Dieses Dokument ist verbindlich für alle Empfänger von vertraulichen Informationen aus der AGR Gruppe (AGR).
Innerhalb der AGR werden verschiedene Arten von Informationen verarbeitet.
Diese unterschiedlichen Informationsarten haben jeweils einen unterschiedlichen Schutzbedarf und werden entsprechend klassifiziert.
Mittels dieser Kurzfassung der Klassifizierungsrichtlinie werden die verschiedenen Arten von Informationen und der sichere Umgang mit diesen Informationen durch den verantwortlichen Empfänger beschrieben.
Das "Need-To-Know"-Prinzip (Kenntnis nur wenn nötig) ist zu beachten.
Das bedeutet, dass schützenswerte Informationen nur dem zugänglich gemacht werden dürfen, der sie zur Erfüllung der ihm übertragenen Aufgabe benötigt.
Aufgrund der Schutzwürdigkeit von Informationen werden folgende drei Kategorien definiert:
trifft nur auf solche Informationen zu, die außerhalb der AGR frei zugänglich sind und daher keinen speziellen Schutz erfordern.
Hierbei handelt es sich um Informationen, deren Modifizierung, Verlust oder Missbrauch keine besondere Beeinträchtigung erwarten lässt oder bei deren Einsicht die AGR bzw. deren Mitarbeiter kein berechtigtes Interesse nachweisen müssen, deren Offenlegung wenig oder keinen Einfluss hat.
Dies sind z.B. öffentlich zugängliche Informationen, Marketinginformationen, und ähnliches. Außerdem sind dies alle Informationen, die auf Grund von Gesetzen oder anderer Vorgaben veröffentlicht werden.
hierbei handelt es sich um die Informationen des normalen Geschäftsbetriebs. Der Großteil der Informationen der AGR sind entweder aktiv SK-1-klassifiziert oder gelten sie als SK-1-klassifiziert, wenn keine aktive Klassifizierung vorgenommen wurde.
Diese Daten dürfen Dritten nur verfügbar gemacht werden, wenn diese eine NDA (Vertraulichkeitsvereinbarung) mit der AGR geschlossen haben oder wenn diesen diese Kurzfassung der Richtlinie zusätzlich zum Dokument zur Information übermittelt wird.
Sie sind vom Empfänger sensibel zu behandeln und dürfen nur zur Erfüllung der übertragenen Aufgabe weitergeben werden. Hierbei ist auf dieses Dokument und den Umgang mit der Information hinzuweisen.
umfasst Informationen, die für direkt betroffene (und eindeutig benannte) Personen oder Personengruppen bestimmt sind. Ein bekannt werden dieser Informationen könnte einzelnen Unternehmensbereichen, Projektdurchführungen oder Arbeitsvorgängen erheblichen Schaden zufügen.
Diese vertraulichen Informationen dürfen vom Empfänger ohne Einverständnis der AGR nicht an Dritte weitergeben werden. Diese Informationen sind, sofern möglich, verschlüsselt zu kommunizieren
Die Verarbeitung von personenbezogenen Daten und/oder besonderen Kategorien von personenbezogenen Daten muss unter Einhaltung der geltenden Gesetze erfolgen. Generell erfolgt die Verarbeitung auf Grundlage von örtlichen Gesetzen, einer Datenverarbeitungsvereinbarung oder der Zustimmung des Betroffenen. Die Rechtsgrundlage ist durch die oder den örtliche(n) Datenschutzbeauftragte(n) zu überprüfen.
Zudem sind konkret die folgenden Punkte einzuhalten:
Die Verarbeitung von besonderen Kategorien von personenbezogenen Daten in einem nicht von der IT-Organisation genehmigten Cloud-Dienst, ist nicht gestattet.
Jede neue Cloud-Umgebung ist bezüglich ihrer Schnittstellen zum globalen Netzwerk von der IT-Organisation sowie den Datenschutzbeauftragten zentral zu beurteilen.
| Handlung | öffentlich | vertraulich | Streng vertraulich |
|---|---|---|---|
| Kennzeichnung von Dokumenten | erforderlich | Nicht erforderlich | erforderlich |
| Verarbeitung von Informationen | Keine Einschränkung | Blickgeschützte Verarbeitung im öffentlichen Raum | Blickgeschützte Verarbeitung |
| Drucken / Kopieren | Keine Einschränkung | Keine Einschränkung | Vervielfältigung vermeiden |
| Speicherung auf Speicherdiensten der AGR | Keine Anforderung | Zugriffsschutz (erfüllt bei eigenem Nutzer-Konto mit Passwort) | Zugriffschutz (erfüllt bei eigenem Nutzer-Konto mit Passwort)
|
| Speicherung auf mobilen Datenträger | Keine Anforderung | Verschlüsselt | Verschlüsselt |
| Lagerung von Papierdokumenten | Keine Anforderung | Nicht in öffentlich zugänglichen Räumlichkeiten | Verschlossen |
| Vernichtung von Papierdokumenten | Nutzung der normalen Abfallbeseitigung | Schredder, Datentonne | Schredder, Datentonne |
| Löschung von Datenträgern | Keine Anforderung | Sicheres Löschen durch die IT | Sicheres Löschen durch die IT |
| Vernichtung von Datenträgern | Keine Einschränkung | Physische Zerstörung durch die IT | Physische Zerstörung durch die IT |
| Weitergabe von Dokumenten an Dritte | Keine Einschränkung | Geheimhaltungsvereinbarung | Geheimhaltungsvereinbarung |
| Persönliches Gespräch / Telefon- oder Videokonferenzen | Keine Einschränkung | Nur für Empfangsberechtigte | Hinweis bezüglich der Vertraulichkeit |
| Chat- und Kollaboration | Keine Einschränkung | Nutzung von durch die AGR freigegebenen Cloud-Diensten | Nutzung von durch die AGR freigegebenen Cloud-Diensten mit entsprechenden Berechtigungseinschränkungen |
| Versand per E-Mail | Keine Anforderrung an eine Verschlüsselung | Transportverschlüsselung (erfolgt automatisch bei Versand aus AGR-Infrastruktur) | Passwortgeschützter Anhang bei Bedarf |
| Versand per Post | Einfacher Briefumschlag | Einfacher Briefumschlag | Einfacher Briefumschlag mit dem Hinweis „Persönlich“ |
Kontakt
Egal, ob Sie Ihre Abfälle als Kommune, als Unternehmen oder auch als Privatperson entsorgen lassen wollen: Die AGR Gruppe ist in jedem Fall für Sie der richtige Ansprechpartner. Unsere Kundenberater machen Ihnen ein Angebot, das individuell auf Ihre Bedürfnisse ausgerichtet ist und auch nachhaltige Entwicklungen Ihrer Entsorgungssituation berücksichtigt. Sprechen Sie uns an.