglichen Rechtsverletzungen entgegen zu wirken.

EU-Standardvertragsklauseln
Die EU-Standardvertragsklauseln hingegen bleiben nach der Entscheidung des EuGH gültig. Zwar bestünde auch hier das Risiko für Betroffene, dass öffentliche Stellen Rechte und Freiheiten durch einen Zugriff auf personenbezogene Daten verletzen, allerdings wären die in den Standardvertragsklausen vorgesehenen Schutzmechanismen grundsätzlich erweiterbar. Dies sei der fundamentale Unterschied zu einer Angemessenheitsentscheidung wie dem EU-US Privacy Shield, in dem rechtsverbindlich untersucht würde, ob die bestehenden Gesetze u.a. hinsichtlich der Zugriffe von Behörden aus Gründen eines nationalen Sicherheitsinteresses mit Blick auf die EU-Gesetzgebung als angemessen zu erachten seien. Bei den Standardvertragsklauseln erfolge eine solche rechtsverbindliche Prüfung nicht, da die Klauseln nicht sämtliche Garantien für ein angemessenes Schutzniveau in einem Drittland beinhalteten.

Die Rolle des Verantwortlichen und des Auftragsverarbeiters

Der EuGH erinnert daran, dass es die Pflicht des Verantwortlichen (und ggf. des Auftragsverarbeiters) sei, beim Fehlen einer Angemessenheitsentscheidung der Kommission ausreichende Schutzmechanismen zugunsten von Betroffenen für den Datenexport zu implementieren.

Daher müssten – je nach Situation im Drittland – ggf. zusätzliche Garantien mittels der Möglichkeit der Erweiterung der Standardvertragsklauseln über geschäftsbezogene Klauseln geschaffen werden. Verantwortliche seien daher in der Pflicht, die jeweilige Situation im Drittland über eine Einzelfallprüfung zu evaluieren.

Die Rolle der Aufsichtsbehörden

Ergeben sich Hinweise für den Datenexporteur, so auf Grund einer Information des Datenimporteurs, dass die vereinbarten Standardvertragsklauseln auf Grund der Gesetze im Drittland nicht eingehalten werden können, hat er hierüber seine zuständige Aufsichtsbehörde zu informieren. Diesem wiederum stünden über die Standardvertragsklauseln Auditrechte beim Datenimporteur oder dessen Unterauftragnehmer zu. Die Behörden seien hierbei in der Pflicht, einen Datentransfer auszusetzen, wenn die Zusicherungen der Standardvertragsklauseln im Drittland nicht eingehalten werden könnten.

Fazit

Verantwortliche oder Auftragsverarbeiter können ab dem 16.07.2020 keine personenbezogenen Daten mehr auf Basis des EU-US Privacy Shields an Empfänger in den Vereinigten Staaten übermitteln. Bei den EU-Standardvertragsklauseln werden Verantwortliche durch den EuGH in die Pflicht genommen, für jeden Datenexport in ein Drittland zu untersuchen, ob der Empfänger die Zusicherungen der Vertragsklauseln einhalten kann oder ob lokale Gesetze ihm dies verbieten. Ergeben sich Hinweise, dass die EU-Standardvertragsklauseln nicht mehr eingehalten werden können, ist – neben dem Aussetzen des Exports – die Aufsichtsbehörde zu informieren, die wiederum ihrerseits eine diesbezügliche Prüfung anstrebt und ein Aussetzen ihrerseits verlangen kann.

Der EuGH wählt in seinem Urteil eine formale Herangehensweise an die EU-Standardvertragsklauseln, das die ohnehin bestehenden Pflichten für Exporteure und Importeure nochmals beleuchtet. Unklar bleibt für Verantwortliche, welche Hinweise im Drittland den Export personenbezogener Daten als unzulässig erscheinen lassen bzw. welche technisch-organisatorischen Maßnahmen ergänzend zu treffen sind.

Quelle: GDD e.V.

Der Beitrag Urteil zum EU-US Privacy Shield erschien zuerst auf IRM Interim-Risiko-Management GmbH.

1. Umgang mit Gesundheitsdaten zu Zwecken der Forschung: 
   
   Die EU-Datenschutzgrundverordnung gilt ohnehin als forschungsfreundlich und ermöglichst die rechtmäßige Verarbeitung von sensiblen Gesundheitsdaten. Die COVID-19-Pandemie setze die Datenschutzrechte der Bürger nicht außer Kraft. Die Verarbeitung von Bürger Daten ist für einen bestimmten Zweck und Zeit zulässig.  
2. Verwendung von Standortdaten über Tracking Tools im Zusammenhang mit Covid 19
   
   Die EDSA betont, die Nutzung einer Tracking App müsse zwingend freiwillig sein. Einzelpersonen müssen jederzeit die Kontrolle über ihre Daten haben. Entwickler sollen darauf achten, dass möglichst wenig Daten gesammelt und zentral gespeichert werden.

Der Beitrag EDSA Leitlinien erschien zuerst auf IRM Interim-Risiko-Management GmbH.

Checkliste Datenschutz: Homeoffice (PDF)

Der Beitrag Datenschutz im Homeoffice erschien zuerst auf IRM Interim-Risiko-Management GmbH.