Kurz erklärt: Datenschutz versus Informationssicherheit
Inhaltsverzeichnis
Viele Menschen, die sich mit der Digitalisierung und der Sicherheit darüber beschäftigen, fragen: Was ist eigentlich der Unterschied zwischen Datenschutz und Informationssicherheit? Die Wiener Universität hat hierzu eine kurze Erklärung parat:
Während der Datenschutz den Schutz personenbezogener Daten zum Ziel hat, geht es in der Informationssicherheit um die Aufrechterhaltung des Schutzes von Informationen, Daten und Systemen. Dazu ist es bei der Informationssicherheit notwendig, Geschäftsprozesse und deren Abhängigkeiten von Informationen aus dem Blickwinkel auf mögliche Risiken zu analysieren, um diese durch angemessene und wirtschaftlich vertretbare Gegenmaßnahmen zu minimieren. Auf diese Weise unterstützen die in der Informationssicherheit verankerten Ziele, wie Vertraulichkeit, Integrität und Verfügbarkeit auch den Datenschutz.
Diese sicherlich etwas theoretische Erklärung der University of Natural Resources and Life Sciences in Wien lässt sich mitunter etwas umfassender und beispielhafter beschreiben. Dazu ist es aber auch notwendig, zwei weitere Begriffe und ihre Abgrenzungen einzuführen: Dies sind die IT-Sicherheit und die Datensicherheit. Trotz einer fehlenden abschließenden und vor allem einheitlichen Definitionen soll die obige Darstellung als Orientierung dienen.
Datenschutz
Im Datenschutz geht es in erster Linie um den Schutz der Privatsphäre eines jeden Menschen. Datenschutz garantiert daher jedem Bürger ein Recht auf informationelle Selbstbestimmung – der Mensch wird somit vor missbräuchlicher Verwendung seiner Daten – z.B. für die Verarbeitung in Unternehmen – geschützt. Für die Verarbeitung personenbezogener Daten gibt es klare Regeln. Diese sind hauptsächlich im Bundesdatenschutzgesetz (BDSG) bzw. den Datenschutzgesetzen der Länder niedergelegt. Hier wird geregelt, ob personenbezogene Daten überhaupt verarbeitet werden dürfen.
Datensicherheit
Im Unterschied befasst sich die Datensicherheit mit dem technischen-organisatorischen Schutz von Daten – unabhängig davon, ob diese einen Personenbezug aufweisen oder nicht. Daher fallen unter den Begriff Datensicherheit grundsätzlich auch Daten, die keinen Personenbezug aufweisen (also z.B. auch geheime Aufzeichnungen) – und dies sowohl digital als auch analog.
Aufgabe der Datensicherheit ist es, Sicherheitsrisiken zu begegnen und die Daten vor Manipulation, Verlust oder unberechtigter Kenntnisnahme zu schützen. Es geht hier also nicht um die Frage, ob Daten überhaupt erhoben und verarbeitet werden dürfen (das ist explizit eine Frage des Datenschutzes!). Vielmehr geht es um die Frage, welche Maßnahmen zum Schutz der Daten erhoben werden müssen. Die Datensicherheit ist im Rahmen des Datenschutzes gemäß § 9 BDSG durch Umsetzung geeigneter technischer und organisatorischer Maßnahmen zu gewährleisten.
Informationssicherheit
Daneben gibt es den Begriff der Informationssicherheit. Diese befasst sich mit den technischen und organisatorischen Maßnahmen zur Sicherung aller Daten in Systemen von Unternehmen und Organisationen. Dabei soll vor allem die Vertraulichkeit, die Verfügbarkeit und die Integrität von Daten sichergestellt werden. Ein zentraler Punkt der Informationssicherheit ist es, Gefahren durch Unbefugte Zugriffe auf Daten oder durch Manipulation von Daten zu verhindern. Es wird schnell klar, dass bei der Informationssicherheit in erster Linie das Unternehmen oder die Organisation im Vordergrund stehen.
Die Informationssicherheit ist vor allem in den Zertifizierungsrichtlinien der ISO 27001 definiert, welche den generellen und umfassenden Schutz von Unternehmens-Informationen zum Ziel haben. Unerheblich ist hierbei, ob es sich um digitale oder analoge Informationen handelt. Die Datensicherheit ist daher ein Teilbereich der Informationssicherheit, da Letztere umfassender ist.
IT-Sicherheit
Anknüpfend an die letzte Darstellung kann man sagen, dass auch die IT-Sicherheit ein Teil der Informationssicherheit ist. Sie bezieht sich im Schwerpunkt aber auf elektronisch gespeicherte Informationen und IT-Systeme. Es wird unter IT-Sicherheit aber nicht nur der Schutz der technischen Verarbeitung von Informationen verstanden. Insbesondere fällt auch die Funktionssicherheit darunter – also das fehlerfreie Funktionieren und die Zuverlässigkeit der IT-Systeme.
