Bedeutung der Datenklassifizierung für den Datenschutz

Nov 25, 2022

Datenklassifizierung ist ein Thema, welches viele Unternehmen gerne vor sich herschieben. Sind jedoch die Daten im Unternehmen ordentlich klassifiziert, ist es für IT-Abteilungen deutlich einfacher, die kritischen Daten richtig zu schützen. Darüber hinaus unterstützt die Datenklassifizierung auch die Einhaltung der Anforderungen an den Datenschutz.

 

Was ist Datenklassifizierung?

Die Datenklassifizierung bezeichnet einen fortlaufenden Prozess, bei dem Daten in verschiedenen Kategorien klassifiziert werden. Dies einerseits, um eine effiziente Nutzung dieser Daten zu ermöglichen und andererseits, um besonders kritische Daten im Unternehmen in besonderem Masse schützen zu können.

Der Control A.8.2 des Anhanges A der ISO/IEC 27001 sieht als Ziel der Informationsklassifizierung vor, sicherzustellen, dass

„Information ein angemessenes Schutzniveau entsprechend ihrer Bedeutung für die Organisation erhält.“

Die Datenklassifizierung gehört damit zwingend zur IT-Sicherheitsstrategie eines jeden Unternehmens. Ferner verlangen Compliance-Standards und gesetzliche Regulierungen wie der Datenschutz von Unternehmen, bestimmte Daten wie Kreditkarteninformationen, Finanzdaten oder generell Personendaten angemessen zu schützen. Die Datenklassifizierung trägt somit zum Risikomanagement eines Unternehmens bei, welches wiederum hilft, die Sicherheit erfolgskritischer Daten als auch die Einhaltung gesetzlicher Vorschriften zu verbessern.

 

Datenklassifizierung ein wichtiges Element zur Einhaltung der datenschutzrechtlichen Vorgaben

Nach den Vorgaben sind Personendaten angemessen mit technischen und organisatorischen Massnahmen zu schützen. Personendaten finden sich nicht nur in Verträgen (Bezeichnung der Vertragspartei), sondern auch in E-Mails (insbesondere Absender), Prüfungen (Name oder zurechenbare Nummer), Seminararbeiten (Name), Word-Dateien (Metadaten), HR-Unterlagen, Logdaten (IP-Adresse) usw.

Der Schutzbedarf der Daten ist abhängig von der jeweiligen Datenkategorie. „Normale Personendaten“ wie Name und Adresse sind weniger stark zu schützen, als „besonders schützenswerte Daten“, wie etwa Gesundheitsdaten oder politische Daten, bei denen von einem höheren Risiko für die betroffenen Personen ausgegangen wird.

Mit der Datenklassifizierung kann der jeweilige Schutzbedarf der Daten definiert sowie die technischen und organisatorischen Massnahmen entsprechend abgeleitet werden. Das Datenklassifizierungskonzept bildet deshalb ein wichtiges Element zur Einhaltung der datenschutzrechtlichen Vorgaben.

 

Welche Klassifizierungsstufen sind üblich?

Meist kommt eine drei- bis fünfstufige Klassifizierung zum Tragen. Wie die Anzahl der Stufen variiert auch deren Bezeichnung. Eine typische Einordung erfolgt nach folgenden Klassifizierungskriterien:

  • Öffentliche Daten
    Unter öffentliche Daten fallen Daten, die mit der Öffentlichkeit geteilt werden dürfen und beispielsweise auf der Internetseite eines Unternehmens einzusehen sind. Das können die Adresse des Firmenstandorts, ein Werbeprospekt über die Leistungen (AGBs), bereits publizierte Geschäftsberichte oder Informationen zur Firmenhistorie sein. Diese Daten erfordern keine speziellen Schutzmechanismen.
  • Interne Daten
    Interne Daten dürfen nur innerhalb des Unternehmens verfügbar sein. Es handelt sich hierbei in der Regel um all jene Daten, die ohne besondere Ansprüche hinsichtlich Vertraulichkeit grundsätzlich allen Mitarbeitenden zugänglich sind. Dabei kann es sich um Telefonlisten mit der Durchwahl aller Mitarbeiter handeln, um Daten aus dem Intranet oder um interne Richtlinien. Dementsprechend sind interne Daten auch vor dem Zugriff von aussen zu schützen.
  • Vertrauliche Daten
    In der Regel sind vertraulichen Daten nur für einen begrenzten Kreis von Personen innerhalb des Unternehmens bestimmt. Typische Beispiele dafür sind Personaldaten, Geschäftsdaten zu Projekten, Aufträgen oder Verträgen, Revisionsberichte. Diese Daten sind noch besser vor dem Zugriff von ausserhalb zu schützen, zudem sind Zugriffsrechten innerhalb des Unternehmens zuzuweisen.
  • Geheime Daten
    Auf geheime Daten dürfen nur ganz bestimmte Personen zugreifen. Dazu zählen unter anderem Bankdaten, Finanzunterlagen oder auch Authentifizierungsdaten. Da solche Informationen in den falschen Händen grossen Schaden anrichten können, gilt für geheime Daten entsprechend die höchste Schutzbedarfsstufe.

