Ratgeber - Unterschiedliche Sensibilität personenbezogener Daten - Teil 1
Thomas Reisinger | 27.March 2020Artikelinhalt
"Alle sind gleich, aber manche sind gleicher als andere!" Wusste schon George Orwell vor langer Zeit. Dies ist der erste Teil einer kleinen Artikelreihe zum Thema "Sensible Daten". Ein kleiner Praxis-Ratgeber, wie Sie sich das Leben mit sensiblen Daten in Zeiten der DSGVO leichter machen.
Vor allem abseits der Daten besonderer Kategorien (Artikel 9 Daten), ist es sinnvoll feiner zu clustern und unterschiedliche Sensibilitätsstufen einzubauen.
Das Zitat "Alle sind gleich, aber manche sind gleicher als andere!" gilt auch innerhalb der DSGVO. Zwar schützt diese alle personenbezogene Daten, doch sind - und darüber herrscht Einigkeit - nicht alle Daten gleichermaßen schützenswert.
Innerhalb der DSGVO wird hier bereits eine grobe Klassifizierung zwischen (normalen) personenbezogenen Daten und Daten besonderer Kategorie vorgenommen:
Daten besonderer Kategorien (Artikel 9 & 10)
Letztere sind im Artikel 9 auch relativ genau definiert: Jedenfalls sensibel sind daher Daten aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen. Sowie weiters genetischen oder biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung. Faktisch ebenfalls darunter fallen Daten über strafrechtliche Verurteilungen nach Artikel 10 DSGVO.
Sonstige personenbezogene Daten
In der Praxis problematisch sind jedoch vor allem die "normalen" personenbezogenen Daten, da diese sehr, sehr weitläufig definiert sind. Umfasst sind nämlich alle Informationen mit denen eine betroffene Person identfiziert wird bzw identifiziert werden kann. Relativ unkritische Daten wie etwa Vor- und Nachnamen sind daher formell in derselben Kategorie wie etwa (potentiell) durchaus heikle Standort- oder Gehaltsdaten.
Dass die DSGVO hier zu pauschal denkt wird relativ schnell ersichtlich, wenn man das Ganze an Hand eines Databreach einmal durch spielt. Finden Sie es bedenklicher wenn Ihre E-Mailadresse oder aber bei die echte Adresse durchs Darknet geistert? Die berufliche Telefonnummer oder das eigene Gehalt öffentlich bekannt wird?
In praktischer Hinsicht sollte man daher nicht alle "normalen" personenbezogenen Daten gleich behandeln. Hinsichtlich der Frage wie man das machen könnte bietet sich beispielsweise ein Leitfaden der ENISA aus dem Jahr 2013 an. Obgleich die DSGVO als aktuelleres Dokument im Zweifel natürlich Vorrang genießt, so sollte man diesen Leitfaden nicht als völlig obsolet betrachten. Nach der ENISA-Guideline werden Daten - mit steigender Sensibilität - in folgende Kategorien eingeteilt:
1. "Einfache Daten" ("simple data")
Hierunter fallen "klassische" personenbezogene Daten wie etwa Kontaktdaten, Namen, Daten zum Lebenslauf, Geburtsdatum, Daten zum Ausbildungsstand, etc...
Zusammengefasst somit Daten die - wie alle personenbezogene Daten - natürlich geschützt gehören, deren Kritikalität jedoch nicht als allzu hoch einzustufen ist.
2. "Verhaltensdaten" ("behavioural data")
Gemeint sind hiermit Daten wie Browserverläufe, GPS-Standortdaten, Profile welche mittels Tracking-Mechanismen entstanden sind, Logging-Daten, usw...
Im Vergleich zu "einfachen" Daten ist hier bereits eine höhere Sensibilität gegeben, da diese Daten oftmals einen Rückschluss auf Gewohnheiten von Personen (Einkaufspräferenzen, Aufenthaltsorte, und dergleichen) zulassen.
3. "Finanzdaten" ("financial data")
Diese Kategorie dürfte relativ selbst erklärend sein. Gemeint sind hiermit vor allem Daten wie Rechnungen, Gehaltsdaten, Rechnungen, etc...
Aus Sicht der DSGVO handelt es sich hierbei nicht um Daten nach Artikel 9 (Daten besonderer Kategorie). In Anbetracht der meist sehr hohen Betroffenheit im Fall der Kompromittierung, empfiehlt es sich diese Daten oftmals genauso zu behandeln.
4. "Sensible Daten" ("Sensitive Data")
Hiermit sind letztlich Daten nach Artikel 9 DSGVO gemeint.
Diese Aufteilung von Datenkategorien ist natürlich weder zwingend noch universal einsetzbar. Jedes Unternehmen hat in seinem Datenschatz individuelle Kronjuwelen und sollte diese auch den Umständen entsprechend individuell schützen.
Einen praktischen Nutzen hat solch eine feingliedrigere Kategorisierung vor allem im Falle eines Databreachs, wenn sich die Frage nach der Meldepflicht an die Behörde aber auch an die betroffenen Personen stellt. Warum genau sich dieses Modell dann als nützlich erweist wird in einem seperaten Beitrag genauer aufgezeigt werden.
Links zum Artikel
ENISA Guideline für Databreach Bewertung