Konflikte zwischen Datenschutz und Informationssicherheit
Datenschutz und Informationssicherheit sind mithin sehr wichtig, werden im Unternehmen aber häufig in unterschiedlichen Bereichen bearbeitet und organisiert. Der wohl größte formal-trennende Unterschied ist, dass es sich bei der Umsetzung des Datenschutzes um strenge gesetzliche Anforderungen handelt. Bei der Informationssicherheit können Unternehmen hingegen unterschiedliche Ansätze und Konzepte einführen – beziehungsweise durchsetzen. Man könnte auch sagen, der wesentliche Unterschied liegt in der Motivation, gesetzliche Anforderung zu erfüllen und das eigene Interesse eines Unternehmens durchzusetzen.
Trotz dieser Unterschiede überschneiden sich die beiden Bereiche in Unternehmen häufig. Dies ist beispielsweise beim Umgang mit Mandanten, Kunden oder Patienten Daten der Fall (siehe Grafik). Auf der einen Seite enthalten die genannten Daten personenbezogene Daten und unterliegen somit dem Datenschutzgesetz. Das Unternehmen muss bei der Erhebung, Verarbeitung und Nutzung der Daten auf jeden Fall die Vorschriften des Datenschutzgesetzes beachten und einhalten. Auf der anderen Seite liegt es aber auch im Interesse des Unternehmens, mit den jeweiligen Daten vertraulich und sicher umzugehen. Bürger von außerhalb des Unternehmens können hier jederzeit eine Anfrage stellen, welche persönlichen Daten von ihnen gespeichert und verarbeitet werden. Hier spielt die Informationssicherheit wiederum eine wesentliche Rolle, weil sie den Organisatorichen Rahmen für die Verwaltung von Informationen und Daten in Form eines Informations-Management-Systems relgeln kann.
In Unternehmen kommt es zudem immer wieder auch zu „innerbetrieblichen“ Konflikten zu Informationssicherheit und Datenschutz. Zum Beispiel, wenn an den Computern eines Unternehmens die Zugangsdaten gespeichert werden. Einerseits dient die Speicherung der Zugangsdaten der Informationssicherheit. Durch die Speicherung kann später jedoch festgestellt werden, wer sich an welchem Computer authentifiziert hat. Da es sich dabei um personenbezogene Daten handelt, deren Speicherung eine gesetzliche Grundlage oder eine Einwilligung erfordert und grundsätzlich ersteimmal verboten ist, entsteht ein Zielkonflikt.
Neuer Ansatz: Datenschutz und Informationssicherheit in der ISO 27701 vereint
Unternehmen orientieren sich gerne an ISO-Normen, weil diese einen international-anerkannten Maßstab vorgeben. Für die Informationssicherheit gibt es solch eine Norm – die ISO 27001. Die Macher der Norm haben die besondere Stellung des Datenschutzes erkannt und die Norm erweitert. Denn, viele der Maßnahmen zur Informationssicherheit stellen zugleich auch den Schutz personenbezogener Daten sicher. Dies wird u.a. dadurch bestätigt, dass beide Bereiche die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit, von Daten teilen. Bedenkt man diese Gemeinsamkeit, ist das enge Zusammenspiel im Rahmen der Norm gut nachvollziehbar.
Wer nun denkt, mit der ISO 27701 erhalte ich zuküntig auch ein DSGVO-Zertifikat, wird leider enttäuscht. Da es sich bei der ISO 27701 um eine Erweiterung der ISO 27001 handelt, richtet sich deren Zertifizierung nach der ISO 17021. „Art. 43 DSGVO“ fordert aber die Akkreditierung von Zertifizierungsstellen entsprechend der ISO 17065, die auf eine Zertifizierung von „Produkten und Prozessen“ ausgerichtet ist. Hört sich an wie ein Schildbürger-Streich – ist aktuell aber leider die Realität.
Daher entspricht ein ISO 27001-Zertifikat (noch) nicht den Anforderungen der DSGVO. Es gibt jedoch viele Verfechter, die dies ändern wollen. Grundsätzlich ist für die Zukunft ein DSGVO-Zertifikat auf der Basis der ISO 27701 also vorstellbar.
Nützliche Links zum Thema Datenschutz, Datensicherheit, Informations- und IT-Sicherheit
Das könnte Sie auch noch interessieren
ISO 27001 Einführung mit Checkliste und Mustervorlagen
Was ist die ISO 27001? Komplexe IT-Systeme müssen heute eine Fülle an Informationen verwalten und verarbeiten. Gleichzeitig wird es aber auch immer schwieriger, diese relevanten Informationen zu schützen. Mit der ISO 27001 bietet sich ein Verfahren an, das ein...
Kritische Infrastruktur NRW – Der Wert von KRITIS für den Mittelstand
Einleitung - Kritische Infrastruktur als Hilfe für Mittelstandsunternehmen in NRW Wir erleben gerade unmittelbar, welche gesellschaftlichen Veränderungen ein biologisches Virus auslösen kann. Man stelle sich vor, welche weiteren Probleme entstehen, wenn ein...
IT-Sicherheit – Schutzziele
Wenn Sie Ihre Systeme, und die darin vorhandenen Informationen und Daten sicher gestalten wollen, dann erreichen sie dies nur über bestimmte Grundwerte. Diese Grundwerte werden durch sogenannte IT-Sicherheit Schutzziele bestimmt. Dabei handelt es sich um...