Zum Hauptinhalt springen
Alle KollektionenDatenschutz-Folgenabschätzung
Wie kann man zwischen allgemeinen und verarbeitungsspezifischen Risiken unterscheiden?
Wie kann man zwischen allgemeinen und verarbeitungsspezifischen Risiken unterscheiden?

Risiko, spezifisch, allgemein

Vor über einer Woche aktualisiert

Allgemeines zu Risiken

Um zwischen allgemeinen und verarbeitungsspezifischen Risiken zu unterscheiden, beachten Sie die folgenden Punkte. Im Grundsatz verhalten sich diese ähnlich wie allgemeine/prozessspezifische Maßnahmen:

Allgemeine Risiken:

  • Betreffen die gesamte Organisation oder haben einen Vorlagen-Charakter.

  • Umfassen oft potenzielle Bedrohungen wie Datendiebstahl, Systemausfälle oder allgemeine IT-Sicherheitslücken.

Das Anlegen und Management von Allgemeinen Risiken setzt das Zusatzmodul Risikomanagement voraus.

Verarbeitungsspezifische Risiken:

  • Sind direkt mit bestimmten Verarbeitungstätigkeiten verbunden.

  • Beziehen sich meist auf die spezifischen Daten, Prozesse und Technologien, die in diesen Tätigkeiten verwendet werden.

Auswahl von Risiken in caralegal

Risiken können an mehreren Stellen gewählt werden:

  • Verarbeitungstätigkeiten - Seite 5 "Maßnahmen und Risiken"

  • Verarbeitungstätigkeiten/DSFA - Seite 8 "Risiko"

  • Asset Management - Seite 3 "Risiko Management"

Verhalten - Allgemein vs. Spezifisch

Im Grundsatz verhalten sich diese ähnlich wie Maßnahmen, die ebenfalls spezifisch oder allgemein sein können.

Sie können zwischen bereits angelegten Risiken wählen:

Um die Übersicht zur erleichtern, erhalten Allgemeine des Zusatz "Allgemeine:"

Wenn Sie ein existierendes Risiko verändern, wird es ebenfalls an allen bisher verlinkten Stellen verändern. Seien Sie vorsichtig, deshalb: ...

Mit Klick auf Verarbeitungsspezifisch bearbeiten kann aus einer allgemeinen Maßnahme eine spezifische Kopie erstellt werden. Üblicherweise beschränken unsere Kunden durch eine genaue Vergabe der Organisationseinheiten den Bearbeitungszugriff.

  • Ich empfehle, allgemeine Maßnahme auf die oberste, die sogenannte ROOT-Ebene zu legen und alle Einheiten nun als "Weitere Organisationseinheiten".

Diese erhält eine eigene Risk-ID ist ist völlig unabhängig von der allgemeinen Maßnahme. Diese kann nun nach belieben verändert werden, ohne dass die allgemeine Maßnahme (und damit ggf. alle verknüpften Dokumente) verändert werden.

Hinweis

Damit ein Risiko in einer Verarbeitungstätigkeit auswählbar ist, müssen

  • Verantwortliche Organisationseinheiten ODER

  • Weitere Organisationseinheiten übereinstimmen.

Ein Risiko, dass exklusiv für Abteilung A gilt und so angelegt wurde, wird also nicht automatisch für Abteilung B sichtbar sein.

Verwandte Artikel
Wie richte ich eine verarbeitungsspezifische TOM korrekt ein?
Spezifische Maßnahmen - Wie verwende ich eine bestehende Maßnahme oder erstelle eine prozessspezifische basierend auf einer allgemeinen Maßnahme?
Ich möchte in einer Verarbeitungstätigkeit bestimmte Risiken nennen, die unabhängig von einer Datenschutz-Folgenabschätzung auftreten.
Was ist der Unterschied zwischen allgemeinen und verarbeitungsspezifische Maßnahmen?
Warum sollte ich meine TOM in caralegal dokumentieren?
Hat dies deine Frage beantwortet?