Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Audit ChatGPT Checklisten EuGH Homeoffice KI KRITIS Microsoft 365 NIS-2 Rechenschaftspflicht Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 05/25

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Audit ChatGPT Checklisten EuGH Homeoffice KI KRITIS Microsoft 365 NIS-2 Rechenschaftspflicht Urteil Vorlagen
25. April 2025

Wenn Datenschutzschulungen zu gut sind

DP+
Wenn Datenschutzschulungen zu gut sind
0,00 (0)
drucken
Risikoeinstufung personenbezogener Daten
Als Datenschutzbeauftragter frage ich mich bei Datenschutzschulungen immer wieder, ob die Teilnehmenden wirklich gelernt haben, was ich ihnen beibringen wollte. Die Beratung bei einer ISO-27001-Zertifizierung gab mir in einem Fall einen äußerst überraschenden Einblick.

In meinen Schulungen weise ich stets darauf hin, dass personenbezogene Daten gut zu schützen sind, klar. Grundsatz: oft hohes Risiko für Persönlichkeits- und Freiheitsrechte.

Bei einem Unternehmen arbeitete ein Projektteam in der Vorbereitung auf die Zertifizierung nach DIN ISO/EC 27001:2022 gerade an der Asset-Liste. Es sollte also die Werte ermitteln, die die Informationen des Unternehmens besaßen. Ich erhielt die Anfrage, ob ich dabei unterstützen könne.

So viel hohes Risiko?!

Normalerweise gibt es hier eine gleichmäßige Risikoverteilung. Etwa zehn bis 20 Prozent der Assets sind mit einem sehr hohen Risiko versehen, der Rest liegt bei hoch, normal oder gering. Erstaunlich war, dass es hier umgekehrt war: 80 Prozent der Assets waren auf sehr hohes Risiko eingestellt. Mit hohem Aufwand für deren Schutz. Man bat mich, zu unterstützen, denn da seien personenbezogene Daten im Spiel.

Des Rätsels Lösung: Da ich in meinen Schulungen immer betont hatte, dass personenbezogene Daten für den Datenschutz ein hohes Risiko bedeuten können, war die Einteilung hier genauso ausgefallen: Immer dann, wenn klar war, dass bei einem Asset personenbezogene Daten im Spiel sind, hatte das Team dies als mit sehr hohem Risiko behaftet eingestuft.

Entwarnung!

Allerdings geht es hier ja nicht um eine Zertifizierung des Datenschutzes, sondern um eine der Informationssicherheit. Da sind personenbezogene Daten zwar auch wichtig, und die Anforderungen sind mit Vertraulichkeit, Verfügbarkeit sowie Integrität dieselben. Allerdings steht der Schutz personenbezogener Daten nicht im Vordergrund. …

Eberhard Häcker
+

Weiterlesen mit DP+

Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?

Weiterlesen mit DP+
Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Kein Stress mit Juristen- und Admin-Deutsch
Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.
Sparen Sie sich langes Suchen
Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.
Jetzt testen

Sie sind bereits Abonnentin oder Abonnent? Dann melden Sie sich bitte hier an.

zu den Kommentaren
Wie nützlich war dieser Beitrag für Sie?
Jetzt teilen:
drucken
Verfasst von
Eberhard Häcker
Eberhard Häcker
Eberhard Häcker ist seit vielen Jahren als externer Datenschutz­beauftragter tätig. Seit 2005 ist Eberhard Häcker selbstständig mit Schwerpunkt Datenschutzberatung.
Verwandte Beiträge
24. April 2025
DP+
Ein Self-Service-Portal lässt sich nur sicher betreiben, wenn die Identität und Berechtigung der Anfragenden nachgewiesen ist. Deshalb sollten Self-Service und Mehr-Faktor-Authentifizierung Hand in Hand gehen.
Bild: iStock.com/AndreyPopov

Warum Self-Service selbst ein Risiko sein kann

Ratgeber
Checklisten IT-Sicherheit
23. April 2025
DP+
Bei der Bewertung von Datenschutzrisiken sind zahlreiche einander ähnelnde Fachbegriffe gebräuchlich. Einige davon sind grundlegend wichtig, andere hingegen verzichtbar.
Bild: iStock.com/maxkabakov

Von Schutzbedarf bis Risiko: Alles das Gleiche?

Hintergrund
22. April 2025
DP+
Die Zuständigkeitsbereiche Informationssicherheit und Datenschutz weisen viele Überschneidungen auf. Deshalb sollten Datenschutzbeauftragte mit der Sicherheitsnorm ISO 27001 zumindest in Grundzügen vertraut sein.
Bild: iStock.com/Funtap

ISO 27001: Das bringt die Zertifizierung für den Datenschutz

Praxisbericht
17. April 2025
DP+
Betriebsvereinbarung als Basis für Datenverarbeitungen: Auch Betriebs- und Dienstvereinbarungen müssen sich zu Fragen des Datenschutzes in dem Rechtsrahmen bewegen, den die DSGVO vorgibt, so der EuGH
Bild: iStock.com/metamorworks

Die Betriebsvereinbarung als Basis für Daten­verarbei­tungen

Urteil
Betriebsrat EuGH
16. April 2025
DP+

Effizienz trotz Fachkräftemangel – mit der Checkliste für sicheren IT-Self-Service

Downloads
Checklisten IT-Sicherheit
weitere Beiträge laden
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.