In unseren Gesprächen mit Kunden merken wir oft, dass die Begriffe Informationssicherheit und Datenschutz von unseren Gesprächspartnern synonym gebraucht oder auch verwechselt werden. Daher möchte ich an dieser Stelle die Begriffe kurz erklären.
Datenschutz
Beim Thema Datenschutz geht es um die Einhaltung der gesetzlichen Datenschutzbestimmungen, die sich im Wesentlichen aus dem Bundesdatenschutzgesetz (BDSG) ergeben.
§1 beschreibt den Zweck des Gesetzes, nämlich den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. Hier geht es also um den Schutz von Menschen.
Bei der Erfüllung, der sich aus dem Gesetz ergebenden Pflichten, gibt es verhältnismäßig wenig Interpretationsspielraum. Das Gesetzt beschreibt recht deutlich, was erlaubt ist und was nicht.
Informationssicherheit
Bei der Informationssicherheit geht es um die Integrität, Verfügbarkeit und Vertraulichkeit von Informationen, Daten und Systemen.
Ein spezielles Gesetz hierzu existiert nicht. Allerdings ergibt sich mittelbar aus verschiedenen Gesetzen, dass die Geschäftsleitung dafür Sorge zu tragen hat, Gefahren vom eigenen Unternehmen abzuwenden. §91 Abs. 2 des Aktiengesetzes schreibt beispielsweise vor, dass der Vorstand geeignete Maßnahmen zu treffen hat, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden, insbesondere hat er ein hierfür geeignetes Überwachungssystem einzurichten. Diese Pflicht trifft nicht nur Vorstände von Aktiengesellschaften. In der laufenden Rechtsprechung wird diese Pflicht auch Geschäftsführern anderer Gesellschaftsformen abverlangt.
Das Thema Informationssicherheit ist also primär durch das wohlverstandene Eigeninteresse des Unternehmens motiviert und nur mittelbar durch entsprechende Gesetze.
Bei der Gestaltung der Informationssicherheit sind die Unternehmen frei in der Wahl der Mittel und Wege. Je nach Unternehmensgröße, -zweck und Branche ergeben sich ganz unterschiedliche Notwendigkeiten. Die Geschäftsleitung muss nur darauf achten, dass die Maßnahmen für jeweils ihr konkretes Unternehmen geeignet sind. Wer sich dabei an bestehenden Normen, wie den ISO-Normen der 27000er-Reihe oder den Standards des Bundesamtes für Sicherheit in der Informationstechnik (BSI) orientiert, kann sicher sein, nichts falsch zu machen.
Überschneidungen
In der Praxis gibt es breite Überschneidungen der beiden Bereiche. Die Unterschiede resultieren oftmals nur aus der jeweiligen Motivation, gesetzliche Anforderungen vs. Eigeninteresse des Unternehmens.
Der Schutz der Kundendatei zum Beispiel ist aus beiden Bereichen getrieben. Die enthaltenen personenbezogenen Daten von Kundenmitarbeitern unterliegen dem Datenschutzgesetz. Natürlich hat das Unternehmen aber auch ein starkes Eigeninteresse, dass die eigene Kundendatei nicht bei der Konkurrenz landet.
Und so können mit denselben Maßnahmen oft sowohl Anforderungen des Datenschutzes als auch der Informationssicherheit erfüllt werden.
Interessenkonflikte
Neben den Überschneidungen der beiden Bereiche gibt es aber auch Felder, in denen Informationssicherheit und Datenschutz in einen Interessenkonflikt geraten können.
Das Speichern von Log-Daten, z.B. der Informationen, wer sich wann an welchem Computer angemeldet hat, ist so ein Feld. Aus Sicht der Informationssicherheit sollte man diese Daten immer erheben und für die Untersuchung zukünftiger Sicherheitsvorfälle beinahe unbegrenzt aufbewahren. Zweifelsohne handelt es sich dabei aber auch um personenbezogen Daten. Ihre Speicherung ist daher zunächst einmal nicht statthaft.
Diese beiden konträren Standpunkte müssen jetzt über Darlegungen der Notwendigkeit der Erhebung und Speicherung sowie über entsprechende Individual- oder Betriebsvereinbarungen miteinander ausgeglichen werden.
Zusammenfassung
Informationssicherheit, als Sicherung der Verfügbarkeit, Vertraulichkeit und Integrität von Informationen, Daten und Systemen, und Datenschutz, als Schutz personenbezogener Daten, erscheinen oft wie zwei Seiten ein und derselben Medaille. Gelegentlich geraten die beiden aber auch in Interessenkonflikte. Um beide Anforderungen pflichtgemäß abzudecken, ist oft die externe Unterstützung durch einen kompetenten Dienstleister notwendig.
Quellen:
Pingback: Kurz erklärt: Informationssicherheit | ars tutandi Blog