Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat ChatGPT Checklisten EuGH HinSchG Homeoffice KI KRITIS Microsoft 365 Rechenschaftspflicht Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 11/24

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat ChatGPT Checklisten EuGH HinSchG Homeoffice KI KRITIS Microsoft 365 Rechenschaftspflicht Urteil Vorlagen
14. September 2023

Das Schutzstufenkonzept im Datenschutz

Das Schutzstufenkonzept im Datenschutz
Bild: Jirsak / iStock / Thinkstock
3,60 (5)
drucken
Inhalte in diesem Beitrag
Klassifizierung von Daten
Die technisch-organisatorischen Maßnahmen im Datenschutz müssen sich an der Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen und damit am Schutzbedarf der Daten orientieren. Der Schutzbedarf hängt u.a. von der Datenkategorie ab. Um diese zu bestimmen, helfen Schutzstufenkonzepte.

➧ Warum ein Schutzstufenkonzept?

Mit einer Schutzstufe werden Daten bzw. Datenkategorien einem Schadenspotenzial zugeordnet, also der Schwere der möglichen Folgen, wenn der Schutz der Daten unzureichend ist.

Wer also die Sicherheit der Verarbeitung personenbezogener Daten garantieren möchte, braucht geeignete technische und organisatorische Maßnahmen (TOMs) nach Artikel 32 Datenschutz-Grundverordnung (DSGVO), die dem Schadenspotenzial entspricht. Nur so lässt sich ein Schutzniveau gewährleisten, das dem Risiko angemessen ist.

Dabei müssen Sie nach der DSGVO folgende Punkte berücksichtigen:

  • Stand der Technik
  • Implementierungskosten
  • Art, Umfang, Umstände und Zwecke der Verarbeitung
  • Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen

Besondere Kategorien personenbezogener Daten

Eine wichtige Rolle spielen dabei die Kategorien der Daten. Als besondere Kategorien personenbezogener Daten nennt die DSGVO in Artikel 9 personenbezogene Daten,

  • aus denen die rassische und ethnische Herkunft,
  • politische Meinungen,
  • religiöse oder weltanschauliche Überzeugungen oder
  • die Gewerkschaftszugehörigkeit hervorgehen,
  • sowie genetische Daten,
  • biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person,
  • Gesundheitsdaten und
  • Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

Sofern die Verarbeitung solcher Daten überhaupt zulässig ist, müssen Sie besondere Schutzmaßnahmen ergreifen.

Sicherheitsmaßnahmen richten sich nach Datenkategorie

Um die geeigneten technisch-organisatorischen Maßnahmen zu definieren, gilt es also auch, die Daten zu klassifizieren, sie in Datenkategorien einzustufen.

Datenkategorie bestimmt die Schutzstufe

Den Datenkategorien lassen sich dann Schutzstufen zuordnen.

➧ Welche Schutzstufenkonzepte gibt es?

Im Datenschutz gibt es verschiedene Modelle, die sich als Schutzstufenkonzept bewerten lassen oder die ein solches Konzept enthalten, um personenbezogene Daten nach ihrem Schutzbedarf einzuordnen:

  • Besonders bekannt ist das Schutzstufenkonzept der Aufsichtsbehörde aus Niedersachsen mit fünf Schutzstufen.
  • Auch das Standard-Datenschutzmodell (SDM 3.0) der Aufsichtsbehörden nennt Stufen für den Schutzbedarf / Schutzstufen.
  • Das Bundesamt für Sicherheit in der Informationstechnik (BSI) nennt Schutzstufen in Verbindung mit der Einführung des IT-Grundschutzes, zu finden im BSI-Standard 200-2.

Schutzstufenkonzept der Datenschutzaufsicht Niedersachsen

Das Schutzstufenkonzept aus Niedersachsen geht von folgenden Stufen aus:

  • Stufe A: Personenbezogene Daten, die die betroffenen Personen frei zugänglich gemacht haben
  • Stufe B: Personenbezogene Daten, deren unsachgemäße Handhabung zwar keine besondere Beeinträchtigung erwarten lässt, die aber die betroffenen Personen nicht frei zugänglich gemacht haben
  • Stufe C: Personenbezogene Daten, deren unsachgemäße Handhabung eine betroffene Person in ihrer gesellschaftlichen Stellung oder in ihren wirtschaftlichen Verhältnissen beeinträchtigen könnte („Ansehen“)
  • Stufe D: Personenbezogene Daten, deren unsachgemäße Handhabung eine betroffene Person in ihrer gesellschaftlichen Stellung oder in ihren wirtschaftlichen Verhältnissen erheblich beeinträchtigen könnte („Existenz“)
  • Stufe E: Personenbezogene Daten, deren unsachgemäße Handhabung Gesundheit, Leben oder Freiheit der betroffenen Person beeinträchtigen könnte

Ein Beispiel: Zu Schutzstufe E gehören Daten über Personen, die mögliche Opfer einer strafbaren Handlung sein können. Werden diese Daten unzureichend geschützt, kann Gesundheit, Leben oder Freiheit der betroffenen Person gefährdet sein. Die Schwere der möglichen Folgen ist damit maximal und die zugehörige Schutzstufe am höchsten.

