Kurz erklärt: Datenschutz versus Informationssicherheit

 

Viele Menschen, die sich mit der Digitalisierung und der Sicherheit darüber beschäftigen, fragen: Was ist eigentlich der Unterschied zwischen Datenschutz und Informationssicherheit? Die Wiener Universität hat hierzu eine kurze Erklärung parat:

Während der Datenschutz den Schutz personenbezogener Daten zum Ziel hat, geht es in der Informationssicherheit um die Aufrechterhaltung des Schutzes von Informationen, Daten und Systemen. Dazu ist es bei der Informationssicherheit notwendig, Geschäftsprozesse und deren Abhängigkeiten von Informationen aus dem Blickwinkel auf mögliche Risiken zu analysieren, um diese durch angemessene und wirtschaftlich vertretbare Gegenmaßnahmen zu minimieren. Auf diese Weise unterstützen die in der Informationssicherheit verankerten Ziele, wie Vertraulichkeit, Integrität und Verfügbarkeit auch den Datenschutz.

Diese sicherlich etwas theoretische Erklärung der University of Natural Resources and Life Sciences in Wien lässt sich mitunter etwas umfassender und beispielhafter beschreiben. Dazu ist es aber auch notwendig, zwei weitere Begriffe und ihre Abgrenzungen einzuführen: Dies sind die IT-Sicherheit und die Datensicherheit. Trotz einerfehlenden abschließenden und vor allem einheitlichen Definitionen soll die folgende Darstellung als Orientierung dienen:

 

Datenschutz

Hier Datenschutz geht es in erster Linie um den Schutz der Privatsphäre eines jeden Menschen. Datenschutz garantiert daher jedem Bürger ein Recht auf informationelle Selbstbestimmung – der Mensch wird somit vor missbräuchlicher Verwendung seiner Daten geschützt. Für die Verarbeitung personenbezogener Daten gibt es klare Regeln. Diese sind hauptsächlich im Bundesdatenschutzgesetz (BDSG) bzw. den Datenschutzgesetzen der Länder niedergelegt. Hier wird geregelt, ob personenbezogene Daten überhaupt verarbeitet werden dürfen.

 

Datensicherheit

Im Unterschied dazu befasst sich die Datensicherheit mit dem Schutz von Daten – unabhängig davon ob diese einen Personenbezug aufweisen oder nicht. Daher fallen unter den Begriff Datensicherheit grundsätzlich auch Daten, die keinen Personenbezug aufweisen (also z.B. auch geheime Aufzeichnungen) – und dies sowohl digital als auch analog.

Aufgabe der Datensicherheit ist es, Sicherheitsrisiken zu begegnen und die Daten vor Manipulation, Verlust oder unberechtigter Kenntnisnahme zu schützen. Es geht hier also nicht um die Frage, ob Daten überhaupt erhoben und verarbeitet werden dürfen (das ist explizit eine Frage des Datenschutzes!). Vielmehr geht es um die Frage, welche Maßnahmen zum Schutz der Daten erhoben werden müssen. Die Datensicherheit ist im Rahmen des Datenschutzes gemäß § 9 BDSG durch Umsetzung geeigneter technischer und organisatorischer Maßnahmen zu gewährleisten.

 

Informationssicherheit

Daneben gibt es den Begriff der Informationssicherheit. Diese befasst sich mit den technischen und organisatorischen Maßnahmen zur Sicherung aller Daten in Systemen von Unternehmen und Organisationen. Dabei soll vor allem die Vertraulichkeit, die Verfügbarkeit und die Integrität von Daten sichergestellt werden. Ein zentraler Punkt der Informationssicherheit ist es, Gefahren durch Unbefugte Zugriffe auf Daten oder durch Manipulation von Daten zu verhindern. Es wird schnell klar, dass bei der Informationssicherheit in erster Linie das Unternehmen oder die Organisation im Vordergrund stehen.

Die Informationssicherheit ist vor allem in den Zertifizierungsrichtlinien der ISO 27001 definiert, welche den generellen und umfassenden Schutz von Informationen zum Ziel haben. Unerheblich ist hierbei, ob es sich um digitale oder analoge Informationen handelt. Von vielen wird die Datensicherheit als ein Teilbereich der Informationssicherheit angesehen, da Letztere umfassender ist.

 

IT-Sicherheit

Anknüpfend an die letzte Darstellung kann man sagen, dass auch die IT-Sicherheit ein Teil der Informationssicherheit ist. Sie bezieht sich im Schwerpunkt aber auf elektronisch gespeicherte Informationen und IT-Systeme. Es wird unter IT-Sicherheit aber nicht nur der Schutz der technischen Verarbeitung von Informationen verstanden. Insbesondere fällt auch die Funktionssicherheit darunter – also das fehlerfreie Funktionieren und die Zuverlässigkeit der IT-Systeme.

 

Konflikte zwischen Datenschutz und Informationssicherheit

Datenschutz und Informationssicherheit sind mithin sehr wichtig, werden im Unternehmen aber häufig in unterschiedlichen Bereichen bearbeitet und organisiert. Der wohl größte formal-trennende Unterschied ist, dass es sich bei der Umsetzung des Datenschutzes um strenge gesetzliche Anforderungen handelt. Bei der Informationssicherheit können Unternehmen hingegen unterschiedliche Ansätze und Konzepte einführen – beziehungsweise durchsetzen. Man könnte auch sagen, der wesentliche Unterschied liegt in der Motivation, gesetzliche Anforderung zu erfüllen und das eigene Interesse eines Unternehmens durchzusetzen. Trotz dieser Unterschiede überschneiden sich die beiden Bereiche in Unternehmen häufig. Dies ist beispielsweise beim Umgang mit Mandanten, Kunden oder Patienten Daten der Fall. Auf der einen Seite enthalten die genannten Daten personenbezogene Daten und unterliegen somit dem Datenschutzgesetz. Das Unternehmen muss bei der Erhebung, Verarbeitung und Nutzung der Daten auf jeden Fall die Vorschriften des Datenschutzgesetzes beachten und einhalten. Auf der anderen Seite liegt es aber auch im Interesse des Unternehmens, mit den jeweiligen Daten vertraulich und sicher umzugehen. Hier spielt die Informationssicherheit wiederum eine wesentliche Rolle.

In Unternehmen kommt es immer wieder auch zu innerbetrieblichen Konflikten. Zum Beispiel, wenn an den Computern eines Unternehmens die Zugangsdaten gespeichert werden. Einerseits dient die Speicherung der Zugangsdaten der Informationssicherheit. Durch die Speicherung kann später jedoch festgestellt werden, wer sich an welchem Computer authentifiziert hat. Da es sich dabei um personenbezogene Daten handelt, deren Speicherung eine gesetzliche Grundlage oder eine Einwilligung erfordert und grundsätzlich ersteimmal verboten ist, entsteht ein Zielkonflikt.

 

Nützliche Links zum Thema Datenschutz, Datensicherheit, Informations- und IT-Sicherheit