Informationssicherheit vs. Datenschutz
Autor:in
Hannes HartungInformationssicherheit vs. Datenschutz
Ist das jetzt ein Thema für unsere/n ISB oder unsere/n DSB, oder ist es doch eh dasselbe? Wer ist denn jetzt für diesen Vorfall verantwortlich und muss ich diesen überhaupt melden? Um Gemeinsamkeiten und Unterschiede der Informationssicherheit und des Datenschutzes zu erörtern, muss zuerst einmal die Definition der beiden Bereiche erfolgen.
Das europäische Datenschutzrecht schützt grundsätzlich nur natürliche Personen und soll vor der unerlaubten Verarbeitung personenbezogener Daten schützen. Dies führt auf das Recht der informationellen Selbstbestimmung zurück, welches seit der Einführung der Datenschutzgrundverordnung und umliegender Gesetzeswerke noch stärker geschützt wird. Dadurch kann man sagen, dass die Verarbeitung von personenbezogenen Daten grundsätzlich verboten ist, außer die Verarbeitung ist durch gesetzliche Regelungen oder Einwilligungen erlaubt.
Die Informationssicherheit hingegen ist vergleichbar mit der Anlage unserer Auftragsverarbeitungsverträge, der TOMs, nämlich die technischen und organisatorischen Maßnahmen zum Schutz von Daten. Die Informationssicherheit beschäftigt sich mit dem Schutz verschiedener Schutzziele, wie z. B.
• Vertraulichkeit,
• Integrität,
• Verfügbarkeit.
Um den hohen Anforderungen diverser Gesetze und dem Datenschutz nachkommen zu können, müssen Unternehmen technische und organisatorische Maßnahmen nach Stand der Technik ergreifen, um Datenschutzverstöße und Cyberangriffe zu verhindern.
Die Unterschiede liegen in der Motivation
Während die Umsetzung von Datenschutzmaßnahmen zumeist gesetzlichen Vorgaben folgt, ist die Umsetzung der Informationssicherheit in Unternehmen nicht so stark reguliert. Es existieren diverse Normen und Vorgaben, aber eine Pflicht, wie z. B. die Pflicht aus Datenschutzgesetzen eine/n Beauftragte/n ab einer gewissen Größe zu benennen, gibt es in der Informationssicherheit nicht. Somit liegen die Unterschiede in der Motivation. Während die Informationssicherheit schon aus Eigeninteresse aller Unternehmen umgesetzt werden sollte, ist die Umsetzung von Datenschutzvorgaben gesetzlich reguliert und, zumindest in der Privatwirtschaft, durch Sanktionsmaßnahmen abgesichert.
Konflikte der beiden Themenbereiche
Gerade bei der Speicherung personenbezogener Daten kann es Konflikte geben. Beispielsweise ist dies der Fall, wenn wir Backups von Datenbanken unserer Kundschaft speichern, um das Schutzziel der Verfügbarkeit sicherzustellen. Dadurch agieren wir aber potentiell gegen Datenschutzgrundsätze. Was passiert denn eigentlich, wenn ein/e Kunde/Kundin eine Betroffenenanfrage stellt und wir alle personenbezogenen Daten löschen müssen? Ein in der Praxis sehr schwieriger Fall ist die Bereinigung von Backup-Generationen bei genau diesen Betroffenenanfragen. Aus Sicherheitssicht wollen wir die Backups für den Ernstfall aufbewahren, aus Datenschutzsicht müssen wir Teile der Daten löschen und unseren Verpflichtungen gegenüber Betroffenen nachkommen. Ein weiteres Beispiel sind Logfiles. Durch die Überwachung von Verbindungslogs können wir überprüfen, welche User welche Handlung vorgenommen haben. Damit stellen wir die Integrität sicher und können nachweisen, wenn etwas schiefläuft. Aus Datenschutzsicht ist die Speicherung der Daten aber erst einmal verboten, außer wir erhalten eine Einwilligung, oder es existiert eine Gesetzesgrundlage.
Zusammengefasst kann man sagen, dass Datenschutz und Informationssicherheit Themen sind, die man ganzheitlich betrachten sollte. Allerdings gibt es Konfliktpotential aufgrund der verschiedenen Ziele dieser Themenbereiche. Wir von Increase Your Skills haben es uns zur Aufgabe gemacht, Personen in beiden Bereichen bestmöglich zu sensibilisieren und so für ein nachhaltiges Sicherheits- und aber auch Datenschutzniveau zu sorgen.