Datenschutzklassifizierung - Schutzbedarfsfeststellung und Datenkategorien

Datenschutzklassifizierung ist der systematische Prozess, Informationen nach ihrem Schutzbedarf zu kategorisieren. Ohne Klassifizierung behandeln Unternehmen alle Daten gleich - entweder überprotektiert (teuer, unpraktisch) oder unterprotektiert (Risiko). Die Klassifizierung schafft die Basis für zielgenaue Schutzmaßnahmen.

Klassifizierungsmodelle

Standard-Klassifizierungsmodell (4 Stufen):

┌────────────────────────────────────────────────────────────────────────┐
│ Stufe           │ Beschreibung            │ Beispiele                  │
├────────────────────────────────────────────────────────────────────────┤
│ ÖFFENTLICH      │ Zur Veröffentlichung     │ Website, Pressemitteilung, │
│ (Public)        │ freigegeben             │ Marketingmaterial          │
├────────────────────────────────────────────────────────────────────────┤
│ INTERN          │ Nur für Mitarbeiter     │ Interne Richtlinien,       │
│ (Internal)      │ bestimmt                │ Handbücher, Organigramme   │
├────────────────────────────────────────────────────────────────────────┤
│ VERTRAULICH     │ Eingeschränkter         │ Kundendaten, Finanzdaten,  │
│ (Confidential)  │ Personenkreis           │ Verträge, HR-Daten         │
├────────────────────────────────────────────────────────────────────────┤
│ STRENG          │ Höchste Sensitivität,   │ Passworte, Schlüssel,      │
│ VERTRAULICH     │ Need-to-Know-Prinzip    │ M&A-Infos, Gesundheitsdaten│
│ (Restricted)    │                         │ strafrechtl. Relevanz      │
└────────────────────────────────────────────────────────────────────────┘

BSI Schutzbedarfsfeststellung (3 Kategorien):
  NORMAL:    Schaden begrenzt und überschaubar
  HOCH:      Schaden erheblich
  SEHR HOCH: Schaden katastrophal oder existenzbedrohend

DSGVO Datenkategorien (Artikel 9 - besondere Kategorien):
  → Gesundheitsdaten                (SEHR HOCH)
  → Biometrische Daten zur Identifikation (SEHR HOCH)
  → Genetische Daten               (SEHR HOCH)
  → Politische Meinungen           (HOCH)
  → Gewerkschaftszugehörigkeit     (HOCH)
  → Religiöse/weltanschauliche Überzeugungen (HOCH)
  → Sexuelle Orientierung          (HOCH)
  → Rassische/ethnische Herkunft   (HOCH)
  Strafrechtliche Daten (Artikel 10): Gesondertes Regime

Klassifizierungsprozess

Schrittweiser Klassifizierungsprozess:

Schritt 1: Dateninventar erstellen
  → Welche Daten existieren im Unternehmen?
  → Speicherorte: Dateiserver, Datenbanken, E-Mail, Cloud, Endpunkte
  → Tools: Microsoft Purview Data Discovery, Spirion, Varonis
  → Ergebnis: Datenkatalog mit Quelle, Format, Owner

Schritt 2: Klassifizierungskriterien definieren
  Für jede Datenkategorie bewerten:
  Vertraulichkeit: Was passiert bei unbefugter Offenlegung?
  Integrität:     Was passiert bei unberechtigter Änderung?
  Verfügbarkeit:  Was passiert bei Ausfall/Verlust?

  Schadensbewertung:
    Finanzieller Schaden → Quantifizieren (EUR)
    Reputationsschaden   → Bußgelder, Kundenverlust
    Rechtlicher Schaden  → Haftung, DSGVO-Bußgeld
    Operativer Schaden   → Betriebsausfall, Datenverlust

Schritt 3: Klassifizierung durchführen
  Automatisch (DLP/Discovery-Tools):
    → Regex-Regeln: IBAN, SWIFT, Sozialversicherungsnummer
    → KI-basiert: semantische Klassifizierung
    → Metadaten: Dateiformat, Erstellungsdatum, -ort

  Manuell (Ersteller-Verantwortung):
    → Klassifizierungslabel beim Erstellen zuweisen
    → E-Mail: Label-Plugin in Outlook/Gmail
    → Word/Excel: Information Protection Toolbar (Microsoft Purview)

