Datenschutz durch Datentransparenz

Diese Liste bezieht sich aber nur auf die Einstufung von Daten auf Basis einer bestimmten Regelung aus dem BDSG. Natürlich gibt es in jedem Unternehmen andere Arten personenbezogener oder anderer vertraulicher Daten, die einen besonderen Schutz erfahren sollten, wie die Konstruktionsdaten einer neuen Anlage oder die Bestandteile eines neuen, chemischen Produktes. Da stellt sich die Frage, wer im Unternehmen festlegen kann, welche Kategorien von Daten es jeweils gibt und wie deren Schutzbedarf ist.

Auf dem Weg zur Klassifizierung

Die Frage nach den tatsächlich vorhandenen Datenkategorien im Unternehmen und deren Schutzbedarf richtet sich nicht an den Datenschutzbeauftragten, vielmehr braucht dieser selbst die Angaben der Datenkategorien für das sogenannte Verfahrensverzeichnis, das alle Verfahren zur Verarbeitung personenbezogener Daten sowie die jeweils betroffenen Datenarten enthalten soll.

Gefragt sind vielmehr die Fachbereiche, notwendig ist die Business-Sicht auf die Daten. Deshalb beginnt die Bestimmung des Schutzbedarfs von Daten immer mit der Zusammenstellung aller im Unternehmen vorhandenen Datenkategorien, wobei alle Fachbereiche mit Bezug zur Datenverarbeitung (und damit nahezu alle) mitwirken müssen. Hilfreich ist es dabei, zuerst die Fachanwendungen aufzulisten und die eingehenden und ausgehenden Daten zu beschreiben. Werden Lieferantendaten verarbeitet oder aber Kundendaten, werden Adressen gespeichert oder Bankverbindungsdaten, um nur einige Beispiele zu nennen.

Im nächsten Schritt müssen die definierten Datenkategorien hinsichtlich ihres Bedarfs an Vertraulichkeit, Verfügbarkeit und Integrität eingestuft werden. Hier reicht schon eine Einstufung in niedrig, mittel und hoch sowie eine Gewichtung, wie das einzelne Schutzziel in den Schutzbedarf einfließen soll.