Schutzbedarf aller Daten ermitteln

Datenschutz auch ohne Personenbezug

19.03.2015 von Oliver Schonschek
Einen erhöhten Schutzbedarf haben nicht nur personenbezogene Daten. Unternehmen brauchen eine neue Sicht auf Vertraulichkeit.

Internationale Sicherheitsforscher zeigen sich in Gesprächen überrascht, dass Unternehmen in Deutschland so besorgt sind um personenbezogene Daten, während Industriespione ganz andere Arten von Daten von den deutschen Unternehmen stehlen wollen. Wie die aktuellen Berichte der Verfassungsschützer zu Wirtschaftsschutz und Industriespionage zeigen, besteht zweifellos ein hoher Schutzbedarf auch für Daten, die nichts mit der persönlichen Privatsphäre zu tun haben.

Nicht personenbezogene Daten haben ebenfalls einen hohen Schutzbedarf.
Foto: m00osfoto, Shutterstock.com

Es gibt aber keinen Grund, dem Schutz personenbezogener Daten nun weniger Priorität einzuräumen. Wie die Tätigkeitsberichte der Aufsichtsbehörden für den Datenschutz zeigen, gibt es zahlreiche Mängel im Datenschutz und schwerwiegende Datenpannen. Was Unternehmen aber ändern sollten, ist ihre teilweise begrenzte Sicht, welche Informationen geschützt werden müssen und welche nicht.

Informationsschutz mit weiter Bedeutung

Bereits der Schutz personenbezogener Daten ist weitreichender, als viele Unternehmen glauben. Ein Blick in die geplante EU-Datenschutz-Grundverordnung zeigt zum Beispiel, bei welchen Arten von Daten eine Datenschutz-Folgenabschätzung durchgeführt werden soll. Diese Daten werden also als besonders sensibel betrachtet. Dazu gehören unter anderem Informationen über die wirtschaftliche Lage, den Aufenthaltsort, den Gesundheitszustand, die persönlichen Vorlieben, die Zuverlässigkeit oder das Verhalten von Personen. Das ist vielen Unternehmen im Wesentlichen bewusst.

EU-Datenschutzreform 2014/15: Die zehn wichtigsten Änderungen
Ein Gesetz für alle
EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten.
"Recht auf Vergessen"
Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen.
"Opt-in" statt "Opt-out"
Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher).
Recht auf Transparenz
Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden.
Zugang und Portabilität
Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können.
Schnellere Meldung
Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen.
Weniger Behördenchaos
Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben.
Grenzübergreifend
Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden.
Erweiterter Geltungsbereich
Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben.
Höhere Bußgelder
Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes.
Bürokratieabbau
Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen.
Erst ab 16
Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen.
Stärkung der nationalen Aufsichtsbehörden
Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)

Ebenfalls besonders zu schützen sind aber auch Informationen aus der weiträumigen Überwachung öffentlich zugänglicher Bereiche, insbesondere mittels Videoüberwachung, sowie umfangreiche Dateien, die Daten über Kinder, genetische Daten oder biometrische Daten enthalten.

Für ein umfassendes Datensicherheitskonzept müssen also auch Videodaten, genetische Daten, biometrische Daten und Daten von Kindern als solche erkannt, als entsprechend vertraulich klassifiziert und mit passenden Schutzmaßnahmen versehen werden. Doch auch der nächste Schritt vom reinen Datenschutz hin zum Informationsschutz darf nicht fehlen. Hier gilt es, auch auf ganz andere Daten zu achten und diese im Schutzkonzept zu berücksichtigen.

Zusätzlichen Schutz für mehr Informationen

Wenn beispielsweise die Leitung eines Unternehmens aus dem Bereich Elektrotechnik an zu schützende Daten denkt, kommen zuerst die Kundendaten in den Sinn. An zweiter Stelle der Überlegung rangieren meist die Mitarbeiterdaten, wobei an die Daten der eigenen Lieferanten schon weitaus weniger gedacht wird.

Fertigungsunternehmen sollten den Schutzbedarf ihrer Konstruktionsdaten prüfen. Die Industriespionage in Deutschland wächst weiter.
Foto: CNC-Arena GmbH

Die Datenverarbeitung eines solchen Unternehmens hat aber viele weitere wertvolle Informationen im Bestand, die neben den personenbezogenen Daten klassifiziert und dem Schutzbedarf entsprechend abgesichert werden müssen. Dies können Einkaufskonditionen bei Zulieferern sein, für die sich der eigene Wettbewerb durchaus interessieren könnte. Auch Konstruktionspläne für neue Produkte, die Planung des nächsten Messeauftritts, neue Forschungsergebnisse und die Resultate der internen Testabteilung dürften für Mitbewerber von hohem Interesse sein.

Alle Schutzvorgaben berücksichtigen

Der Schutz von Produktinformationen vor Wettbewerbsspionage sollte jeder Unternehmensleistung am Herzen liegen. Andere Informationen ohne direkten Personenbezug können einen erhöhten Schutzbedarf haben, weil sie Gegenstand eines Vertrages mit Kunden sind. Werden zum Beispiel Beratungsleistungen für einen Kunden erbracht, muss die Strategiepräsentation des Kunden ebenfalls besonders geschützt werden.

Viele digitale Dokumente brauchen einen besonderen Schutz, wie zum Beispiel Audit-Berichte. Der Schutz personenbezogener Daten muss zu einem vollständigen Informationsschutz erweitert werden.
Foto: Brainloop AG

Abhängig von der jeweiligen Branche bestehen verschiedene Compliance-Vorgaben, die bei einem umfassenden Informationsschutz zu beachten sind. Dazu kann unter anderem gehören, dass bestimmte Nachweise manipulationssicher aufbewahrt und langfristig verfügbar sein müssen, auch wenn der Inhalt nicht vertraulich ist. Das können Protokolle zu bestimmten Maschinenabläufen sein, die aus Gründen der Qualitätssicherung vorgehalten werden müssen. Ohne jeden Personenbezug haben solche Protokolle dann einen erhöhten Schutzbedarf.

Ziel: Vollständiger Informationsschutz

So wichtig auch der Schutz personenbezogener Daten ist, der Informationsschutz geht über den reinen Datenschutz hinaus. Jedes Unternehmen sollte genau für sich prüfen, welche Daten keinem unbefugten Dritten zugänglich sein dürfen, welche Daten gegen Manipulationen geschützt sein müssen und welche Daten für eine definierte Zeit verfügbar sein müssen.

Die jeweiligen Fachbereiche sollten zusammen mit der IT-Abteilung den Bedarf an Vertraulichkeit, Verfügbarkeit und Integrität für alle unternehmensrelevanten Datenkategorien festlegen. Auf Basis dieser Vorarbeiten können dann die Daten aufgespürt und entsprechend abgesichert werden. Dafür stehen verschiedene Werkzeuge zur Verfügung, die bei einer vollständigen Datenklassifizierung helfen können.

Mehr zum Thema?

Wollen Sie mehr zum Thema "Datentransparenz" und Werkzeuge zur Datenklassifizierung erfahren, lesen Sie auch unsere Beiträge "Datenschutz durch Datentransparenz" und "Tools für die Datenklassifizierung". (sh)