Schritt 4: Labels anwenden
  → Sichtbar: Wasserzeichen, Kopf-/Fußzeile in Dokumenten
  → Metadaten: Unsichtbar im Datei-Header
  → E-Mail: "Betreff: [VERTRAULICH] Jahresabschluss 2025"
  → Teams/SharePoint: Site-Level Classification

Schritt 5: Schutzmaßnahmen ableiten
  Schutzklasse → TOM-Matrix:

  ÖFFENTLICH:
    Zugriff:      Ohne Einschränkung
    Verschl.:     Optional (HTTPS)
    Backup:       Standard
    Logging:      Minimal

  INTERN:
    Zugriff:      Nur Mitarbeiter (SSO/Entra ID)
    Verschl.:     In-Transit (TLS) + At-Rest optional
    Backup:       Täglich
    Logging:      Standard

  VERTRAULICH:
    Zugriff:      Need-to-Know, MFA Pflicht
    Verschl.:     At-Rest + In-Transit AES-256/TLS 1.3
    Backup:       Täglich, verschlüsselt
    Logging:      Vollständiges Audit Log
    DRM:          Optionales Information Rights Management

  STRENG VERTRAULICH:
    Zugriff:      Explizite Berechtigungsliste, 4-Augen-Prinzip
    Verschl.:     Starke Verschlüsselung, Key Management
    Backup:       Air-Gapped oder HSM
    Logging:      Alle Zugriffe, unveränderlich (WORM)
    DRM:          Pflicht (kein Copy/Print/Forward)
    Übertragung:  Nur verschlüsselt (nie unverschlüsselte E-Mail!)

Technische Umsetzung

Microsoft Purview Information Protection:

Sensitivity Labels konfigurieren (PowerShell):
  Install-Module -Name ExchangeOnlineManagement
  Connect-IPPSSession

  New-Label -Name "Streng Vertraulich" `
    -DisplayName "Streng Vertraulich" `
    -EncryptionEnabled $true `
    -EncryptionProtectionType "Template" `
    -ContentMarkingUpHeaderEnabled $true `
    -ContentMarkingUpHeaderText "STRENG VERTRAULICH - NUR FÜR INTERNE VERWENDUNG" `
    -WaterMarkingEnabled $true `
    -WaterMarkingText "VERTRAULICH"

Auto-Labeling Policy (erkennt automatisch):
  New-AutoSensitivityLabelPolicy `
    -Name "DSGVO-AutoLabel" `
    -Labels "Vertraulich" `
    -ExchangeLocation All `
    -Mode "TestWithoutNotifications"

  Klassifiziert automatisch:
  → E-Mails/Dokumente mit IBAN, Kreditkarten, SSN
  → E-Mails an externe Empfänger mit Finanzdaten

DLP-Policy ableiten (verhindert Exfiltration):
  → "Streng Vertraulich" Dateien dürfen nicht per E-Mail gesendet werden
  → USB-Block für "Vertraulich" und höher
  → Cloud Upload nur zu freigegebenen Diensten (SharePoint, Box)

---

Open-Source-Alternative (FOSS):
  Apache Atlas:    Daten-Governance und Metadaten-Katalog
  Apache Ranger:   Access Control + DLP für Hadoop/Spark
  OpenMetadata:    Moderner Data Catalog mit Klassifizierungs-Support

Governance und Rollen

Rollen in der Datenschutzklassifizierung:

Data Owner (Fachbereich):
  → Verantwortlich für Korrektheit der Klassifizierung
  → Genehmigt Ausnahmen und Zugriffe
  → Quartalsmäßige Review der Klassifizierungen

Data Custodian (IT):
  → Technische Umsetzung der Schutzmaßnahmen
  → Betrieb der DLP/IRM-Systeme
  → Zugriffsrechte umsetzen

Data Users (Mitarbeiter):
  → Klassifizierungen beim Erstellen vergeben
  → Klassifizierungen beim Empfang beachten
  → Incidents bei Fehlklassifizierung melden

DSGVO-Verantwortlicher (Datenschutzbeauftragter):
  → Aufsicht über personenbezogene Daten-Klassifizierung
  → Löschfristen pro Kategorie festlegen
  → Verarbeitungsverzeichnis pflegen (Art. 30)

ISO 27001 Anforderungen:
  A.5.12: Klassifizierung von Informationen
  A.5.13: Kennzeichnung von Informationen
  A.5.14: Informationsübermittlung
  A.8.10: Löschung von Informationen (Fristen!)