Klassifizierung von Dokumenten sicherstellen

Was ist bei der Erstellung von vertraulichen Dokumenten zu beachten?

Es gibt zwei unterschiedliche Arten der Dokumentenerstellung: die interaktive und automatisierte. Individuelle und somit einmalige Dokumente werden z. B. von der HR-Abteilung, Controlling und Geschäftsführung regelmäßig erstellt. Dazu zählen zum Beispiel Arbeitszeugnisse, Geschäftsberichte, Entwicklungsdaten und Strategiepapiere. Zum anderen gibt es automatisierte Dokumente, die von einem IT-System z. B. CRM, ERP oder ECM erstellt werden. Dabei werden in der Regel Formulare mit Daten befüllt und internen und externen Parteien zur Verfügung gestellt. In beiden Fällen sollte die Vertraulichkeit von Dokumenten jedem Mitarbeiter transparent sein, um eine Weitergabe richtig einschätzen zu können und Missbrauch einzuschränken.

Dazu wurden verschiedene Klassifizierungen für Dokumente, Formulare aber auch für E-Mails, Faxmitteilungen usw. entwickelt. Die Sensitivität dieser Informationen wird von deren Wert bestimmt und per Vertraulichkeitsstufen (z. B. offen, intern, vertraulich) zum Ausdruck gebracht. Diese Klassifizierung erfolgt meist im Dokumenten-Erstellungsprozess und ist per Arbeitsanweisung geregelt. Es handelt sich also in der Regel um einen manuellen Prozess.

Wie sieht die Dokumenten-Klassifizierung in der Praxis aus?

In der Praxis vergibt der Mitarbeiter bei der Erstellung oder Änderungen von Dokumenten z. B. in MS Word oder MS Excel eine bestimmte Klasse und sorgt so für die Klassifizierung. Dieser manuelle Prozess ist jedoch fehleranfällig und nicht durchgängig. Somit kommt es vor, dass die Klassifizierung vergessen oder nicht gepflegt wird. Beides widerspricht dem Ansatz der Prozesssicherheit.

Diese rein organisatorische Vorgehensweise hat jedoch weitere Nachteile, denn neben der manuellen Arbeit für eine Klassifizierung ist die automatische Generierung von Dokumenten aus IT-Systemen nicht betrachtet oder integriert. Somit wird kein einheitlicher und durchgängiger Prozess sichergestellt.

Als erste Maßnahme ist die Sensibilisierung aller Mitarbeiter für Geschäftsgeheimnisse und der Umgang mit Dokumenten notwendig. Nur durch regelmäßige Schulungen der entsprechenden Organisationseinheiten lässt sich der Umgang mit sensiblen Geschäftsdokumenten und deren Prozessen ermitteln und sicherstellen.

Wie kann ein ganzheitlicher Informationsschutz, Know-how-Schutz oder die Dokumentensicherheit erfolgen?

Viele Unternehmen habe im Zuge der Datenschutzgrundverordnung DSGVO und Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) bereits Vertraulichkeitsklassen definiert und intern veröffentlicht. Jedoch kennen die meisten Mitarbeiter diese Klassen nicht.

Neben den organisatorischen Maßnahmen können Softwarelösungen die entsprechende Klassifizierung unterstützen und somit Teil des Output Management Prozesses werden. In der Praxis hat sich die folgende Vorgehensweise bewährt:

1. Beratung: Ermittlung der Vertraulichkeitsklassen und deren Prozesse
2. Schulung: Interne Veröffentlichung und Einweisung aller Mitarbeiter und Organisationseinheiten
3. Technische Umsetzung: Durch integrierte Softwareanwendungen für interaktive und automatische Dokumentenerstellung, z. B. Document Services oder ERP Add-ons
4. Integration in das Output Management: Durch eine zentrale Dokumentengenerierung lässt sich die Dokumenten-Klassifizierung umsetzen und der Dokumentenfluss jederzeit nachvollziehen, ob gedruckt oder elektronisch verteilt

Welche standardisierten Vertraulichkeitsklassen gibt es?

• Offen
• Intern
• Vertraulich
• Streng vertraulich

Neben den Vertraulichkeitsklassen gibt es auch die Geheimhaltungsklassen, die in der Regel von staatlichen Institutionen verwendet werden. Dazu zählen Geheim, Streng Geheim, Verschlusssache – Vertraulich (VS-Vertraulich), Verschlusssache – Nur für den Dienstgebrauch (VS-NfD).

Als Softwarehersteller beraten wir Sie gemeinsam mit unseren Partnern zu diesem wichtigen Thema. Es geht um die Sicherheit Ihrer Dokumente und Informationen.

Kontaktieren Sie uns jetzt, wir beraten Sie gerne!*

*Kein Newsletter, keine Weitergabe, Kontaktaufnahme nur zum genannten Zweck.