Sie wissen nicht, wie Sie das Risiko für Ihre Verarbeitungen personenbezogener Daten bestimmen sollen? Die Einordnung von Schwere eines Schadens und Eintrittswahrscheinlichkeit der Gefahr fällt Ihnen schwer? Die Frage nach einer risikoangemessenen Verarbeitung und der Notwendigkeit einer Datenschutzfolgenabschätzung erschließt sich Ihnen nicht?

Dann sollten Sie die von der EU-Datenschutz-Grundverordnung (DSGVO) geforderte Risikoanalyse von einem unserer erfahrenen Juristen durchführen lassen. Auf Basis Ihres Verzeichnisses von Verarbeitungstätigkeiten bestimmen wir kursorisch das Risiko für die Verarbeitungen und erstellen Ihnen eine DSGVO-konforme Risikoanalyse.

Dabei identifizieren wir zunächst das Risiko, d.h. es gilt zu erkennen, welcher Schaden durch welches Ereignis eintreten kann. Anschließend bewerten wir die Eintrittswahrscheinlichkeit und die Schwere möglicher Schäden. Anhand einer Risikomatrix nehmen wir eine Zuordnung in eine Risikoabstufung vor.

Im Rahmen der Risikoanalyse erhalten Sie von uns die wichtige Erkenntnis, ob ein hohes Risiko für die betroffenen Personen besteht und folglich eine Datenschutzfolgenabschätzung durchzuführen ist.

In den Warenkorb Zzgl. 16% USt.

Wie funktioniert die Risikoanalyse?

01.

Auswahl des Pakets

Wählen Sie anhand der Menge Ihrer zu prüfenden Verarbeitungen im Verzeichnis, für die eine Risikoanalyse durchgeführt werden soll, ein für Sie passendes Paket aus.
02.

Fragebogen und Verzeichnis

Unmittelbar nach dem Kaufabschluss können Sie einen Fragebogen herunterladen, den Sie bitte für jede zu prüfende Verarbeitung beantworten. Anschließend laden Sie den ausgefüllten Fragebogen zusammen mit Ihrem Verzeichnis von Verarbeitungstätigkeiten hoch.
03.

Durchführung der Risikoanalyse

Einer unserer Juristen führt anhand des vorliegenden Verzeichnisses von Verarbeitungstätigkeiten und des ausgefüllten Fragebogens die Bewertung des Risikos durch. Sie erhalten nach erfolgter Prüfung eine Einschätzung des Risikos sowie die Bewertung, ob eine Datenschutzfolgenabschätzung notwendig ist.
04.

Download der Risikoanalyse

Nach Abschluss der Bewertung stellt Ihnen unser Experte die summarische Prüfung des Risikos zum Download in Ihrem Benutzerkonto zur Verfügung. Sie erhalten dazu eine Benachrichtigung per E-Mail.

Häufig gestellte Fragen zur Durchführung einer Risikoanalyse

Was ist eine Risikoanalyse?

Jedes Unternehmen hat die gesetzliche Pflicht, personenbezogene Daten risikoangemessen zu schützen. Die Bestimmung des Risikos hat dabei für jede einzelne Verarbeitung zu erfolgen. Im Wesentlichen geht es darum zu ermitteln, wie schwer der Schaden für eine betroffene Person sein könnte und wie hoch die Eintrittswahrscheinlichkeit ist.

Wann ist eine Risikoanalyse durchzuführen?

Die Bewertung des Risikos ist mindestens in den folgenden Fällen notwendig:

  • Das Risiko der Verarbeitung wurde noch nicht bestimmt oder noch nicht dokumentiert.
  • Das Risiko wurde bereits bestimmt und dokumentiert, es haben sich aber Rahmenbedingungen verändert, wie etwa:
    • der Einsatz neuer oder veränderter Technologien;
    • neuer Einsatz von Dienstleistern oder Veränderungen beim Einsatz von Dienstleistern;
    • wesentliche Veränderungen im Umfang der Verarbeitung;
    • Veränderung der rechtlichen Rahmenbedingungen; hierzu zählen auch veränderte Auffassungen der Aufsichtsbehörden, relevante Gerichtsentscheidungen oder vertragliche Verpflichtungen.

