Daten aufspüren und klassifizieren
Datenschutz durch Datentransparenz
Datenschutz ist kein Selbstzweck, er muss verhältnismäßig sein. Überzogener Datenschutz verursacht genauso Probleme wie ein lückenhafter Datenschutz. Das richtige Maß an Schutz für die personenbezogenen Daten findet man, indem man den tatsächlichen Schutzbedarf der Daten bestimmt.
Foto: S. Gladwell, Fotolia.com
Der Schutzbedarf der Daten ist die Grundlage für die Wahl der passenden technisch-organisatorischen Schutzmaßnahmen. Wie das Bundesdatenschutzgesetz (BDSG) ausführt, ist der Schutzbedarf der Daten auch ein Maßstab dafür, welche Fachkunde der betriebliche Datenschutzbeauftragte haben muss. Soweit die Theorie und gesetzliche Vorgabe.
Wie bestimmt man den Schutzbedarf?
In der Praxis haben Unternehmen deutliche Schwierigkeiten bei der Ermittlung des Schutzbedarfs. Wie hoch die Risiken eines Datenmissbrauchs oder Datenverlusts sind und damit wie hoch der Schutzbedarf der Daten ist, muss für alle Daten, die erhoben, gespeichert oder genutzt werden, bestimmt werden. Die Menge der zu schützenden Daten ist selbst in kleinen Unternehmen schon enorm und nimmt weiter zu. Deshalb sind Strategien und Werkzeuge gefragt, die die Ermittlung des Schutzbedarfs vereinfachen und beschleunigen.
Was den Schutzbedarf beeinflusst
Der Schutzbedarf von Daten lässt sich wesentlich einfacher ermitteln, wenn die Daten zuerst klassifiziert werden, wenn also bestimmt wird, welcher Art die Daten sind, zu welcher Datenkategorie sie gehören. Das Bundesdatenschutzgesetz nennt ausdrücklich bestimmte Datenkategorien, die als besonders sensibel und schützenswert gelten. Dies sind insbesondere Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.
Foto: Nogacom Europe GmbH
Diese Liste bezieht sich aber nur auf die Einstufung von Daten auf Basis einer bestimmten Regelung aus dem BDSG. Natürlich gibt es in jedem Unternehmen andere Arten personenbezogener oder anderer vertraulicher Daten, die einen besonderen Schutz erfahren sollten, wie die Konstruktionsdaten einer neuen Anlage oder die Bestandteile eines neuen, chemischen Produktes. Da stellt sich die Frage, wer im Unternehmen festlegen kann, welche Kategorien von Daten es jeweils gibt und wie deren Schutzbedarf ist.
Auf dem Weg zur Klassifizierung
Die Frage nach den tatsächlich vorhandenen Datenkategorien im Unternehmen und deren Schutzbedarf richtet sich nicht an den Datenschutzbeauftragten, vielmehr braucht dieser selbst die Angaben der Datenkategorien für das sogenannte Verfahrensverzeichnis, das alle Verfahren zur Verarbeitung personenbezogener Daten sowie die jeweils betroffenen Datenarten enthalten soll.
Gefragt sind vielmehr die Fachbereiche, notwendig ist die Business-Sicht auf die Daten. Deshalb beginnt die Bestimmung des Schutzbedarfs von Daten immer mit der Zusammenstellung aller im Unternehmen vorhandenen Datenkategorien, wobei alle Fachbereiche mit Bezug zur Datenverarbeitung (und damit nahezu alle) mitwirken müssen. Hilfreich ist es dabei, zuerst die Fachanwendungen aufzulisten und die eingehenden und ausgehenden Daten zu beschreiben. Werden Lieferantendaten verarbeitet oder aber Kundendaten, werden Adressen gespeichert oder Bankverbindungsdaten, um nur einige Beispiele zu nennen.
Foto: dataglobal GmbH
Im nächsten Schritt müssen die definierten Datenkategorien hinsichtlich ihres Bedarfs an Vertraulichkeit, Verfügbarkeit und Integrität eingestuft werden. Hier reicht schon eine Einstufung in niedrig, mittel und hoch sowie eine Gewichtung, wie das einzelne Schutzziel in den Schutzbedarf einfließen soll.
Daten zuordnen und aufspüren
Hat man erst einmal die Liste der Datenkategorien und deren jeweiligen Schutzbedarf zusammen gestellt, müssen nur noch alle zu schützenden Daten gefunden und einer Datenkategorie zugeordnet werden. Das ist leichter gesagt als getan, aber bei diesem Schritt können Werkzeuge zur Datensuche und Datenklassifizierung helfen.
- Desktop-Suche
Übersicht direkt aus der Kacheloberfläche: Mit Windows 8.x hat Microsoft die Suche so direkt in das System integriert, dass der Nutzer einfach „lostippen“ kann, wenn er beispielsweise Einstellungen auf dem Rechner sucht. - Die integrierte Suche auf den aktuellen Windows-Systemen
Nicht nur, dass diese neue Suche weitaus besser in das Betriebssystem eingebettet wurde, sie ermöglicht es beispielsweise auch, nach bestimmten Untermenüs oder Einstellungen im System zu suchen. - Suche filtern
Die Suche kann auch unter Windows 8.x eingeschränkt werden: Der Nutzer kann wählen, auf welchen Bereich (wobei hier auch die Internet-Suche möglich ist) er eine Anfrage beschränken möchte. - Der Klassiker
Die traditionelle Art der Suche auf den Windows 8.x-Systemen: Durch die kontextsensitiven Menüs des Explorers bekommen Nutzer sofort die verschiedenen Auswahlmöglichkeiten präsentiert. - Die gewohnte Oberfläche
Wer Googles Desktop-Suchmaschine einsetzt, braucht sich nicht umzustellen. Die Suche funktioniert nach dem gewohnten Muster über den Browser als Frontend. Leider stellt Google diese Software nicht mehr zur Verfügung. - Fest und gut ins Betriebssystem integriert
Bei den Mac OS X-Betriebssystemen steht die Desktop-Suche Spotlight ab dem Release 10.4 (Tiger) standardmäßig zur Verfügung. - Typisch Mac OS-Anwendung
Zwar bieten die Systemeinstellungen dem Anwender ein gewisses Maß an Einstellmöglichkeiten, will er aber beispielsweise die Indexierung abschalten, so muss er auf die Kommandozeile des darunterliegenden Unix wechseln. - Sinnvolle Erweiterung, die aber leider nur kostenpflichtig und in englischer Sprache angeboten wird
HoudahSpot ergänzt als Frontend die eingebaute Suche Spotlight um viele Funktionalitäten. - Einer der großen Vorteile beim Arbeiten mit HoudahSpot
Das Programm bringt einen eigenen Tray mit auf das System, der sich aber auch wieder ausschalten lässt. Mit seiner Hilfe kann der Anwender seine Dateien mit eigenen Tags versehen und so besser ordnen und finden. - Setzt auch auf die Spotlight-Engine auf
Mit Tembo stellt Hersteller Houdah auch eine erweiterte Desktop-Suche in deutscher Sprache zur Verfügung, die dem Anwender sehr viel mehr Einstellungsmöglichkeiten bietet. - Klein, schnell und ohne Installation sofort bereit
The SearchMan ist so etwas wie der "kleine Flitzer unter den Desktop-Suchmaschinen. Die Oberfläche wird keinen Schönheitspreis gewinnen, erfüllt aber ihren Zweck. - Auch ohne Index schnell
Das Durchsachen eines großen Ordners läuft deutlich schneller ab, als dies mit der Windows-Suche möglich ist. Zudem kann danach in den Suchergebnissen weitergesucht werden. - Aber ein Index kann auch angelegt werden
Auch bei dieser Tätigkeit erwies sich die Anwendung TheSearchMan als extrem schnell und leistungsfähig. - Index aufbauen
Der Aufbau eines Index kann auch bei der freien Lite-Version von Copernic direkt vom Nutzer gesteuert werden. - Gut strukturierte und aufgeräumte Oberfläche
Auch ohne eine entsprechende Anleitung werden sich die meisten Nutzer bei Copernic Desktop Lite schnell zurechtfinden. - Einfache und sehr stringente Oberfläche
Alle Anwender, die lieber mit einer Oberfläche arbeiten, wie sie bis zu den XP-Systemen auf den Windows-Rechnern angeboten wurde, ist FileSearchEX die richtige Lösung. Leider steht sie nicht völlig kostenfrei zur Verfügung. - Gute Kombination
Die einfache zu handhabende Oberfläche wird durch gute und sehr schnell zur Verfügung stehende Suchergebnisse ergänzt. - Die Installation von HulbeeDesktop Free
Hier kann der Anwender entscheiden, wie er den Index anlegen lässt. Diese Aufgabe nimmt bei diesem Programm dann doch einige Zeit in Anspruch. - Trifft sicher nicht den Geschmack aller Anwender und ist im Firmenumfeld eher ungewöhnlich
Die Oberfläche von HulbeeDesktop Free ist im Comic-Stil gehalten. - Ungewöhnlich, aber durchaus praktisch
Durch direkte Auswahl der Begriffe aus der DataCloud auf der Oberfläche des Programms, lässt sich die Suche schnell erweitern oder auch einschränken.
Ein Nebenprodukt der Datenklassifizierung verdient eine besondere Erwähnung. Durch die intern erzielte Transparenz, welche Datenkategorien es gibt und die Zuordnung der Daten zu den Kategorien wird auch der jeweils aktuelle Speicherort der Daten festgestellt. Bekanntlich hat der Speicherort einen großen Einfluss darauf, wie gefährdet Daten sind, ob sie also zum Beispiel im gut geschützten Firmennetzwerk liegen oder auf dem leicht zu verlierenden Smartphone eines Mitarbeiters.
Es zeigt sich, dass die Anstrengungen, mehr Transparenz in die Datenhaltung zu bekommen, den Datenschutz gleich mehrfach optimieren kann: Daten werden lokalisiert, einer Kategorie zugeordnet und ihr Schutzbedarf wird bestimmt. Damit wird eine zentrale Basis für alle weiteren Datenschutzmaßnahmen gelegt. Ohne Datentransparenz geht es im Datenschutz nicht, auch wenn Transparenz zuerst nicht nach Datenschutz klingt. (sh)