Prävention ist ein Oberbegriff für zielgerichtete Maßnahmen und Aktivitäten,
um betriebliche Risiken oder Schäden zu vermeiden,
das Risiko bei Schadenseintritt zu verringern
oder ein Eintreten zu verzögern.
Präventive Maßnahmen lassen sich nach dem Zeitpunkt, zu dem sie eingesetzt werden, der primären, der sekundären oder der tertiären Prävention zuordnen. Des Weiteren lassen sich präventive Maßnahmen im Hinblick darauf unterscheiden, ob sie am individuellen Objekt (Objektprävention) oder an den Umweltverhältnissen ansetzen (Umfeldprävention).
Erläuterungen zu den wichtigsten Faktoren aus dem Datenschutz und der Datensicherheit, konkrete Tipps, wie man betriebliche Risiken bewusster begegnen kann und wie betriebliche Gegebenheiten so verändert werden können, dass sie dem Datenschutz und der Datensicherheit förderlich sind, setzt eine Kategorisierung und Qualifizierung von Inhalten der Informationsverarbeitung voraus.
Konkret orientieren sich Vorschläge für Maßnahmen an drei Stufen. Die erste Stufe ist, den Eintritt von Risiken zu vermindern oder sogar zu vermeiden. Die zweite Stufe geht davon aus, dass ein Risiko nicht zur Gänze ausgeschlossen werden kann. Hier ist vor allem die Verminderung, oder auch Übertragung des Risikos auf einen Dritten eine zielführende Vorgehensweise. Die dritte Stufe bezieht sich auf Maßnahmen nach dem Eintritt des Risikos. Die drei Stufen sind der zeitliche Bezug zu einem Risikoeintritt – vor dem Risikoeintritt, während des Risikoeintritts und nach dem Risikoeintritt.
Die Handlungsfelder für präventive Maßnahmen aus der Datensicherheit und aus dem Datenschutz ergeben sich aus den Gewährleistungszielen. Zu diesen sieben Gewährleistungszielen gibt es entsprechend auch sieben Risikofelder für Verletzung des Datenschutzes und der Datensicherheit. Die Risikofelder sind Zuordenbarkeit, Offenlegung von Informationen, Nicht-Abstreitbarkeit, Missachtung von Vorschriften, Unwissenheit, Erkennbarkeit und Identifizierbarkeit. Eine ausführliche Betrachtung liefert hier ein Attack Tree.
Passend zu dem jeweiligen Risiko, in Bezug auf Zeit, Ort und Wirkungskreis (vgl.: Objekt oder Umfeld) sind Maßnahmen zu setzen, um die geforderten Gewährleistungsziele zu erfüllen. Diese Maßnahmen können technischer, und/oder organisatorischer Natur sein. Technische Maßnahmen wirken in der Regel direkt auf ein Objekt ein. Organisatorische
Maßnahmen zielen vor allem darauf ab den möglichen Handlungsraum einzuschränken.