Daten aufspüren und klassifizieren

Datenschutz durch Datentransparenz

Der Diplom-Physiker Oliver Schonschek ist freier IT-Fachjournalist und IT-Analyst in Bad Ems.
In vielen Datenschutzkonzepten fehlt eine genaue Bestandsaufnahme zum Schutzbedarf und zur Kategorie der Daten.

Datenschutz ist kein Selbstzweck, er muss verhältnismäßig sein. Überzogener Datenschutz verursacht genauso Probleme wie ein lückenhafter Datenschutz. Das richtige Maß an Schutz für die personenbezogenen Daten findet man, indem man den tatsächlichen Schutzbedarf der Daten bestimmt.

Der beste Datenschutz lässt sich erreichen, wenn der Anwender weiß, welche Daten sich wo in seinen Systemen aufhalten und wie kritisch diese sind.
Der beste Datenschutz lässt sich erreichen, wenn der Anwender weiß, welche Daten sich wo in seinen Systemen aufhalten und wie kritisch diese sind.
Foto: S. Gladwell, Fotolia.com

Der Schutzbedarf der Daten ist die Grundlage für die Wahl der passenden technisch-organisatorischen Schutzmaßnahmen. Wie das Bundesdatenschutzgesetz (BDSG) ausführt, ist der Schutzbedarf der Daten auch ein Maßstab dafür, welche Fachkunde der betriebliche Datenschutzbeauftragte haben muss. Soweit die Theorie und gesetzliche Vorgabe.

Wie bestimmt man den Schutzbedarf?

In der Praxis haben Unternehmen deutliche Schwierigkeiten bei der Ermittlung des Schutzbedarfs. Wie hoch die Risiken eines Datenmissbrauchs oder Datenverlusts sind und damit wie hoch der Schutzbedarf der Daten ist, muss für alle Daten, die erhoben, gespeichert oder genutzt werden, bestimmt werden. Die Menge der zu schützenden Daten ist selbst in kleinen Unternehmen schon enorm und nimmt weiter zu. Deshalb sind Strategien und Werkzeuge gefragt, die die Ermittlung des Schutzbedarfs vereinfachen und beschleunigen.

Was den Schutzbedarf beeinflusst

Der Schutzbedarf von Daten lässt sich wesentlich einfacher ermitteln, wenn die Daten zuerst klassifiziert werden, wenn also bestimmt wird, welcher Art die Daten sind, zu welcher Datenkategorie sie gehören. Das Bundesdatenschutzgesetz nennt ausdrücklich bestimmte Datenkategorien, die als besonders sensibel und schützenswert gelten. Dies sind insbesondere Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.

Um den Schutzbedarf von Daten zu bestimmen, müssen die Daten auch in ihrem Kontext gesehen werden. Dazu gehört auch der aktuelle Speicherort der Daten und all ihrer Kopien.
Um den Schutzbedarf von Daten zu bestimmen, müssen die Daten auch in ihrem Kontext gesehen werden. Dazu gehört auch der aktuelle Speicherort der Daten und all ihrer Kopien.
Foto: Nogacom Europe GmbH

Whitepaper: Der Nutzen des Chief Data Officers

Der Chief Data Officer (CDO) wird immer öfter zu einer zentralen Führungkraft in Unternehmen auf der ganzen Welt. Der Grund ist die zunehmende Relevanz von Daten. Denn Daten sind überall und allgegenwärtig; sie untermauern jede Transaktion, jeden Betrieb und jegliche Interaktion innerhalb und außerhalb von Organisationen. Daten sind aber auf eine Infrastruktur angewiesen, sie müssen gespeichert, archiviert, analysiert und gesichert werden. Dafür braucht es den CDO. In dieser IBM-Studie wird die Rolle des CDO durchleuchtet und gezeigt, welche Vorteile Unternehmen konkret von ihm haben.

