Sensible Daten sind alle Informationen, die aufgrund ihres vertraulichen, persönlichen oder finanziellen Charakters und des Schadens, der entstehen könnte, wenn sie offengelegt, missbraucht oder ohne Befugnis bzw. unter Verletzung gesetzlicher oder regulatorischer Anforderungen veröffentlicht werden, geschützt werden müssen.
Überblick über sensible Daten
Zu den sensiblen Daten gehören verschiedene Informationskategorien, die jeweils eigene Anforderungen an Datenschutz und -sicherheit stellen. Der Schutz sensibler Daten ist für Einzelpersonen, Unternehmen und Regierungen wichtig, um Datenverletzungen, Identitätsdiebstahl, finanzielle Verluste oder die Rufschädigung einer Person oder eines Unternehmens zu verhindern.
Was ist der Unterschied zwischen personenbezogenen Daten und sensiblen Daten?
Die Begriffe „personenbezogene Daten“ und „sensible Daten“ fallen häufig im Zusammenhang mit Privatsphäre und Datenschutz (und werden auch teilweise falsch verwendet). Obwohl sie miteinander verwandt sind und sich gelegentlich überschneiden, beziehen sich diese Begriffe auf unterschiedliche Informationskategorien, welche Auswirkungen darauf haben, wie Daten verarbeitet und geschützt werden. Es ist wichtig zu beachten, dass zwar alle sensiblen Daten personenbezogene Daten sind, aber nicht alle personenbezogenen Daten als sensible Daten eingestuft werden.
| Personenbezogene Daten | Sensible Daten |
|---|---|
| Personenbezogene Daten umfassen alle Informationen, die sich auf eine identifizierbare Person beziehen. Eine Person gilt als identifizierbar, wenn sie direkt oder indirekt identifiziert werden kann. Das Hauptmerkmal personenbezogener Daten ist ihre Fähigkeit, eine Person zu identifizieren – entweder allein oder in Kombination mit anderen Informationen. | Sensible Daten, die in Verordnungen wie der Datenschutz-Grundverordnung (DSGVO) auch als Daten besonderer Kategorien bezeichnet werden, umfassen Informationen, die bei unbefugter Offenlegung Schaden anrichten können, einschließlich der Verletzung der Privatsphäre, der Rechte, der Würde und der Freiheiten einer Person. Daher unterliegen sensible Daten strengeren Verarbeitungsbedingungen und erfordern ein höheres Schutzniveau. |
Sensible Daten, Datensicherheit und Datenverletzungen
Sensible Daten erfordern einen besonderen Schutz, um Datenverletzungen zu verhindern, die sich insbesondere bei Nichteinhaltung der gesetzlichen Vorschriften negativ auswirken können. Die Handhabung und Verarbeitung sensibler Daten unterliegt strengen gesetzlichen und behördlichen Anforderungen, die auf den Schutz der Rechte und der Privatsphäre des Einzelnen abzielen.
Datensicherheitsmaßnahmen gewährleisten die Vertraulichkeit, Integrität und Verfügbarkeit sensibler Daten.
Zu den gängigen Datensicherheitslösungen gehören Zugriffskontrollen, Verschlüsselung, Netzwerksicherheit, Planung von Reaktionen auf Datenverletzungen und Mitarbeiterschulungen.
Sensible Daten, Datenklassifizierung und Datenschutz
Die Klassifizierung von Daten ist für einen wirksamen Datenschutz von entscheidender Bedeutung. Durch die Klassifizierung sensibler Daten wird sichergestellt, dass Unternehmen ihre Datenbestände sicher verwalten, Datenschutzbestimmungen einhalten und die Persönlichkeitsrechte von Personen schützen, indem sie Informationen mit entsprechenden Kontrollen verknüpfen.
Bei der Datenklassifizierung werden Daten in Kategorien eingeteilt, welche ihre Verwaltung und den Datenschutz erleichtern, da die Daten entsprechend ihrer Vertraulichkeitsstufe, der gesetzlichen Anforderungen und ihres Werts gekennzeichnet werden. In der Regel werden Daten in Kategorien wie öffentlich, nur für den internen Gebrauch, vertraulich und streng vertraulich eingeteilt, wobei sensible Daten häufig in die letztgenannten Kategorien fallen.
