Kurz erklärt: Informationssicherheit vs. Datenschutz

Kurz erklärt: Informationssicherheit vs. Datenschutz

In unseren Gesprächen mit Kunden merken wir oft, dass die Begriffe Informationssicherheit und Datenschutz von unseren Gesprächspartnern synonym gebraucht oder auch verwechselt werden. Daher möchte ich an dieser Stelle die Begriffe kurz erklären.

Datenschutz

Beim Thema Datenschutz geht es um die Einhaltung der gesetzlichen Datenschutzbestimmungen, die sich im Wesentlichen aus dem Bundesdatenschutzgesetz (BDSG) ergeben.

§1  beschreibt den Zweck des Gesetzes, nämlich den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. Hier geht es also um den Schutz von Menschen.

Bei der Erfüllung, der sich aus dem Gesetz ergebenden Pflichten, gibt es verhältnismäßig wenig Interpretationsspielraum. Das Gesetzt beschreibt recht deutlich, was erlaubt ist und was nicht.

Informationssicherheit

Bei der Informationssicherheit geht es um die Integrität, Verfügbarkeit und Vertraulichkeit von Informationen, Daten und Systemen.

Ein spezielles Gesetz hierzu existiert nicht. Allerdings ergibt sich mittelbar aus verschiedenen Gesetzen, dass die Geschäftsleitung dafür Sorge zu tragen hat, Gefahren vom eigenen Unternehmen abzuwenden. §91 Abs. 2 des Aktiengesetzes schreibt beispielsweise vor, dass der Vorstand geeignete Maßnahmen zu treffen hat, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden, insbesondere hat er ein hierfür geeignetes Überwachungssystem einzurichten. Diese Pflicht trifft nicht nur Vorstände von Aktiengesellschaften. In der laufenden Rechtsprechung wird diese Pflicht auch Geschäftsführern anderer Gesellschaftsformen abverlangt.
Das Thema Informationssicherheit ist also primär durch das wohlverstandene Eigeninteresse des Unternehmens motiviert und nur mittelbar durch entsprechende Gesetze.

Bei der Gestaltung der Informationssicherheit sind die Unternehmen frei in der Wahl der Mittel und Wege. Je nach Unternehmensgröße, -zweck und Branche ergeben sich ganz unterschiedliche Notwendigkeiten. Die Geschäftsleitung muss nur darauf achten, dass die Maßnahmen für jeweils ihr konkretes Unternehmen geeignet sind. Wer sich dabei an bestehenden Normen, wie den ISO-Normen der 27000er-Reihe oder den Standards des Bundesamtes für Sicherheit in der Informationstechnik (BSI) orientiert, kann sicher sein, nichts falsch zu machen.

Überschneidungen

In der Praxis gibt es breite Überschneidungen der beiden Bereiche. Die Unterschiede resultieren oftmals nur aus der jeweiligen Motivation, gesetzliche Anforderungen vs. Eigeninteresse des Unternehmens.

Der Schutz der Kundendatei zum Beispiel ist aus beiden Bereichen getrieben. Die enthaltenen personenbezogenen Daten von Kundenmitarbeitern unterliegen dem Datenschutzgesetz. Natürlich hat das Unternehmen aber auch ein starkes Eigeninteresse, dass die eigene Kundendatei nicht bei der Konkurrenz landet.

Und so können mit denselben Maßnahmen oft sowohl Anforderungen des Datenschutzes als auch der Informationssicherheit erfüllt werden.

Interessenkonflikte

Neben den Überschneidungen der beiden Bereiche gibt es aber auch Felder, in denen Informationssicherheit und Datenschutz in einen Interessenkonflikt geraten können.

Das Speichern von Log-Daten, z.B. der Informationen, wer sich wann an welchem Computer angemeldet hat, ist so ein Feld. Aus Sicht der Informationssicherheit sollte man diese Daten immer erheben und für die Untersuchung zukünftiger Sicherheitsvorfälle beinahe unbegrenzt aufbewahren. Zweifelsohne handelt es sich dabei aber auch um personenbezogen Daten. Ihre Speicherung ist daher zunächst einmal nicht statthaft.
Diese beiden konträren Standpunkte müssen jetzt über Darlegungen der Notwendigkeit der Erhebung und Speicherung sowie über entsprechende Individual- oder Betriebsvereinbarungen miteinander ausgeglichen werden.

Zusammenfassung

Informationssicherheit, als Sicherung der Verfügbarkeit, Vertraulichkeit und Integrität von Informationen, Daten und Systemen, und Datenschutz, als Schutz personenbezogener Daten, erscheinen oft wie zwei Seiten ein und derselben Medaille. Gelegentlich geraten die beiden aber auch in Interessenkonflikte. Um beide Anforderungen pflichtgemäß abzudecken, ist oft die externe Unterstützung durch einen kompetenten Dienstleister notwendig.

Quellen:

Dieser Beitrag wurde unter Datenschutz, Informationssicherheit, kurz erklärt abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort auf Kurz erklärt: Informationssicherheit vs. Datenschutz

  1. Pingback: Kurz erklärt: Informationssicherheit | ars tutandi Blog

ars tutandi GmbH

Tempowerkring 6
21079 Hamburg
Tel.: 040 / 609 409 590
info@ars-tutandi.de
© 2017 ars tutandi GmbH. Alle Rechte vorbehalten.