Wie erfolgt die Bewertung des Risikos?

Zunächst prüfen wir, ob die Verarbeitung einem Schwellwert zugeordnet werden kann. Hier orientieren wir uns an den Empfehlungen der Artikel-29-Gruppe (WP248).

Im nächsten Schritt ermitteln wir die Gefahren für die Rechte und Freiheiten Betroffener und gewichten diese. Die potentiellen Auswirkungen der Gefahren beurteilen wir anschließend nach Schwere und Eintrittswahrscheinlichkeit.

Die Festlegung des Risikos erfolgt durch die Zuordnung in eine Risikoklasse. Die Bewertung beinhaltet ebenfalls die Einschätzung, ob eine Datenschutzfolgeabschätzung aufgrund der vorliegenden Informationen durchzuführen ist.

Zudem überprüfen wir, ob die Verarbeitung auf einer Positiv- bzw. Negativliste einer Aufsichtsbehörde zur Durchführung einer Datenschutzfolgeabschätzung steht.

Welche Risikoklassen gibt es?

Da es keine völlig risikofreien Verarbeitungen gibt, teilen wir das Risiko bei der Analyse wie folgt ein:

  • geringes Risiko
  • Risiko
  • hohes Risiko
Leistungsbeschreibung Durchführung einer Risikoanalyse

Bitte beachten Sie folgende Hinweise zum Leistungsumfang unserer Risikoanalyse:

  1. Die Bewertung des Risikos erfolgt ausschließlich anhand des Verzeichnisses von Verarbeitungstätigkeiten, das wir von Ihnen erhalten, und anhand des ausgefüllten Fragenbogens, den wir Ihnen zum Download bereitstellen. Die Einschätzung hängt von Umständen, Art und Umfang der Verarbeitung ab. Wir können die Bewertung nur anhand der von Ihnen dargelegten Informationen durchführen. Sofern uns wichtige Informationen zur Bewertung fehlen, werden wir diese bei Ihnen nachfordern. Eine Überprüfung des Verzeichnisses der Verarbeitungstätigkeiten findet hierbei nicht statt; diese kann gesondert beauftragt werden. Fehlende oder fehlerhafte Angaben in den Verarbeitungstätigkeiten oder dem Fragebogen können zu einer verfälschten Bewertung des Risikos führen. Sollte durch ein mangelhaftes Verzeichnis von Verarbeitungstätigkeiten eine entsprechende Risikoanalyse nicht möglich sein und soll eine kostenpflichtige Überprüfung nicht beauftragt werden, so steht dem Auftragnehmer ein Rücktrittsrecht zu. Die bisher erbrachten Leistungen werden dabei anteilig berechnet.
  2. Die Überprüfung umfasst nicht die Richtigkeit funktionaler Zuständigkeiten und Unternehmensangaben, die sich unserer Kenntnis entziehen. Prüfungsmaßstab sind alleine die durch den Auftraggeber gemachten Angaben.
  3. Die Risikoanalyse kann in Deutsch oder Englisch erfolgen. Sofern keine Sprachauswahl des Auftraggebers erfolgt, wird die Analyse in Deutsch durchgeführt.
  4. Die Leistung gilt als erbracht, wenn das um die Risikoanalyse erweiterte Verzeichnis von Verarbeitungstätigkeiten zum Download bereitgestellt wird und darin die summarische Prüfung des Risikos enthalten ist. Eine Anpassung der bereits übermittelten Informationen erfolgt dabei nicht.
  5. Die Leistungserbringung erfolgt innerhalb von 15 Werktagen. Fristbeginn ist der Werktag nach dem Upload des Verzeichnisses von Verarbeitungstätigkeiten sowie ausgefüllten Fragenbogens.  Sollte die Bearbeitung länger dauern, z.B. aufgrund der hohen Komplexität des zu prüfenden Sachverhalts, geben wir Ihnen umgehend Bescheid.