Datenschutz ist kein Selbstzweck, er muss verhältnismäßig sein. Überzogener Datenschutz verursacht genauso Probleme wie ein lückenhafter Datenschutz. Das richtige Maß an Schutz für die personenbezogenen Daten findet man, indem man den tatsächlichen Schutzbedarf der Daten bestimmt.
Der Schutzbedarf der Daten ist die Grundlage für die Wahl der passenden technisch-organisatorischen Schutzmaßnahmen. Wie das Bundesdatenschutzgesetz (BDSG) ausführt, ist der Schutzbedarf der Daten auch ein Maßstab dafür, welche Fachkunde der betriebliche Datenschutzbeauftragte haben muss. Soweit die Theorie und gesetzliche Vorgabe.
Wie bestimmt man den Schutzbedarf?
In der Praxis haben Unternehmen deutliche Schwierigkeiten bei der Ermittlung des Schutzbedarfs. Wie hoch die Risiken eines Datenmissbrauchs oder Datenverlusts sind und damit wie hoch der Schutzbedarf der Daten ist, muss für alle Daten, die erhoben, gespeichert oder genutzt werden, bestimmt werden. Die Menge der zu schützenden Daten ist selbst in kleinen Unternehmen schon enorm und nimmt weiter zu. Deshalb sind Strategien und Werkzeuge gefragt, die die Ermittlung des Schutzbedarfs vereinfachen und beschleunigen.
Was den Schutzbedarf beeinflusst
Der Schutzbedarf von Daten lässt sich wesentlich einfacher ermitteln, wenn die Daten zuerst klassifiziert werden, wenn also bestimmt wird, welcher Art die Daten sind, zu welcher Datenkategorie sie gehören. Das Bundesdatenschutzgesetz nennt ausdrücklich bestimmte Datenkategorien, die als besonders sensibel und schützenswert gelten. Dies sind insbesondere Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.
Diese Liste bezieht sich aber nur auf die Einstufung von Daten auf Basis einer bestimmten Regelung aus dem BDSG. Natürlich gibt es in jedem Unternehmen andere Arten personenbezogener oder anderer vertraulicher Daten, die einen besonderen Schutz erfahren sollten, wie die Konstruktionsdaten einer neuen Anlage oder die Bestandteile eines neuen, chemischen Produktes. Da stellt sich die Frage, wer im Unternehmen festlegen kann, welche Kategorien von Daten es jeweils gibt und wie deren Schutzbedarf ist.
Auf dem Weg zur Klassifizierung
Die Frage nach den tatsächlich vorhandenen Datenkategorien im Unternehmen und deren Schutzbedarf richtet sich nicht an den Datenschutzbeauftragten, vielmehr braucht dieser selbst die Angaben der Datenkategorien für das sogenannte Verfahrensverzeichnis, das alle Verfahren zur Verarbeitung personenbezogener Daten sowie die jeweils betroffenen Datenarten enthalten soll.
Gefragt sind vielmehr die Fachbereiche, notwendig ist die Business-Sicht auf die Daten. Deshalb beginnt die Bestimmung des Schutzbedarfs von Daten immer mit der Zusammenstellung aller im Unternehmen vorhandenen Datenkategorien, wobei alle Fachbereiche mit Bezug zur Datenverarbeitung (und damit nahezu alle) mitwirken müssen. Hilfreich ist es dabei, zuerst die Fachanwendungen aufzulisten und die eingehenden und ausgehenden Daten zu beschreiben. Werden Lieferantendaten verarbeitet oder aber Kundendaten, werden Adressen gespeichert oder Bankverbindungsdaten, um nur einige Beispiele zu nennen.
Im nächsten Schritt müssen die definierten Datenkategorien hinsichtlich ihres Bedarfs an Vertraulichkeit, Verfügbarkeit und Integrität eingestuft werden. Hier reicht schon eine Einstufung in niedrig, mittel und hoch sowie eine Gewichtung, wie das einzelne Schutzziel in den Schutzbedarf einfließen soll.
Daten zuordnen und aufspüren
Hat man erst einmal die Liste der Datenkategorien und deren jeweiligen Schutzbedarf zusammen gestellt, müssen nur noch alle zu schützenden Daten gefunden und einer Datenkategorie zugeordnet werden. Das ist leichter gesagt als getan, aber bei diesem Schritt können Werkzeuge zur Datensuche und Datenklassifizierung helfen.
Ein Nebenprodukt der Datenklassifizierung verdient eine besondere Erwähnung. Durch die intern erzielte Transparenz, welche Datenkategorien es gibt und die Zuordnung der Daten zu den Kategorien wird auch der jeweils aktuelle Speicherort der Daten festgestellt. Bekanntlich hat der Speicherort einen großen Einfluss darauf, wie gefährdet Daten sind, ob sie also zum Beispiel im gut geschützten Firmennetzwerk liegen oder auf dem leicht zu verlierenden Smartphone eines Mitarbeiters.
Es zeigt sich, dass die Anstrengungen, mehr Transparenz in die Datenhaltung zu bekommen, den Datenschutz gleich mehrfach optimieren kann: Daten werden lokalisiert, einer Kategorie zugeordnet und ihr Schutzbedarf wird bestimmt. Damit wird eine zentrale Basis für alle weiteren Datenschutzmaßnahmen gelegt. Ohne Datentransparenz geht es im Datenschutz nicht, auch wenn Transparenz zuerst nicht nach Datenschutz klingt. (sh)