Die Datenklassifizierung ermöglicht:
- Eine bessere Zugriffskontrolle, indem der Zugriff auf sensible Daten auf autorisierte Benutzer beschränkt wird.
- Compliance durch Anpassung der Verarbeitung von sensiblen Daten an gesetzliche und behördliche Anforderungen.
- Risikomanagement durch Identifizierung sensibler Daten und der potenziellen Risiken, die mit ihrer Offenlegung verbunden sind, damit Unternehmen Sicherheitsmaßnahmen priorisieren können, um Risiken zu minimieren.
Arten von sensiblen Daten
Nachfolgend finden Sie einige Kategorien sensibler Daten.
Gesundheitsdaten und medizinische Informationen
Gesundheitsdaten und medizinische Informationen betreffen das Wohlbefinden und die Privatsphäre einer Person. Durch unbefugten Zugriff wird nicht nur die Privatsphäre einer Person verletzt, sondern er kann auch für Versicherungsbetrug genutzt werden.
Beispiele für Gesundheitsdaten und medizinische Informationen, die als sensible Daten eingestuft werden, sind:
- Biometrische Daten (z. B. Fingerabdrücke, DNA oder Retina-Scans)
- Genetische Daten
- Krankenversicherungsnummern
- Informationen über körperliche oder psychische Erkrankungen
- Krankengeschichte
- Zahlung für Gesundheitsversorgung
- Informationen über Verschreibungen
- Informationen über Behandlungen und Diagnosen
Finanzinformationen
Da der unbefugte Zugriff auf Finanzinformationen zu Betrug und finanziellen Verlusten führen kann, werden sie als sensible Daten eingestuft. Beispiele für Finanzinformationen, die als sensible Daten eingestuft werden, sind:
- Kontodaten
- Kontonummern und Bankleitzahl
- Kreditkartennummern
- Kreditauskünfte und Bonitätsbewertungen
- Debitkartendaten
- Investitionsunterlagen
- Zahlungsgeschichte
- Steuererklärungen und zugehörige Identifikatoren
Geistiges Eigentum und Geschäftsgeheimnisse
Geistiges Eigentum und Geschäftsgeheimnisse sind Daten, die sich auf das firmeneigene Wissen eines Unternehmens beziehen und die bei unbefugtem Zugriff zu Wettbewerbsnachteilen und finanziellen Verlusten führen können. Beispiele für diese Kategorie sensibler Daten sind:
- Vertragsdaten
- Unternehmensdaten
- Finanzprognosen und -berichte
- Interne Prüfberichte
- Unternehmenspläne und -strategien
- Patentdaten
- Firmeninterne Forschung
- Forschungs- und Entwicklungsdaten
- Geschäftsgeheimnisse
- Unveröffentlichte Patentanmeldungen
Informationen zur nationalen Sicherheit
Beispiele für Informationen zur nationalen Sicherheit, die als sensible Daten gelten, sind Informationen, die bei Offenlegung potenziell die Sicherheit und Interessen eines Landes gefährden könnten, wie:
- Maßnahmen zur Terrorismusbekämpfung
- Abwehrmaßnahmen im Bereich Cybersicherheit, Schwachstellen, Reaktionspläne auf Vorfälle und Cyberoperationen
- Daten über kritische Infrastruktur
- Diplomatische Kommunikation
- Informationen zur wirtschaftlichen Sicherheit
- Kontinuitätspläne der Regierung
- Militärische Pläne
Rechts- und Ermittlungsdaten
Informationen, die Teil von Gerichtsverfahren oder Ermittlungen sind, gelten als sensible Daten. Zu dieser Art von sensiblen Daten gehören:
- Ergebnisse von Hintergrundüberprüfungen
- Bestimmte Gerichtsdokumente
- Strafregister
- Informationen zu polizeilichen Ermittlungen
- Informationen zu Rechtsstreitigkeiten und Gerichtsverfahren
- Persönliche Rechtsangelegenheiten
Bildungsunterlagen
Bildungsunterlagen sind sensible Daten, die personenbezogene Daten über Minderjährige und junge Erwachsene in Bildungseinrichtungen enthalten. Beispiele für Bildungsunterlagen, die als sensible Daten eingestuft werden, sind:
- Aufnahmeanträge
- Disziplinarakten
- Einschreibungen
