Im heutigen digitalen Zeitalter ist die Informationssicherheit für Privatpersonen und Unternehmen gleichermaßen zu einem wichtigen Thema geworden. Aber was ist Informationssicherheit? Im Kern geht es bei der Informationssicherheit um den Schutz von Informationen vor unberechtigtem Zugriff, Offenlegung, Veränderung und Zerstörung.

Sie umfasst eine Reihe von Praktiken und Technologien zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Daten. Obwohl der Begriff Informationssicherheit oft synonym verwendet wird, unterscheidet er sich vom Datenschutz, der sich speziell auf den Schutz persönlicher Daten und die Wahrung der Privatsphäre konzentriert. Das Verständnis dieser Unterscheidungen ist für die effektive Verwaltung und Sicherung sensibler Informationen von entscheidender Bedeutung.

Informationssicherheit vs. Datenschutz

Ist dies ein Problem für unsere ISO oder unseren DSB, oder ist es in beiden Fällen dasselbe? Wer genau ist für diesen Vorfall verantwortlich und besteht überhaupt die Notwendigkeit, ihn zu melden? Um die Gemeinsamkeiten und Unterschiede zwischen Informationssicherheit und Datenschutz zu erörtern, müssen Sie zunächst die beiden Bereiche definieren.

Das europäische Datenschutzrecht schützt grundsätzlich nur natürliche Personen und soll vor der unbefugten Verarbeitung von personenbezogenen Daten schützen. Dies geht auf das Recht auf informationelle Selbstbestimmung zurück, das seit der Einführung der Allgemeinen Datenschutzverordnung und der damit verbundenen Gesetzgebung noch stärker geschützt wird. Im Ergebnis lässt sich sagen, dass die Verarbeitung personenbezogener Daten grundsätzlich verboten ist, es sei denn, die Verarbeitung ist durch gesetzliche Vorschriften oder eine Einwilligung erlaubt.

Andererseits ist die Informationssicherheit vergleichbar mit dem Anhang zu unseren Auftragsverarbeitungsverträgen, den TOMs, nämlich den technischen und organisatorischen Maßnahmen zum Schutz der Daten. Bei der Informationssicherheit geht es um den Schutz verschiedener Schutzziele, wie z.B.:

  • Vertraulichkeit
  • Integrität
  • Verfügbarkeit.

Um den strengen Anforderungen der verschiedenen Gesetze und des Datenschutzes gerecht zu werden, müssen Unternehmen die robustesten technischen und organisatorischen Maßnahmen zur Verhinderung von Datenschutzverletzungen und Cyberangriffen umsetzen.

Informationssicherheit vs. Datenschutz: Die Unterschiede liegen in der Motivation

Während die Umsetzung von Datenschutzmaßnahmen meist gesetzlichen Vorgaben folgt, ist die Umsetzung der Informationssicherheit in Unternehmen nicht so stark reguliert. Es gibt zwar verschiedene Standards und Vorgaben, aber eine Verpflichtung zur Informationssicherheit, wie die datenschutzrechtliche Verpflichtung zur Bestellung eines Beauftragten ab einer bestimmten Größe, gibt es nicht. Die Unterschiede liegen also in der Motivation. Während die Informationssicherheit aus dem Eigeninteresse aller Unternehmen heraus umgesetzt werden sollte, ist die Umsetzung der Datenschutzanforderungen gesetzlich geregelt und zumindest im privaten Sektor durch Sanktionsmaßnahmen abgesichert.

Konflikte zwischen Informationssicherheit und Datenschutz

Insbesondere bei der Speicherung personenbezogener Daten kann es zu Konflikten kommen. Dieser Konflikt entsteht zum Beispiel, wenn wir Backups der Datenbanken unserer Kunden speichern, um das Schutzziel der Verfügbarkeit zu gewährleisten. Damit verstoßen wir jedoch möglicherweise gegen die Grundsätze des Datenschutzes. Was passiert eigentlich, wenn ein Kunde eine Anfrage zum Datenschutz einreicht und wir alle personenbezogenen Daten löschen müssen? Ein schwieriger Fall in der Praxis ist die Bereinigung von Backup-Generationen für genau diese Anfragen von Betroffenen. Aus Sicherheitsgründen wollen wir die Backups für den Notfall aufbewahren; aus Datenschutzgründen müssen wir Teile der Daten löschen und unsere Verpflichtungen gegenüber den betroffenen Personen erfüllen. Ein weiteres Beispiel sind Protokolldateien. Durch die Überwachung der Verbindungsprotokolle können wir überprüfen, welche Benutzer welche Aktion durchgeführt haben. Auf diese Weise stellen wir die Integrität sicher und können nachweisen, wenn etwas schief läuft. Aus datenschutzrechtlicher Sicht ist die Speicherung von Daten jedoch bis auf Weiteres untersagt, es sei denn, wir erhalten eine Einwilligung oder es gibt eine gesetzliche Grundlage.

Ausgleich zwischen Informationssicherheit und Datenschutz

Zusammenfassend lässt sich sagen, dass Datenschutz und Informationssicherheit miteinander verknüpfte Themen sind, die ganzheitlich betrachtet werden sollten. Aufgrund ihrer unterschiedlichen Zielsetzungen kann es jedoch zu Konflikten kommen. Wir von MetaCompliance haben es uns zur Aufgabe gemacht, Mitarbeiter in beiden Bereichen zu schulen, um eine solide Sicherheit und einen wirksamen Datenschutz zu gewährleisten. Informieren Sie sich über unsere Schulungsprogramme für Datenschutzmanagement und Cybersicherheit, um das Bewusstsein und die Fähigkeiten Ihrer Mitarbeiter in diesen wichtigen Bereichen zu verbessern.