Gratis
3. August 2017 - Klassifizierung von Daten

Das Schutzstufenkonzept im Datenschutz

Die technisch-organisatorischen Maßnahmen im Datenschutz müssen sich am Schutzbedarf der Daten orientieren. Nur das gewährleistet, dass die Maßnahmen angemessen sind. Der Schutzbedarf hängt unter anderem von der Datenkategorie ab. Um diese zu bestimmen, sind die sogenannten Schutzstufenkonzepte hilfreich.

Im Datenschutz müssen Sie Datenkategorien bestimmen Ein Schutzstufenkonzept hilft, technische und organisatorische Maßnahmen festzulegen (Bild: Jirsak / iStock / Thinkstock)

Geht es darum, die Sicherheit der Verarbeitung personenbezogener Daten zu garantieren, müssen geeignete technische und organisatorische Maßnahmen (TOMs) her, um ein Schutzniveau zu gewährleisten, das dem Risiko angemessen ist.

Dabei müssen Sie nach der Datenschutz-Grundverordnung (DSGVO / GDPR) folgende Punkte berücksichtigen:

  • Stand der Technik,
  • Implementierungskosten
  • Art, Umfang, Umstände und Zwecke der Verarbeitung
  • Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen

Besondere Kategorien personenbezogener Daten

Eine wichtige Rolle spielen dabei die Kategorien der Daten. Als besondere Kategorien personenbezogener Daten nennt die DSGVO personenbezogene Daten,

  • aus denen die rassische und ethnische Herkunft,
  • politische Meinungen,
  • religiöse oder weltanschauliche Überzeugungen oder
  • die Gewerkschaftszugehörigkeit hervorgehen,
  • sowie genetische Daten,
  • biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person,
  • Gesundheitsdaten und
  • Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

Sofern die Verarbeitung solcher Daten überhaupt zulässig ist, müssen Sie besondere Schutzmaßnahmen ergreifen.

Sicherheitsmaßnahmen richten sich nach Datenkategorie

Um die geeigneten technisch-organisatorischen Maßnahmen zu definieren, gilt es also auch, die Daten zu klassifizieren, sie in Datenkategorien einzustufen.

Datenkategorie bestimmt die Schutzstufe

Den Datenkategorien lassen sich dann Schutzstufen zuordnen. Mit einer Schutzstufe werden Daten / Datenkategorien einem Schadenspotenzial zugeordnet, also der Schwere der möglichen Folgen, wenn der Schutz der Daten unzureichend ist.

Verschiedene Schutzstufenkonzepte

Im Datenschutz gibt es verschiedene Modelle, die sich als Schutzstufenkonzept bewerten lassen oder die ein solches Konzept enthalten. Eine Übersicht dazu findet sich in der Arbeitshilfe.


Download: Übersicht über Schutzstufenkonzepte


Schutzstufenkonzepte alleine nicht ausreichend

So wichtig und hilfreich die Datenklassifizierung und die Schutzstufen auch sind, um den Schutzbedarf zu ermitteln und die technisch-organisatorischen Maßnahmen festzulegen – alleine reichen Schutzstufenkonzepte nicht aus, um ein Datensicherheitskonzept zu entwickeln.

Die Schutzstufe hilft „nur“ dabei, die Schwere des Risikos (Schadenspotenzial) zu bestimmen. Wie aber auch die DSGVO verlangt, müssen Sie die Eintrittswahrscheinlichkeit ebenso berücksichtigen.

Einem Risiko mit hohem Schadenspotenzial, aber sehr geringer Eintrittswahrscheinlichkeit ist anders zu begegnen, als einem Risiko mit mittlerem Schadenspotenzial, aber sehr hoher Eintrittswahrscheinlichkeit.

Deshalb sind Schutzstufenkonzepte ein wichtiger Baustein bei der Definition der TOMs, aber eben nur ein Baustein von mehreren.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker, Analyst und IT-Fachjournalist im Bereich IT-Sicherheit und Datenschutz.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln