Um einen besseren Schutz für sensible Daten zu gewährleisten und externen Angreifern den Zugriff darauf zu erschweren, sind verschiedene Schritte notwendig. Oft erscheinen uns diese Dinge wie ein großer Berg, den man nie erklimmen kann und der mit der Zeit auch immer weiter wächst… Aus diesem Grund haben wir versucht, für Sie einmal die wesentlichen Dinge greifbar und machbar zusammenzufassen.
An erster Stelle sollte eine „Inventur“ der Daten und Informationen stehen, um herauszufinden, was überhaupt zu schützen gilt und welche der Informationen die wirklichen „Schätze“ der Organisation sind – also eben gerne dieses Mal nicht nur in personenbezogenen Daten denken.
Je größer die Organisation, desto größer natürlich auch die Datenmenge und gleichzeitig auch die Herausforderung hier Struktur hineinzubringen.
Bestenfalls sollte man die Daten daher in verschiedene Kategorien einordnen. So kann man zum einen die vorhandenen Informationen bestmöglich nutzen als auch schnellstmöglich finden. Zum anderen kann man so gewährleisten, besonders wichtige bzw. sensible Informationen der Organisation entsprechend zu schützen.
Vorgeschlagen werden folgende vier Kategorien:
- Öffentlich: diese Daten sind für jeden ersichtlich und frei verfügbar
(z.B. Informationen auf der Website der Organisation) - Intern: diese Daten und Informationen sind nicht für Außenstehende bestimmt, sondern einem bestimmten (größeren) Mitarbeiterkreis zugänglich
(z.B. interne E-Mail-Kommunikation, Dienstanweisungen…) - Vertraulich: diese Daten und Informationen könnten für Mitbewerber und Konkurrenten interessant sein, denn hier handelt es sich um Informationen, die für den Erfolg des Unternehmens (das gilt für staatliche Verwaltungen wahrscheinlich nicht im gleiche Maße) entscheidend und wichtig sind
(z.B. Vertragsentwürfe, Entwicklungsunterlagen…) - Streng vertraulich / geheim: diese Daten und Informationen, sind essentiell wichtig, um Erfolg und Fortbestehen der Organisation zu gewährleisten
(z.B. Forschungsprojekte, noch nicht veröffentlichte Entwicklungspläne, Strategien…)
Das Ergebnis
Erst wenn definiert ist, welche Daten besonders schützenswert sind, kann auch ein entsprechender Schutz gewährleistet werden.
Tatsächlich ist es aber so, dass Sie Ihre Daten nun nicht nur besser schützen können sollen, denn das Gesetz geht an dieser Stelle sogar noch einen Schritt weiter: seit 2019 ist der Schutz von Geschäftsgeheimnissen auch gesetzlich geregelt – nämlich über das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG). Das Ziel ist es, Organisationen vor der Spionage durch Konkurrenten zu schützen. Sollte ein Cyber-Angriff erfolgt sein, müssen Organisationen im Rahmen des GeschGehG nachweisen können, dass wichtige / kritische Informationen durch entsprechende Maßnahmen geschützt worden sind.
Und nun die Praxis
Es sollte zunächst sichergestellt sein, dass eine Richtlinie zur Einordnung von und zum Umgang mit Daten und Informationen entwickelt ist. Wenn Sie mögen, helfen wir Ihnen gerne dabei.
In einem zweiten Schritt sollten die einzelnen Fachabteilungen bzw. Bereiche der Organisation die Einordnung dann umsetzen und die entsprechenden Daten und Informationen in die einzelnen Kategorien einstufen.
Wem es hilft, der kann auch die internen Speicherorte auf Server oder in der Cloud entsprechend der Kategorien vorsehen. Dadurch gewöhnen sich alle fast schon automatisch an den entsprechenden Umgang mit den Informationen.
Und zum Schluss ist es natürlich wichtig, die Beschäftigten diesbezüglich zu informieren und zu schulen, damit der Datenschutz – und in diesem Fall auch der Geschäftsgeheimnisschutz – im Alltag auch beachtet wird.
Quelle: Viele der Gedanken hier haben wir aus der Zeitschrift „Datenschutz-Praxis“, Ausgabe Dezember 2021