In jedem Unternehmen laufen Tag für Tag massenhaft Informationen und Daten auf. Angefangen bei Kundendaten über Abrechnungen bis hin zu Personalakten. Bei der Frage, welche dieser Daten schützenswert sind, hadern die meisten Betriebe. Der Schwerpunkt liegt in der Regel auf personenbezogenen Daten. Doch auch viele andere Informationen sollten im Datenschutzkonzept berücksichtigt werden. Eine zu einseitige und damit begrenzte Sichtweise birgt Gefahren. Denn selbst Daten abseits der persönlichen Privatsphäre können in falschen Händen großen Schaden anrichten.
Was ist zum Beispiel mit den Konditionen beim Einkauf, Kundenpräsentationen, den Plänen für neue Produkte, Testergebnissen, Rezepturen oder einfach nur dem Aufbauplan für den nächsten Messetermin? Wie steht es hier um den Schutzbedarf? Für ein umfassendes Datenschutzkonzept müssen auch diese Fragen beantwortet werden. Es gilt, sämtliche Daten in Kategorien einzuteilen und anhand der Bestandsaufnahme die nötigen technisch-organisatorischen Schutzmaßnahmen zu ergreifen. Dafür ist eine Folgenabschätzung erforderlich, so wie sie in der geplanten EU-Datenschutz-Grundverordnung vorgesehen ist.
Die Aufgabe, den Datenbestand zu kategorisieren und den Schutzbedarf zu bestimmen, sollten die einzelnen Fachbereiche übernehmen. Experten sprechen in dem Zusammenhang von der Business-Sicht auf die Daten. Der Datenschutzbeauftragte kann dann anhand der Kategorien und der Einschätzung der Abteilungen ein Verfahrensverzeichnis erstellen. Darin fließt unter anderem die Vertraulichkeit der Daten ein. Der Vorteil dieser Vorgehensweise: Schützenswerte Informationen gewissermaßen „flächendeckend“ zu ermitteln, fördert die interne Transparenz. Zu wissen, wo Daten gespeichert sind, welcher Schutzbedarf besteht und welcher Kategorie sie zugehören, hilft, den Datenschutz zu optimieren.