- Informationen über finanzielle Unterstützung
- Noten
- Matrikelnummern
- Transkripte
Beschäftigungsunterlagen
Beschäftigungsunterlagen enthalten personenbezogene Daten im Zusammenhang mit der Beschäftigung, die persönlicher Natur sind und die Gefahr des Missbrauchs bergen, was zu Diskriminierung oder Belästigung am Arbeitsplatz führen und sich auf den persönlichen und beruflichen Ruf und die Beziehungen auswirken könnte. Beispiele für Beschäftigungsunterlagen, die als sensible Daten gelten, sind:
- Informationen über Hintergrundüberprüfungen
- Disziplinarakten
- Beruflicher Werdegang
- Leistungsbewertungen
- Persönliche Dokumente, die für Personalzwecke eingereicht werden
- Gehalts- und Lohnbuchhaltungsdaten
- Vorfälle am Arbeitsplatz
Von der Regierung ausgegebene Identifikationsnummern
Von der Regierung ausgegebene Identifikationsnummern dienen als offizielle Identifikatoren und sind hochsensibel, da sie für illegale Aktivitäten missbraucht werden können. Einige Beispiele für von der Regierung ausgegebene Identifikationsnummern, die als sensible Daten gelten, sind:
- Führerscheinnummer
- Nationale Identifikationsnummer (NIN)
- Reisepassnummer
- Sozialversicherungsnummer
- Wählerverzeichnis
Sensible personenbezogene Daten
Sensible personenbezogene Daten sind eine Untergruppe personenbezogener Daten, die Folgendes umfassen:
- Daten über das Sexualleben oder die sexuelle Orientierung
- Politische Meinungen
- Rasse oder ethnische Herkunft
- Religiöse oder philosophische Überzeugungen
- Gewerkschaftsmitgliedschaft
Sensible Daten und Datenschutzbestimmungen
Viele Datenschutzbestimmungen schreiben den Schutz sensibler Daten vor. Diese Datenschutzbestimmungen sind gesetzliche Rahmenbedingungen, die die Persönlichkeitsrechte von Einzelpersonen schützen und die verantwortungsvolle Erhebung, Verarbeitung, Speicherung und Weitergabe personenbezogener und sensibler Daten sicherstellen.
Datenschutzbestimmungen legen detaillierte Anforderungen für Unternehmen fest, die sensible Daten verarbeiten.
Zu den wichtigsten enthaltenen Bereichen gehören die Einwilligung in die Erhebung sensibler Daten, Datenschutzmaßnahmen, Benachrichtigungen bei Verstößen und das Recht der Einzelperson an ihren Daten.
Regierungen auf der ganzen Welt haben strenge Datenschutzgesetze eingeführt, um sensible Daten zu schützen und die Privatsphäre von Einzelpersonen zu wahren. Unternehmen, die sensible Daten verarbeiten, müssen diese Vorschriften sowie die laufenden Aktualisierungen und Ergänzungen der Datenschutzgesetze kennen, um die Compliance zu gewährleisten, das Vertrauen der Kunden zu wahren und mögliche rechtliche und finanzielle Konsequenzen zu vermeiden.
Im Folgenden finden Sie Beispiele für die vielen globalen Datenschutzgesetze, die den Schutz sensibler Daten vorschreiben. Jedes dieser Datenschutzgesetze (und viele andere) sehen strenge Strafen bei Nichteinhaltung vor.
Die Datenschutz-Grundverordnung der Europäischen Union (EU)
Die DSGVO ist ein umfassendes Datenschutzgesetz, das strenge Regeln für die Erhebung, Speicherung und Verarbeitung der personenbezogenen Daten aller in der EU ansässigen Personen vorschreibt. Sie gibt Einzelpersonen weitreichende Kontrolle über ihre personenbezogenen Daten, einschließlich des Rechts auf Zugriff, Berichtigung und Löschung ihrer Daten.
Health Insurance Portability and Accountability Act (HIPAA)
Dieses US-amerikanische Bundesgesetz schreibt Datenschutz- und Sicherheitsmaßnahmen zum Schutz von medizinischen und Gesundheitsakten vor. Alle Gesundheitsdienstleister, Krankenversicherungen und Gesundheitskassen in den USA sind verpflichtet, den HIPAA einzuhalten.
