Datenschutz oder Datensicherheit? TA Triumph-Adler bringt Klarheit in den Begriffsdschungel und zeigt, welche Massnahmen Unternehmen treffen sollten, um beides zu gewährleisten.
Nicht verwechseln: Was Datenschutz und Datensicherheit unterscheidet – und was beide gemeinsam haben
Wenn es um das viel diskutierte Thema Informationssicherheit geht, dann fallen die Begriffe „Datenschutz“ und „Datensicherheit“ häufig im selben Atemzug. Klar, wer seine wertvollen Kunden- und Unternehmensdaten (die nicht von ungefähr auch schon als das „neue Öl“ für die Wirtschaft des 21. Jahrhunderts bezeichnet wurden) angemessen schützen will, der muss Massnahmen dafür umsetzen. Datenschutz und Datensicherheit bedingen also einander und scheinen quasi austauschbar. Oder etwa doch nicht? Tatsächlich werden die beiden Begriffe im Unternehmensalltag – und selbst in der Strategieplanung – oft synonym verwendet, obwohl sie, wie wir gleich noch zeigen werden, teils eben doch auf unterschiedliche Handlungsfelder abzielen.
Zwei Beispiele: Wenn Sie den gesamten Datenverkehr in Ihrem Unternehmen ausschliesslich verschlüsselt übertragen und speichern, erhöht sich dadurch der Datenschutz oder die Datensicherheit? Und wenn Sie alle Daten von der guten alten Backup-Festplatte auf einen Cloud-Server hochladen, um Ihre Backups vor physischen Ausfällen durch fehleranfällige Speichermedien zu schützen, laufen Sie dann etwa Gefahr, gegen Datenschutzregeln zu verstossen? Nach der Lektüre dieses Artikels werden Sie sich diese Fragen selbst beantworten können. Wir bringen für Sie ein für alle Mal Klarheit in die Begriffe und geben praktische Tipps, wie Sie mit Ihrem Unternehmen beides erfolgreich umsetzen.
Datenschutz und Datensicherheit – Was ist der Unterschied?
Ganz vereinfacht vorweg: Datenschutz und Datensicherheit dienen im Unterschied zur Informationssicherheit nicht dem Schutz von Informationen und informationstechnischen Systemen, sondern von Daten. Beide beziehen sich auf den Schutz personenbezogener Daten.
Was ist Datenschutz?
„Datenschutz“ ist ein fester Begriff, dessen Umsetzung bei uns primär die 2018 in Kraft getretene EU-weite Datenschutz-Grundverordnung (DSGVO) regelt. Sie macht teils strenge Vorgaben zum Umgang von Unternehmen mit allen Daten, die Rückschlüsse auf die Identität einer natürlichen Person zulassen und deren Privatsphäre berühren, also etwa Namen und Adressdaten, Telefonnummern, Geschlechts- und Altersangaben, aber zum Beispiel auch Kontodaten oder Kfz-Kennzeichen. Ob überhaupt und, wenn ja, wie genau solche personenbezogenen Daten erhoben, gespeichert, geteilt oder gelöscht werden dürfen, darum geht es beim Datenschutz. Im Zentrum steht dabei neben dem Prinzip der Datensparsamkeit – personenbezogene Daten dürfen nicht unnötig oder in unverhältnismässigem Umfang erhoben und verarbeitet werden – das Recht auf informationelle Selbstbestimmung. Gemeint ist damit die Freiheit eines Einzelnen, eigenständig über die Weitergabe und Verwendung von personenbezogenen Daten bestimmen zu können. Für Unternehmen heisst das unter anderem, dass sie durch die DSGVO verpflichtet sind, die ausdrückliche vorherige Einwilligung personenbezogene Daten erheben und verarbeiten dürfen. Ausnahmen sind mit gesetzlichen Erlaubnissen in der DSGVO geregelt. Auf Nachfrage müssen Einzelpersonen zudem ihre Daten jederzeit zur Überprüfung einsehen können und dürfen in bestimmten Fällen auch ihre Löschung verlangen.
