Das Datenschutzrecht fordert einen risikobasierten Ansatz bei der Festlegung der technischen und organisatorischen Massnahmen. Das ausschlaggebende Risiko hierbei ist das Risiko für die Rechte und Freiheiten der betroffenen Personen (DSGVO) bzw. des Risikos einer Verletzung der Persönlichkeitsrechte (DSG).

Als erster Schritt zur datenschutzkonformen Risikobeurteilung ist eine Liste der personenbezogenen Daten zu erstellen die in einem Unternehmen verarbeitet werden. In der EU ist eine solche Aufstellung bereits Pflicht durch die Führung eines Verzeichnisses der Verarbeitungstätigkeiten. Basierend auf diesen Informationen kann das Risiko für die wahrscheinlichsten Vorfälle beurteilt werden wie z.B. Datenleck, Vernichtung, Falschinformation etc.

Anhand des festgestellten Risikowerts kann darüber entschieden werden, ob das Risiko angemessen ist oder ob weitere technische und organisatorische Massnahmen notwendig sind, um das Risiko auf ein moderates Niveau zu reduzieren. Zusammengefasst sind damit folgende Schritte zu befolgen:

• Personenbezogene Daten im Unternehmen identifizieren
• Risiko für die betroffenen Personen beurteilen
• Beurteilen ob bestehende technische und organisatorische Massnahmen ausreichend sind
• Weitere Massnahmen zur Reduzierung des Risikos ergreifen
• Dokumentation des gesamten Vorgangs und Zustimmung der Geschäftsleitung einholen