 

Welches sind die wichtigsten Schritte für eine Datenklassifizierung?

Die Datenklassifizierung muss aktiv angewendet und mit den notwendigen Schutzmechanismen versehen werden. Dabei empfiehlt sich folgendermassen vorzugehen:

  1. Ermittlung der Daten im Unternehmen;
  2. Erarbeitung einer Richtlinie für die Datenklassifizierung;
  3. Ist-Analyse der bestehenden Daten im Unternehmen;
  4. Daten (physische und elektronische Dokumente) nach Klassifizierung kennzeichnen; und
  5. Sicherheit und Compliance kontinuierlich überprüfen.

 

Fazit

Die Datenklassifizierung bringt dem Unternehmen entscheidende Vorteile:

  • Mit der Datenklassifizierung erhält das Unternehmen den Durchblick bezüglich sämtlicher im Unternehmen vorhandenen Daten (nicht nur der Personendaten);
  • Die Datenklassifizierung ermöglicht eine effiziente Nutzung der Daten – inkl. Personendaten – wie auch die Identifizierung der dazugehörigen Schutzmassnahmen;
  • Mit der Klassifizierung von Daten führt ein Grundelement der IT-Sicherheitsstrategie ein;
  • Datenklassifizierung gilt auch als Grundelement des Schutzes von Personendaten;
  • Letztendlich erlaubt die Datenklassifizierung, das Budget und andere Ressourcen effizienter einzusetzen sowie die Kosten für Sicherheit und Compliance zu minimieren.

Sehr gerne unterstützen wir Sie bei Fragen rund um den Datenschutz und die Datensicherheit. Wir freuen uns auf Ihre Kontaktaufnahme.  

Edith Luginbühl

Assistentin

Edith Luginbühl ist eine engagierte und erfahrene Assistentin mit über 50 Jahren Berufserfahrung. Ihre berufliche Laufbahn begann mit einer kaufmännischen Ausbildung bei einer Grossbank, und führte sie durch verschiedene Branchen, darunter die Gastronomie, Hotellerie, Autovermietung, Reisebüro, Zeitungsredaktion. Zu ihren Stärken zählen ihre freundliche und professionelle Art, ihre Zuverlässigkeit sowie ihr ausgeprägtes Auge für Details.

Alexander Wild begann 2019 sein rechtswissenschaftliches Studium an der Universität Zürich. Vor und während seinem Studium konnte er bereits erste Erfahrungen in einer Compliance Abteilung einer Bank erlangen, arbeitete als IT-Supporter sowie in einer Legal Abteilung eines international tätigen Pharmaunternehmen. Seine Tätigkeiten umfassten unter anderem die Prüfung/Einhaltung von Bankweisungen, Sanktionen, Kunden und Länderrisiko; Beurteilung des generellen Kunden-Risikos für die Bank; Wet Ink Support sowie Support in der Prozessoptimierung von Vertragsunterzeichnungen. Seit 2022 arbeitet er als Anwaltsassistent bei der Balthasar Legal AG sowie LR | Rechtsanwälte. Sein Masterstudium wird er voraussichtlich 2025 abschliessen. 

Sangmo Agontsang

Paralegal

Sangmo Agontsang schloss 2012 ihr Diplom als Wirtschaftsfachfrau an der Kaderschule Zürich ab. Nach ihrem Abschluss arbeitete sie als CEO-Assistentin, unter anderem für die Freitag lab ag und CBM Schweiz. Zusätzlich sammelte sie Erfahrung in der Organisation der Kaderschule Zürich und war in der Intellectual Property Abteilung der Freitag lab ag tätig. Dort arbeitete sie international mit einem Team von Anwälten zusammen, um die Rechte des Unternehmens zu verteidigen. Seit 2022 ist sie als Paralegal bei der Balthasar Legal AG beschäftigt.

Markus Bruggmann

MLaw Senior Berater

MLaw Markus Bruggmann hat 2013 sein rechtswissenschaftliches Studium an der Universität Zürich abgeschlossen und war seitdem unter anderem bei einer Bank, einer Wirtschaftskanzlei und einer Versicherung tätig, wo er sich auf die Beratung sowie die Prüfung und Redaktion von Verträgen in den Bereichen des Kommunikations- und Technologierechts (Datenschutz) unter Berücksichtigung des Haftpflicht- und Immaterialgüterrechts spezialisierte. Zu seinen Stärken gehören seine analytischen Fähigkeiten und seine breite Erfahrung.