Der Datenschutz hat im Unternehmensalltag einen hohen praktischen Stellenwert erlangt. Für Unternehmen können nachgewiesene Verstösse gegen den Schutz personenbezogener Daten sehr teuer werden – mitunter drohen sehr hohe Bussgelder. Das betrifft KMU wie auch Konzerne in gleicher Weise. Um angesichts der komplexen Rechtslage weder juristische Auseinandersetzungen zu riskieren noch durch Überregulierungen im Datenschutz Geschäftsprozesse unnötig zu hemmen, empfiehlt es sich durchaus auch für KMU mit weniger als 20 Mitarbeiterinnen und Mitarbeitern, einen Datenschutzbeauftragten zu ernennen.
Was bedeutet Datensicherheit?
Der Begriff „Datensicherheit“ ist insgesamt viel weiter gefasst und beschreibt den Schutz von Daten im Allgemeinen – egal ob sie sich auf eine natürliche Person beziehen oder nicht und auch unabhängig von der Frage, ob es sich um digitale oder analoge Informationswerte handelt. Im Zentrum steht die Aufgabe, Daten im grösstmöglichen Umfang vor Beschädigung oder Verlust durch menschliche oder technische Fehler und vor unbefugten Zugriffen zu schützen. Hier kommen dann beispielsweise auch Massnahmen für die Ausfallsicherheit von Datenspeichern oder zum Schutz vor Cyberangriffen ins Spiel. Geht es beim Datenschutz vornehmlich um organisatorische Fragen, so befasst man sich beim Thema Datensicherheit im Allgemeinen eher mit technischen Aspekten.
Als Leitfaden für Datensicherheitskonzepte hat sich die sogenannte „CIA-Triade“ bewährt (die tatsächlich nichts mit dem US-Geheimdienst zu tun hat!).
Die CIA-Triade umfasst die drei Hauptkomponenten:
Vertraulichkeit (Confidentiality): Daten und die darin enthaltenen Informationen dürfen nur autorisierten Personen zur Verfügung stehen und müssen vor einem Zugriff durch unbefugte Dritte – egal ob dieser absichtlich oder unabsichtlich erfolgt – strikt geschützt werden.
Integrität (Integrity): Es muss verhindert werden, dass Daten böswillig gelöscht oder anderweitig vernichtet werden und dass ursprünglich enthaltene Informationen durch Manipulation nachträglich verändert oder vertuscht werden könnten.
Verfügbarkeit (Availability): Zugriffsberechtigte müssen bei Bedarf jederzeit über die Daten verfügen können.
Auf diesen drei „Säulen“ lassen sich massgeschneiderte Konzepte für die Daten- und die übergreifende Informationssicherheit im Unternehmen aufbauen. Kumuliert wird daraus ein vollumfassendes Informationssicherheits-Managementsystem (ISMS), das mit seinen Massnahmen für die nachhaltige Reduktion von Risiken für Kunden- und Unternehmensdaten und vertrauliche Informationen einer Zertifizierung nach ISO/IEC 27001, dem international anerkannten Standard für Informationssicherheit, dienen kann. Übrigens: Wir bei TA Triumph-Adler haben uns dafür entschieden, diesen Weg zu gehen, und die ISO 27001 an unseren Standorten in Deutschland umgesetzt. Sprechen Sie uns an, gerne teilen wir unsere Erfahrungen diesbezüglich mit Ihnen!
Datensicherheit entwickelt sich weiter
Gesetzliche Regelungen gibt es auch im Bereich der Datensicherheit, etwa durch das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) in Verbindung mit einer speziellen Norm aus Art. 32 DSGVO. Zutritt und Zugang zu sowie Zugriff auf sämtliche Daten klar regeln – etwa durch ein umfangreiches Berechtigungskonzept oder eine Passwortrichtlinie
Datenbestände regelmässig durch Backups oder in einer datenschutzkonformen Cloud sichern
Veränderungen transparent und nachvollziehbar machen und frühere Versionen stets abspeichern und weiterhin bereithalten – auch um eine revisionssichere Archivierung zu gewährleisten
Das hört sich kompliziert und nach viel Aufwand an? Das muss aber gar nicht so sein. Denn mit einem Partner wie TA Triumph-Adler, der seine langjährige Expertise sowohl in Sachen Hardware und Software für Bürokommunikation an der Schnittstelle zur IT wie auch als Anbieter von Professional Services einbringen kann, sind Sie rundum gut beraten in allen Fragen zu Datenschutz und Datensicherheit im modernen Digital Office.
