9 Worst-Case-Szenarien reflektieren
Sofern du die vorigen Schritte umsichtig und möglichst vollständig durchlaufen hast, sind bereits gute Vorzeichen gesetzt. Da Risiken sich, wie bereits angedeutet, in
The fallback content to display on prerendering
nicht gänzlich eliminieren lassen, gilt es trotzdem immer, Vorkehrungen für Negativereignisse zu treffen. Man sollte Prozesse und Verfahren entwickeln, wie in Krisenfällen agiert werden muss, die vier Kernbereiche umfassen:- Umgang mit Verletzungen der Privatsphäre von Datensubjekten (breach)
- Benachrichtigung der Betroffenen
- Review und Analyse des Vorfalls sowie Learnings
- Kommunikation
Betrachtet hierfür ausführlich, welche potenziellen Breach-Szenarien plausibel sind, welche Akteur:innen diese involvieren, welche Ziele diese Akteur:innen haben und ob diese Ziele die Schwere von Vorfällen lindern oder verstärken. Hierzu ist es auch nötig, die eigenen Ziele klar zu definieren und zu überlegen, wie diese mit den Zielen andere Akteur:innen jeweils interagieren. Daraufhin kann es helfen, mögliche Schritte zu sammeln, die in den unterschiedlichen Konstellationen möglich sind.
Folgende Elemente können in diesem Bereich hilfreich sein:
- Gut dokumentierte Prüfvorgänge für getroffene Entscheidungen und Sicherheitsvorkehrungen (transparenter Audit-trail)
- Eine abgestimmte und dokumentierte Krisenmanagement-Policy, die sowohl festlegt, wie mit der Situation umgegangen, als auch wie diese adäquat nach außen kommuniziert werden soll
- Klare Verantwortlichkeiten innerhalb des Teams
- Adäquat in den relevanten Themenfeldern ausgebildetes Personal ist sowohl im Krisenfall nützlich, aber auch bei dessen Prävention. Notfalls müssen Fähigkeiten über in-house-Fortbildungen angeeignet werden (Datensicherheit, Datenschutz-Recht, Privatsphäre-erhaltende Technologien).