DsiN-Blog

Der IT-Sicher­heitsblog für den Mittelstand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abonnieren:

Daten­trä­ger­ent­sorgung in Unternehmen

Unter­nehmen haben jeden Tag mit ver­trau­lichen Daten und Unter­lagen  (z.B. Kunden- oder Lie­fe­ran­ten­daten) zu tun. Was tun im Falle der Ent­sorgung von Unterlagen/Dokumenten, die nicht mehr benötigt werden?

Gesetz­liche Vorschriften/Richtlinien
Ori­en­tierung für die Unter­nehmen, worauf zu achten ist bei der Vernichtung/Entsorgung von ver­trau­lichen Unter­lagen bietet für die Pri­vat­wirt­schaft das Bun­des­da­ten­schutz­gesetz. Im August 2009 wurde auf euro­päi­scher Ebene eine Norm (in Deutschland: DIN EN 1573 „Sichere Ver­nichtung von ver­trau­lichen Unter­lagen-Ver­­­fah­­ren­s­­regeln“) ver­ab­schiedet, die die Anfor­de­rungen an die ord­nungs­gemäße Ver­nichtung und not­wen­diger Geräte (z.B. Akten­ver­nichter) regelt. 

Klas­si­fi­zierung nach Schutzklassen
Vor der Ver­nichtung von Daten und Unter­lagen muss man sich zunächst klar werden, um welche Klasse von schutz­wür­digen Daten es sich handelt, damit dann genau ein­ge­ordnet werden kann, welche Form und welches Gerät der Ver­nichtung zu wählen ist.

  • Schutz­klasse 1: nor­maler Schutz­bedarf (z.B. Tele­fon­listen, Notizen etc.)
  • Schutz­klasse 2: Hoher Schutz (z.B. Per­­sonal- und Finanzdaten)
  • Schutz­klasse 3: sehr hoher Schutz­bedarf (z.B. Daten, die zu einer Gefahr für Leib und Leben führen können, wenn sie in falsche Hände geraten)

Die nächste Unterscheidung/Zuordnung für die Ein­ordnung von schutz­wür­digen Daten und Unter­lagen sind die sogenannten…

Sicher­heits­stufen

  • Sicher­heits­stufe 1: All­ge­meine Daten (z.B. Papiere und Filme, optische und magne­tische Daten­träger, Festplatten)
  • Sicher­heits­stufe 2: Interne Daten (z.B. Aus­hänge und Formulare)
  • Sicher­heits­stufe 3: Sen­sible Daten (Unter­lagen mit ver­trau­lichen Daten, wie sie in jedem Unter­nehmen und jeder Behörde anfallen)
  • Sicher­heits­stufe 4: (z.B. Gehalts­ab­rech­nungen, Personaldaten)
  • Sicher­heits­stufe 5: Geheim zu hal­tende Daten (z.B. exis­ten­tielle Sicherheit)
  • Sicher­heits­stufe 6: Geheime Hoch­si­cher­heits­daten (z.B. geheim­dienst­liche und mili­tä­rische Bereiche)
  • Sicher­heits­stufe 7: Top Secret Hoch­si­cher­heits­daten (strengstens  geheim­zu­hal­tende Daten mit höchsten Sicherheitsvorkehrungen)

Zuordnung von Schutz­klassen mit Sicherheitsstufen
Innerhalb der Unter­nehmen muss sich nun z.B. der Daten­schutz­be­auf­tragte Gedanken machen, welche Unterlagen/Daten welchen Schutz­klassen mit welcher Sicher­heits­stufe zuzu­ordnen sind.
Dies kann er mit Hilfe einer Matrix, unter Beachtung der gesetz­lichen Rah­men­be­din­gungen und Vor­schriften,  tun und dies dann auch innerhalb des Unter­nehmens ent­spre­chend kom­mu­ni­zieren und auf Ein­haltung achten.
Auch hier helfen die jewei­ligen gesetz­lichen Vor­schriften im Bay­ri­schen- oder Landes- oder Bun­des­da­ten­schutz­gesetz weiter.

Ebenso liegt eine Infor­ma­ti­ons­schrift des Bay­ri­schen Lan­des­be­auf­tragten für den Daten­schutz vor.
 

Fazit:
Prüfen sie innerhalb des Unter­nehmens welche Daten und welche Unter­lagen ver­wendet werden, welche Schutz­klassen und Sicher­heits­stufen ein­zu­ordnen sind und wie eine gesetzlich vor­ge­schriebene Vernichtung/Entsorgung fest­zu­legen ist. Bestimmen sie in ihrem Unter­nehmen einen Daten­schutz­be­auf­tragten, der sich um diese The­matik kümmert, dies ent­spre­chend kom­mu­ni­ziert und auf Umsetzung achtet. Aber…als Unter­nehmer haben sie die Ver­ant­wortung, dass gesetz­liche Rahmenbedingungen/Vorschriften/Regelungen in Ihrem Unter­nehmen eingehalten/beachtet werden. Dele­gieren dieser Aufgabe ent­bindet Sie nicht Ihrer Verantwortung.

Weitere Infor­ma­tionen zum Thema finden sie auch hier
 

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Joachim Vogel, DATEV eG

Dipl. Betriebswirt (FH)

Studium der Betriebs­wirt­schaft im Schwer­punkt Marketing
Erfah­rungen in der Pro­gram­mier­sprache RPGII

Aufbau einer EDV-Ver­triebs-Abteilung in einem großen Ver­si­che­rungs­konzern (Ver­ant­wortlich für die techn. Infra­struktur in den Filialdirektionen/Disposition und Instal­lation der EDV)

Seit 1989 bei DATEV eG in Nürnberg tätig. Pro­jekt­leitung “esecure bei Behörden und Insti­tu­tionen”; techn. Know-how im TK-Management (Cloud-Lösungen; Beratung und Instal­lation von Tele­kom­mu­ni­ka­tions-Lösungen in Steu­er­kanz­leien; Koordinator/Ansprechpartner bei techn. Tele­kom­mu­ni­ka­ti­ons­an­fragen); Zer­ti­fi­zierung nach ITIL

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.