Schutzbedarf aller Daten ermitteln
Datenschutz auch ohne Personenbezug
Zusätzlichen Schutz für mehr Informationen
Wenn beispielsweise die Leitung eines Unternehmens aus dem Bereich Elektrotechnik an zu schützende Daten denkt, kommen zuerst die Kundendaten in den Sinn. An zweiter Stelle der Überlegung rangieren meist die Mitarbeiterdaten, wobei an die Daten der eigenen Lieferanten schon weitaus weniger gedacht wird.
Die Datenverarbeitung eines solchen Unternehmens hat aber viele weitere wertvolle Informationen im Bestand, die neben den personenbezogenen Daten klassifiziert und dem Schutzbedarf entsprechend abgesichert werden müssen. Dies können Einkaufskonditionen bei Zulieferern sein, für die sich der eigene Wettbewerb durchaus interessieren könnte. Auch Konstruktionspläne für neue Produkte, die Planung des nächsten Messeauftritts, neue Forschungsergebnisse und die Resultate der internen Testabteilung dürften für Mitbewerber von hohem Interesse sein.
Alle Schutzvorgaben berücksichtigen
Der Schutz von Produktinformationen vor Wettbewerbsspionage sollte jeder Unternehmensleistung am Herzen liegen. Andere Informationen ohne direkten Personenbezug können einen erhöhten Schutzbedarf haben, weil sie Gegenstand eines Vertrages mit Kunden sind. Werden zum Beispiel Beratungsleistungen für einen Kunden erbracht, muss die Strategiepräsentation des Kunden ebenfalls besonders geschützt werden.
Abhängig von der jeweiligen Branche bestehen verschiedene Compliance-Vorgaben, die bei einem umfassenden Informationsschutz zu beachten sind. Dazu kann unter anderem gehören, dass bestimmte Nachweise manipulationssicher aufbewahrt und langfristig verfügbar sein müssen, auch wenn der Inhalt nicht vertraulich ist. Das können Protokolle zu bestimmten Maschinenabläufen sein, die aus Gründen der Qualitätssicherung vorgehalten werden müssen. Ohne jeden Personenbezug haben solche Protokolle dann einen erhöhten Schutzbedarf.
Ziel: Vollständiger Informationsschutz
So wichtig auch der Schutz personenbezogener Daten ist, der Informationsschutz geht über den reinen Datenschutz hinaus. Jedes Unternehmen sollte genau für sich prüfen, welche Daten keinem unbefugten Dritten zugänglich sein dürfen, welche Daten gegen Manipulationen geschützt sein müssen und welche Daten für eine definierte Zeit verfügbar sein müssen.
Die jeweiligen Fachbereiche sollten zusammen mit der IT-Abteilung den Bedarf an Vertraulichkeit, Verfügbarkeit und Integrität für alle
(sh)