Personal Information Protection and Electronic Documents (PIPEDA)
PIPEDA ist ein kanadisches Gesetz, das Datenschutzstandards für die Verwaltung von personenbezogenen Daten durch Unternehmen im privaten Sektor festlegt. Es legt den Schwerpunkt auf die Einwilligung, begrenzt die Datenerhebung und gewährleistet Transparenz bei der Verarbeitung von personenbezogenen und sensiblen Daten.
California Consumer Privacy Act (CCPA)
Dieses kalifornische Gesetz stärkt die Datenschutzrechte und den Verbraucherschutz für Einwohner des Bundesstaates. Es gibt Einwohnern Kaliforniens das Recht, über die über sie gesammelten personenbezogenen Daten informiert zu werden, das Recht, personenbezogene Daten löschen zu lassen, und das Recht, dem Verkauf ihrer personenbezogenen Daten zu widersprechen.
Best Practices für den Umgang mit sensiblen Daten
Die spezifischen Ansätze zum Schutz sensibler Daten variieren je nach Unternehmen, Art der verarbeiteten Informationen und deren Verwendung. Die folgenden Best Practices bieten einen Überblick über einige der vielen Taktiken, die üblicherweise zum Schutz sensibler Informationen vor unbefugtem Zugriff angewandt werden.
Datenermittlung und -klassifizierung
Der erste Schritt zur Umsetzung wirksamer Datenschutzmaßnahmen besteht darin, Daten basierend auf ihrer Sensibilität und ihres Werts zu identifizieren und zu klassifizieren. Dieser Prozess hilft zu verstehen, welche sensiblen Daten es im Unternehmen gibt, wo sie sich befinden und wie sie verwendet werden. Basierend darauf können gezielte Sicherheitsstrategien formuliert werden.
Zugriffskontrolle und geringste Privilegien
Der Zugriff auf sensible Daten sollte streng kontrolliert werden, um sicherzustellen, dass nur autorisiertes Personal bei der Ausführung seiner Aufgaben und Verantwortlichkeiten Zugriff hat. Durch die Anwendung des Prinzips der geringsten Privilegien wird das Risiko eines unbefugten Zugriffs minimiert, da der Benutzerzugriff auf das zur Erfüllung seiner Aufgaben erforderliche Minimum beschränkt wird.
Schutz vor Malware
Zum Schutz vor verschiedenen Arten von Malware, die sensible Daten gefährden könnten, sollten umfassende Anti-Malware-Lösungen eingesetzt werden. Sie umfassen die Automatisierung regelmäßiger Systemaktualisierungen und Malware-Scans, um neu auftretende Bedrohungen zu erkennen und zu neutralisieren.
Datenverschlüsselung
Alle sensiblen Daten sollten sowohl im Ruhezustand als auch während der Übertragung verschlüsselt werden – unabhängig davon, wo sie gespeichert sind oder wie sie übertragen werden. Selbst wenn Daten abgefangen oder gehackt werden, können sie durch Verschlüsselung für Unbefugte unlesbar gemacht werden.
Datenmaskierung
Bei der Anzeige von Daten zu Test- oder Entwicklungszwecken werden sensible Daten durch Datenmaskierung ausgeblendet, um sicherzustellen, dass Entwickler oder Tester keinen Zugriff auf echte Daten haben. So können sensible Daten bei Überprüfungen nicht versehentlich offengelegt werden.
Datenminimierung
Unternehmen sollten nur jene Daten sammeln, die für den angegebenen Zweck erforderlich sind, und die Aufbewahrungsfristen für Daten begrenzen. Dadurch werden das Risiko und die Auswirkungen von Datenverletzungen verringert.
Mitarbeiterschulung und -sensibilisierung
Menschliches Versagen ist eine häufige Ursache für Datenverletzungen. Regelmäßige Schulungsprogramme können dieses Risiko erheblich verringern, indem sie das Bewusstsein der Mitarbeiter für Best Practices im Bereich der Datensicherheit, das Erkennen von Phishing-Versuchen und den sicheren Umgang mit sensiblen Daten schärfen.
Die Reaktion auf Datenverletzungen vorher planen
Ein klar definierter Plan zur Reaktion auf Datenverletzungen stellt sicher, dass das Unternehmen schnell und effektiv auf Datenschutzverletzungen reagieren kann, um Schäden zu minimieren und den Betrieb so schnell wie möglich wiederherzustellen. Pläne zur Reaktion auf Datenverletzungen sollten regelmäßig getestet und aktualisiert werden, um sicherzustellen, dass alle Aspekte optimiert wurden und alle Beteiligten ihre Rolle verstehen.
