Informationssicherheit und Datenschutz
– Ist das nicht das Gleiche?

Gerne werden im Arbeitsalltag Begriffe wie “Datenschutz” und “Informationssicherheit” als Synonym verwendet oder auch mal durcheinander gebracht. Wo liegen aber die Unterschiede? Was verbindet beide Begriffe miteinander? Wo lassen sich für ein Unternehmen Synergien erzeugen?

 

Was versteht man unter Datenschutz?

Beim Datenschutz werden nicht – wie es möglicherweise das Wort suggeriert – alle Arten von Daten in einem Unternehmen geschützt, sondern nur eine ganz besondere Kategorie davon – die personenbezogenen Daten. Nach der europäischen Datenschutzgrundverordnung (DSGVO) sind personenbezogene Daten Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Mit einfacheren Worten: Unter personenbezogene Daten sind all jene Daten zu fassen, die einen Menschen beschreiben, ihn bestimmbar machen und über die Rückschlüsse auf ihn möglich sind, sogenannte Einzelangaben (wie u.a. Name, Anschrift, Biometrische Daten usw.).

Eine beim Datenschutz weit verbreitete Annahme ist, dass seine Aufgabe darin begründet liegt, personenbezogene Daten zu schützen. Das ist jedoch nur teilweise korrekt. Natürlich werden durch die Implementierung passender technischer und organisatorischer Maßnahmen im Unternehmen personenbezogener Daten vor unrechtmäßigem Zugriff oder Verlust geschützt, der Schutz dieser Datenarten ist jedoch nicht das primäre Ziel des Datenschutzes, sondern es ist vielmehr der Schutz der informationellen Selbstbestimmung. Jeder Einzelne soll selbst darüber bestimmen können, welche personenbezogenen Daten von ihm zu welchen Zwecken verarbeitet werden dürfen.

 

Was versteht man unter Informationssicherheit?

Während es beim Datenschutz rein um personenbezogen Daten geht, nimmt die Informationssicherheit eine viel höhere Betrachtungsebene ein. Hierbei stehen keine ausgewählten Datenarten im Fokus, sondern die für ein Unternehmen schützenswerte Informationen an sich. Dabei spielt es keine Rolle, ob die Informationen in einem System gespeichert, auf Papier gedruckt oder sich in einem Kopf befindet.
Die Schutzziele und Grundwerte der Informationssicherheit sind dabei:

  • Vertraulichkeit

    (nur autorisierte Personen haben Zugriff auf die für sie bestimmte Informationen)

  • Integrität

    (Verhinderung von unbefugter Veränderung)

  • Verfügbarkeit

    (Sicherstellung des Zugriffs auf Informationen in der zugesicherten Art und Weise)

Diese Schutzziele sind dabei deckungsgleich mit jenen des Datenschutzes. Durch die Implementierung eines Informationssicherheits-Managementsystems (ISMS) auf Basis von ISO 27001 oder dem IT-Grundschutz werden Planungs-, Lenkungs- und Kontrollaufgaben in einem Unternehmen implementiert, die auch den Schutz personenbezogener Daten umfasst.

Oft wird im Kontext der Informationssicherheit der Begriff der IT-Sicherheit als Synonym genutzt. Diese Gleichsetzung ist aber falsch. Die IT-Sicherheit beschäftigt sich mit dem Schutz „soziotechnischer“ Systeme, also Systeme, die von Menschen genutzt werden. Die Betrachtung liegt hierbei auf den Schutz von IT-Systemen, um so Schaden und Bedrohungen für Daten im Unternehmen abzuwehren.

 

 

Intrinsische Informationssicherheit und extrinsischer Datenschutz

Der wohl größte Unterschied zwischen der “Informationssicherheit” und dem „Datenschutz” begründet sich nicht im jeweiligen Geltungsbereich, sondern vielmehr darin, warum sich ein Unternehmen mit Datenschutz und/oder Informationssicherheit überhaupt beschäftigt sollte.

Gesetzliche Anforderungen wie die europäische Datenschutzgrundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) geben Unternehmen nicht wirklich eine Wahl, sich mit dem Thema Datenschutz zu beschäftigen. Verarbeite ich personenbezogene Daten in der EU,  oder ist mein Geschäftsmodell darauf ausgelegt, Waren oder Dienstleistungen Personen in der EU anzubieten, so muss ich als Unternehmen alle Anforderungen der europäischen Datenschutzgrundverordung und die nationalen Datenschutzbestimmungen umsetzen, da mir ansonsten hohe Bußgeldstrafen drohen. 

 

Anders schaut es da mit der Informationssicherheit aus. Hier steht es den meisten Unternehmen frei, sich damit auseinanderzusetzen – abgesehen von der steigenden Zahl von Kunde, die von ihren Dienstleistern passende Umsetzungsstände im Bereich der Informationssicherheit nachgewiesen haben möchten.

Die Norm ISO 27001 oder der IT-Grundschutz bieten Unternehmen einen strukturierten und systematischen Ansatz der Einführung eines  Informationssicherheits-Managementsystems mit der sich vertrauliche Informationen angemessen schützen lassen.

 

 

Fazit

Informationssicherheit und Datenschutz unterscheiden sich grundlegend auf der Anwendungsebene. Während die Informationssicherheit im Unternehmen eine höhere Betrachtungsebene durch den Schutz relevanter Informationen einnimmt, fokussiert sich der Datenschutz ausschließlich auf den Schutz personenbezogener Daten. Ein weiterer wichtiger Unterschied liegt im Grund der unternehmerischen Auseinandersetzung mit den beiden Bereichen. Der Datenschutz ist eine gesetzliche Anforderung (Stichwort: DSGVO und BDSG), während die Beschäftigung mit der Informationssicherheit meist freiwillig erfolgt, um wichtige Daten im Unternehmen vor Angriffen zu schützen.

Beide Themenfelder lassen sich aber auch gut miteinander verknüpfen, insbesondere im Bereich der technischen und organisatorischen Maßnahmen. Gehen die Umsetzung eines Datenschutz-Managementsystems (DSMS) und des Informationssicherheits-Managementsystems (ISMS) Hand in Hand, so lassen sich hierdurch Kosten und Zeit bei deren Implementierung einsparen.

Das Ergbnis der Beschäftigung eines Unternehmens mit Informationssicherheit und Datenschutzes ist auf jeden Fall immer das Gleiche: die Schaffung von Vertrauen. Vertrauen bei Mitarbeitern, Kunden und anderen Stake- und Shareholdern.

Und ist Vertrauen in der heutigen Zeit nicht ein unschätzbarer Mehrwert für ein Unternehmen?

Noch Fragen?

Du hast Fragen oder brauchst Hilfe in Bezug auf einen Datenschutzbeauftragten in deiner Firma? Kontaktiere uns wir helfen Dir gerne weiter!

Kontaktiere Uns