Mit Schutzklassenkonzepten zur DSGVO-Compliance

Fachbeitrag

Ein zentraler Schritt bei der Einführung der DSGVO ist die Erstellung eines „Verzeichnis aller Verarbeitungstätigkeiten“. In diesem sollen jeder Verarbeitungstätigkeit die entsprechenden technisch-organisatorischen Maßnahmen (TOMs) zugeordnet werden. Um nicht eine Vielzahl von Maßnahmenkatalogen kreieren und zuordnen zu müssen, empfiehlt sich die Einführung eines Schutzklassenkonzeptes.

Daten – Schützen!

Wenn es um die Sicherheit der Verarbeitung personenbezogener Daten geht, sprechen wir auch über die „technisch-organisatorischen Maßnahmen“, die nötig sind um ein angemessenes Schutzniveau zu gewährleisten. Aber was bedeutet „angemessen“ in diesem Zusammenhang?

Die Datenschutz-Grundverordnung benennt in Art. 25 DSGVO die folgenden Punkte, die zu berücksichtigen seien, um Datenschutzgrundsätze einzuhalten:

  • der Stand der Technik,
  • die Implementierungskosten,
  • Art, Umfang, Umstände und Zwecke der Verarbeitung
  • und die Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen.

Die getroffenen technisch-organisatorischen Maßnahmen müssen also dem Schutzbedarf der zu verarbeitenden personenbezogenen Daten entsprechen. Als besondere Kategorien personenbezogener Daten nennt die DSGVO personenbezogene Daten aus denen:

  • die rassische und ethnische Herkunft,
  • politische Meinungen,
  • religiöse oder weltanschauliche Überzeugungen oder
  • die Gewerkschaftszugehörigkeit hervorgehen,
  • genetische Daten,
  • biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person,
  • Gesundheitsdaten und
  • Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

Sofern Sie entsprechende Daten verarbeiten, müssen Sie besondere Schutzmaßnahmen ergreifen, da von Ihnen ein höheres Risiko für den Betroffenen ausgeht. Die Bestimmung des Risikos führt zur Bestimmung der Schutzklasse und die bestimmt die Angemessenheit der Maßnahmen.

Bestimmung des Risikos

Zunächst geht es also wie im klassischen Risikomanagement darum

  • Risiken zu identifizieren (Art, Ursachen und Auswirkungen) und
  • Risiken zu analysieren (Eintrittswahrscheinlichkeiten und Auswirkungen).

Der Klassiker „Eintrittswahrscheinlichkeit mal Schadenhöhe gleich Risiko“ trifft auch hier zu. Allerdings ist in diesem Fall nicht von Unternehmensseite aus zu denken, sondern vom Kunden aus. Es geht schließlich um dessen personenbezogene Daten. Jede Datenart benötigt also ihre eigene Schutzbedarfsanalyse. Um den Schutzbedarf der vielen, unterschiedlichen Datenarten im Unternehmen zu organisieren, ist ein entsprechendes Schutzklassenkonzept sinnvoll, dass den individuellen Schutzbedarf passend zu Schutzklassen zusammenfasst.

Abstufung des Schutzbedarfs

Für die Bewertung eines IT-Risikos haben sich die Schutzbedarfsabstufungen bewährt, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinen IT-Grundschutz-Katalogen empfiehlt. Für Datenschutz-Risiken, brauchen wir aber umfassendere Schutzbedarfsabstufungen. Mit einer Schutzklasse wird das Schadenspotenzial einer Datenkategorien, einem Schutzmaßnahmenkatalog zugeordnet.

Schutzklassenkonzepte wurden bereits vom der Landesbeauftragten für den Datenschutz Niedersachsen, vom unabhängigen Datenschutzzentrum Saarland und als Teil des Standard Datenschutz Modell (SDM) veröffentlicht. In diesen unterschiedlichen Konzepten werden mindestens drei Schutzklassen gebildet, um ein angemessenes Schutzniveau zu bilden.

  • Normaler Schutzbedarf
    Darunter fallen personenbezogene Daten, deren Verarbeitung keine besondere Beeinträchtigung des informationellen Selbstbestimmungsrechts erwarten lassen, zum Beispiel: Anschrift, Geburtsjahr, öffentliche Register, Telefonverzeichnisse.
  • Hoher Schutzbedarf
    Der Betroffene kann in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigt werden.
    Bsp.: Daten über Mietverhältnisse, Telefonverbindungsdaten, Kontenstände, Zeugnisse, rassische oder ethnische Herkunft, religiöse oder weltanschauliche Überzeugungen, Schülerdaten.
  • Sehr hoher Schutzbedarf
    Personenbezogene Daten fallen dann unter die Kategorie des hohen Schutzbedarfs, wenn der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigt werden kann. Bsp.: besonders sensible Krankendaten, besonders sensible Sozialdaten, Steuerdaten, strafbare Handlungen, Verwaltungsdaten entsprechend der „VS-Vertraulich“.

Ein Schritt weiter auf dem Weg zur DSGVO

Die Zuordnung von passenden technisch-organisatorischen Maßnahmen zum jeweiligen Schutzbedarf der personenbezogenen Daten im individuellen Verfahren, bringt uns einen guten Schritt weiter auf unserem Weg zu einem „Verzeichnis aller Verarbeitungstätigkeiten“. Und das bringt Ihr Unternehmen einen Schritt weiter auf dem Weg zur DSGVO-Compliance.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Datenschutz-Grundverordnung (DSGVO)

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.