Sicherheitsprüfungen und Überwachung
Die Durchführung regelmäßiger Audits und die kontinuierliche Überwachung von Systemen und Netzwerken helfen dabei, Schwachstellen, unbefugte Zugriffsversuche und andere Sicherheitsbedrohungen proaktiv zu erkennen. Dies ermöglicht eine schnelle und effektive Reaktion und Schadensbegrenzung.
FAQ zu sensiblen Daten
Hier finden Sie Antworten auf einige häufig gestellte Fragen zu sensiblen Daten.
Was gilt als sensible Daten?
Zu den sensiblen Daten gehören alle Informationen, die, wenn sie offengelegt werden, einer Person oder einem Unternehmen Schaden zufügen könnten. Dazu gehören personenbezogene Daten, Bildungsunterlagen, Beschäftigungsunterlagen, Finanzinformationen, von der Regierung ausgegebene Identifikationsnummern, Gesundheitsdaten und medizinische Informationen, geistiges Eigentum und Geschäftsgeheimnisse, Rechts- und Ermittlungsdaten, Informationen zur nationalen Sicherheit und sensible personenbezogene Daten.
Wie sollten sensible Daten gespeichert werden?
Sensible Daten sollten sowohl im Ruhezustand als auch während der Übertragung gut verschlüsselt gespeichert werden. Der Zugriff sollte nur autorisierten Benutzern mit einem bestimmten Bedarf (d. h. geringste Privilegien), vorbehalten sein, wobei strenge Authentifizierungs- und Zugriffskontrollmaßnahmen anzuwenden sind. Darüber hinaus sollten Unternehmen sicherstellen, dass Speicherlösungen den einschlägigen Datenschutzanforderungen entsprechen.
Wie können sensible Daten in einem Unternehmen identifiziert werden?
Unternehmen können sensible Daten durch Datenerkennungs- und Klassifizierungsprozesse identifizieren. Dazu werden Apps, Speichersysteme und Datenbanken gescannt, um sensible Daten zu finden und sie dann auf der Grundlage ihres Sensibilitätsgrads und der erforderlichen Schutzmaßnahmen zu klassifizieren.
Wie können sensible Daten sicher entsorgt oder gelöscht werden?
Sichere Entsorgungsmethoden unterscheiden sich je nach Art der Daten. Für physische Aufzeichnungen wird eine sichere Vernichtung oder Zerstörung empfohlen. Für elektronische Daten verwenden Sie eine kryptografische Löschung oder physische Zerstörung von Speichermedien in Übereinstimmung mit den gesetzlichen Anforderungen und Branchenstandards.
Wer ist für die Verwaltung von sensiblen Daten in einem Unternehmen verantwortlich?
Während bestimmte Rollen wie Datenschutzbeauftragte oder IT-Sicherheitsteams direkt für die Verwaltung sensibler Daten verantwortlich sind, ist der Schutz sensibler Daten eine gemeinsame Verantwortung, die die Wachsamkeit und Unterstützung aller Personen im Unternehmen erfordert, die diese Daten verarbeiten oder auf sie zugreifen.
Wie oft sollten Richtlinien für sensible Daten überprüft und aktualisiert werden?
Richtlinien für sensible Daten sollten regelmäßig, mindestens einmal jährlich, oder bei wesentlichen Änderungen der Datenverarbeitungsaktivitäten, der rechtlichen Anforderungen oder der IT-Umgebung des Unternehmens überprüft und aktualisiert werden.
Sensible Daten unterliegen strengen Regeln und sollten im Fokus jedes Unternehmen stehen
Der Schutz sensibler Daten erfordert die Umsetzung solider Sicherheitsmaßnahmen und die Einhaltung komplexer regulatorischer Anforderungen. Unternehmen und Einzelpersonen müssen wachsam sein, wenn es um den Schutz sensibler Daten geht. Besondere Aufmerksamkeit ist erforderlich, um den Umgang mit sensiblen Daten so zu gestalten, dass die Privatsphäre und die Sicherheit gewährleistet sind, Verstöße verhindert werden und die Compliance sichergestellt ist.
