Textseite
Klassifizierung von Daten
Abschlussbedingungen
Risikoklassen
Aus Sicht des Datenschutzes können Daten in verschiedene Risikoklassen eingeteilt werden. Die Zuordnung zu einer Risikoklasse entscheidet darüber, wie schützenswert die Daten sind und welche Maßnahmen für die Verarbeitung notwendig sind (Ablage, Zugriffsrechte,...).
Wir haben dieses Thema schon eingehend betrachtet: entscheidend ist die Art und die Menge Daten, die verarbeitet werden soll. Zur Erinnerung: geschäftlichen E-Mail-Adressen, die eventuell ohnehin auf der Webseite des Unternehmens veröffentlicht sind, sind beispielsweise weniger riskant als persönliche Daten, wie z.B. Anschrift, Telefonnummer oder Geburtsdatum eines Schulungsteilnehmenden.
Achtung, jetzt wird es sehr speziell!
Die folgenden Analysen und Maßnahmen werden in der Regel von entsprechenden Fachabteilungen behandelt und organisationsweit von der Leitung der Organisation verantwortet. Sie sollten in Ihrem Projekt mit dem Thema nur wenig zu tun haben. Eine gewisse Sensibilität für das Thema
schadet allerdings nicht, da viele der Maßnahmen auch im
Projektalltag berücksichtigt werden müssen.
Schutzgruppen
In der Informationssicherheit teilt man Daten und Informationen in so genannte "Schutzgruppen" ein. Das deutsche Bundesamt für Sicherheit in der Informationstechnik empfiehlt zur Klassifizierung die Klassen „normal“, „hoch“ und „sehr hoch“.
- Normal: Die Schadensauswirkungen sind begrenzt und überschaubar.
- Hoch: Die Schadensauswirkungen können beträchtlich sein.
- Sehr hoch: Die Schadensauswirkungen können ein existenziell bedrohliches, katastrophales Ausmaß erreichen.
Einteilung nach ISO-Standards
Es gibt verschiedene Herangehensweisen, um den Schutzbedarf von personenbezogenen Daten zu bestimmen. Die Maßnahmen sind in verschiedenen ISO-Normen definiert, u.a. in der ISO 27701 "Security Techniques", die eine Erweiterung der ISO 27001 und 27002 darstellt und festlegt, wie Maßnahmen zum Datenschutz und zur Informationssicherheit zu verknüpfen sind.
Deutschland ist in diesem Bereich recht fortschrittlich. Das deutsche Bundesamt für Sicherheit in der Informationstechnik stellt mit seinem Standard 200-2 eine umfangreiche Methodik für ein effektives Management von Informationssicherheit zur Verfügung.
- Deutsch: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_2.html?nn=128640
- Englisch: https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Grundschutz/International/bsi-standard-2002_en_pdf.html?nn=128640
Ein Beispiel für die Einstufung finden Sie hier: https://www.sec4you.com/klassifizierung-iso-27001/
GDPRism ist ein Projekt der Organisationen Medienkompetenz Team e.V. und Educommart und wurde kofinanziert durch das ERASMUS+ Programm der Europäischen Union.
Von der Europäischen Union finanziert. Die geäußerten Ansichten und Meinungen entsprechen jedoch ausschließlich denen des Autors bzw. der Autoren und spiegeln nicht zwingend die der Europäischen Union oder der Europäischen Exekutivagentur für Bildung und Kultur (EACEA) wider. Weder die Europäische Union noch die EACEA können dafür verantwortlich gemacht werden