Das Standard-Datenschutzmodel

Nach dem Standard-Datenschutzmodell (SDM 3.0) ergibt sich der Schutzbedarf aus dem Risiko einer Verarbeitungstätigkeit, bevor ein Verantwortlicher technische und organisatorische Maßnahmen bestimmt und umgesetzt hat.

Insofern gilt der folgende Zusammenhang zwischen Risikohöhe, im Sinne eines Ausgangsrisikos, und Schutzbedarfsstufe:

  • kein oder geringes Risiko der Verarbeitung: normaler Schutzbedarf für von der Verarbeitung betroffene Personen
  • normales Risiko der Verarbeitung: normaler Schutzbedarf für von der Verarbeitung betroffene Personen
  • hohes Risiko der Verarbeitung: hoher Schutzbedarf für von der Verarbeitung betroffene Personen

➧ Reicht allein ein Schutzstufenkonzept?

So wichtig und hilfreich die Datenklassifizierung und die Schutzstufen auch sind, um den Schutzbedarf zu ermitteln und die technisch-organisatorischen Maßnahmen festzulegen: Allein reichen Schutzstufenkonzepte nicht aus, um ein Datensicherheitskonzept zu entwickeln.

Die Schutzstufe hilft „nur“ dabei, die Schwere des Risikos (Schadenspotenzial) zu bestimmen. Wie die DSGVO verlangt, müssen Sie aber ebenso die Eintrittswahrscheinlichkeit berücksichtigen.

Einem Risiko mit hohem Schadenspotenzial, aber sehr geringer Eintrittswahrscheinlichkeit ist anders zu begegnen, als einem Risiko mit mittlerem Schadenspotenzial, aber sehr hoher Eintrittswahrscheinlichkeit.

Deshalb sind Schutzstufenkonzepte ein wichtiger Baustein bei der Definition der TOMs. Aber eben nur ein Baustein von mehreren.

Oliver Schonschek

Oliver Schonschek
zu den Kommentaren
Wie nützlich war dieser Beitrag für Sie?
Jetzt teilen:
drucken
Verfasst von
Oliver Schonschek
Oliver Schonschek
Oliver Schonschek ist freiberuflicher News Analyst, Journalist und Kommentator, der sich auf Sicherheit, Datenschutz und Compliance spezialisiert hat. Er schreibt für führende Medien, ist Herausgeber und Autor mehrerer Lehrbücher.
Verwandte Beiträge
21. November 2024
DP+
Wenn Krankenhäuser mit externen Dienstleistern zusammenarbeiten, um personenbezogene Daten verarbeiten zu lassen, wirft das Fragen im Bereich Datenschutz auf. Die DSGVO erlaubt zwar die externe Verarbeitung von Patientendaten, verlangt aber besondere Schutzvorkehrungen.
Bild: iStock.com/metamorworks

Auftragsverarbeitung von Patientendaten

Ratgeber
Checklisten
21. November 2024
DP+
Kanban ist eine Arbeitsmanagementmethode, die dabei hilft, Abläufe in Organisationseinheiten effektiv zu steuern, anzupassen und zu optimieren. Der Datenschutz darf bei der Ntzung von Kanban-Boards jedoch nicht außer Acht gelassen werden.
Bild: iStock.com/AndreyPopov

Datenschutz bei Kanban-Boards

Ratgeber
Checklisten
21. November 2024
DP+
VerIm Gegensatz zu anderen Datenschutzmanagement-Methoden liegt der Fokus beim Standard-Datenschutzmodell ausschließlich auf Verarbeitungstätigkeiten
Bild: iStock.com/ipuwadol

Das Standard-Datenschutzmodell in der Praxis (Teil 1)

Praxisbericht
20. November 2024
DP+
Es besteht die reale Gefahr, dass Angreifer KI-Algorithmen und Trainingsdaten manipulieren, so die EU-Agentur für Cybersicherheit
Bild: iStock.com/FotografieLink

KI als doppeltes Datenrisiko

Ratgeber
Cybersicherheit KI
20. November 2024
DP+
Ziel der KI-Verordnung ist es, Risiken der Künstlichen Intelligenz mit einem sektorübergreifenden, risikobasierten und menschzentrierten Ansatz zu reduzieren
Bild: iStock.com/style-photography

KI-VO: Das müssen Datenschutzbeauftragte wissen

Ratgeber
EuGH KI
weitere Beiträge laden
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.