Diese Liste bezieht sich aber nur auf die Einstufung von Daten auf Basis einer bestimmten Regelung aus dem BDSG. Natürlich gibt es in jedem Unternehmen andere Arten personenbezogener oder anderer vertraulicher Daten, die einen besonderen Schutz erfahren sollten, wie die Konstruktionsdaten einer neuen Anlage oder die Bestandteile eines neuen, chemischen Produktes. Da stellt sich die Frage, wer im Unternehmen festlegen kann, welche Kategorien von Daten es jeweils gibt und wie deren Schutzbedarf ist.

Auf dem Weg zur Klassifizierung

Die Frage nach den tatsächlich vorhandenen Datenkategorien im Unternehmen und deren Schutzbedarf richtet sich nicht an den Datenschutzbeauftragten, vielmehr braucht dieser selbst die Angaben der Datenkategorien für das sogenannte Verfahrensverzeichnis, das alle Verfahren zur Verarbeitung personenbezogener Daten sowie die jeweils betroffenen Datenarten enthalten soll.

Gefragt sind vielmehr die Fachbereiche, notwendig ist die Business-Sicht auf die Daten. Deshalb beginnt die Bestimmung des Schutzbedarfs von Daten immer mit der Zusammenstellung aller im Unternehmen vorhandenen Datenkategorien, wobei alle Fachbereiche mit Bezug zur Datenverarbeitung (und damit nahezu alle) mitwirken müssen. Hilfreich ist es dabei, zuerst die Fachanwendungen aufzulisten und die eingehenden und ausgehenden Daten zu beschreiben. Werden Lieferantendaten verarbeitet oder aber Kundendaten, werden Adressen gespeichert oder Bankverbindungsdaten, um nur einige Beispiele zu nennen.

Lösungen wie dg classification helfen bei der Klassifizierung der Daten, die grundlegend für die Ermittlung des Schutzbedarfs ist.
Lösungen wie dg classification helfen bei der Klassifizierung der Daten, die grundlegend für die Ermittlung des Schutzbedarfs ist.
Foto: dataglobal GmbH

Im nächsten Schritt müssen die definierten Datenkategorien hinsichtlich ihres Bedarfs an Vertraulichkeit, Verfügbarkeit und Integrität eingestuft werden. Hier reicht schon eine Einstufung in niedrig, mittel und hoch sowie eine Gewichtung, wie das einzelne Schutzziel in den Schutzbedarf einfließen soll.

Daten zuordnen und aufspüren

Hat man erst einmal die Liste der Datenkategorien und deren jeweiligen Schutzbedarf zusammen gestellt, müssen nur noch alle zu schützenden Daten gefunden und einer Datenkategorie zugeordnet werden. Das ist leichter gesagt als getan, aber bei diesem Schritt können Werkzeuge zur Datensuche und Datenklassifizierung helfen.

Ein Nebenprodukt der Datenklassifizierung verdient eine besondere Erwähnung. Durch die intern erzielte Transparenz, welche Datenkategorien es gibt und die Zuordnung der Daten zu den Kategorien wird auch der jeweils aktuelle Speicherort der Daten festgestellt. Bekanntlich hat der Speicherort einen großen Einfluss darauf, wie gefährdet Daten sind, ob sie also zum Beispiel im gut geschützten Firmennetzwerk liegen oder auf dem leicht zu verlierenden Smartphone eines Mitarbeiters.

Es zeigt sich, dass die Anstrengungen, mehr Transparenz in die Datenhaltung zu bekommen, den Datenschutz gleich mehrfach optimieren kann: Daten werden lokalisiert, einer Kategorie zugeordnet und ihr Schutzbedarf wird bestimmt. Damit wird eine zentrale Basis für alle weiteren Datenschutzmaßnahmen gelegt. Ohne Datentransparenz geht es im Datenschutz nicht, auch wenn Transparenz zuerst nicht nach Datenschutz klingt. Wie Unternehmen eine passende Strategie umsetzen, lesen Sie auch im Beitrag "Datenschutz auch ohne Personenbezug". Werkzeuge, um Daten automatisch finden und einstufen zu können, haben wir im Beitrag "Tools für die Datenklassifizierung" aufgespürt. (sh)