Einleitung Bewertung
Die Bewertung muss sich an den Möglichkeiten und Eigenheiten der Organisation orientieren. Das bedeutet nicht nur, dass anlässlich der Datenschutz-Grundverordnung (vgl.: DSGVO) geprüft und gegebenenfalls Maßnahmen gesetzt werden müssen, sondern ob die Maßnahme überhaupt möglich ist. Es muss vor allem auch untersucht werden, ob eine Übereinstimmung mit dem rechtlichen Rahmen vorhanden ist. Um eine Planbarkeit für strategische Maßnahmen zu ermöglichen, werden Bewertungskriterien nach qualitativen und quantitativen Bewertungskriterien aufgestellt.
Qualitative Bewertungskriterien
Qualitative Bewertungskriterien entsprechen im konkreten Fall den Gewährleistungszielen. Die Gewährleistungsziele stellen den Handlungsrahmen für die Organisation dar. Sie haben technische, rechtliche und soziale Aspekte.
Die Gewährleistungsziele sind:
- Datensparsamkeit ( Privacy by design – Verarbeitung nur unbedingt notwendiger Daten)
- Vertraulichkeit ( Sichere Kommunikation und Aufbewahrung)
- Verfügbarkeit ( Zugang zur Information im Bedarfsfall)
- Integrität ( Bestätigung der Echtheit)
- Nicht-Verkettbarkeit ( Kein Rückschluss über logische Verknüpfung mehrerer Abfragen)
- Transparenz (Nachvollziehbarkeit der Verarbeitung)
- Intervenierbarkeit (Eingriff zur Durchsetzung/ Wahrung von Betroffenenrechte)
Quantative Bewertungskriterien
Quantitative Bewertungskriterien entsprechen den selben, wie aus der Investitionsrechnung und -planung. Sind im Zusammenhang mit der Methode aber vor allem ausgerichtet auf den Faktor Kosten. (Anm.: Erlöse, Rentabilität, Amortisationszeit und Kapitalwert sind in diesem Themenbereich nicht vorrangig von Interesse zur Sicherstellung der Compliance)
Herangezogen werden als Bewertungskriterien:
- Kosten (Kosten, die für den Angreifer entstehen vor allem hier die aufzuwendende Zeit)
- Wissen (Technische Fähigkeiten und Erfahrung)
- Schaden (entstehender Schaden)
Die Festlegung der Bewertungskriterien kann auf Grund des rechtlichen Zwangs nur bei quantitativen Bewertungskriterien frei geändert werden. Qualitative Bewertungskriterien sind durch die Verordnung und ihre Gewährleistungsziele bestimmt. Als Begrenzungsfaktoren sind wirtschaftliche, technische, rechtliche und soziale Begrenzungsfaktoren zu berücksichtigen. Ein Begrenzungsfaktor ist eine Nebenbedingung der konkreten technischen/ organisatorischen Maßnahme, die unbedingt erfüllt sein muss. Begrenzungsfaktoren entsprechen Muss-Kriterien in einem Lasten-/ Pflichtenheft.
Nachdem die Bewertungskriterien und die Begrenzungsfaktoren bestimmt wurden, lassen sich die möglichen Alternativen ableiten. Die Findung von Alternativen ist vor allem an der Verminderung und/ oder Vermeidung von Datenschutzschwachstellen orientiert. Anhand der Begrenzungsfaktoren (vgl.: Muss Kriterien) werden Alternativen ausgeschieden, die die Vorgaben nicht erfüllen (vgl.: Screening). Die verbliebenen Alternativen können anhand der quantitativen Bewertungskriterien gereiht werden (vgl.: Scoring). Auf Grund der Bewertung der Alternativen ist es möglich die vorteilhafteste Variante zu bestimmen. Hierzu wird eine Rangordnung erstellt. Es folgt in der Regel die Durchführung, mit vorhergehender strategischer Entscheidung.