Suche
Close this search box.

Datenschutz und Datensicherheit

Lesen Sie in diesem Artikel:

Was ist Datenschutz?

Datenschutz hat durch die europäische Datenschutzgrundverordnung wieder mehr Platz in der öffentlichen Diskussion gewonnen. Primär geht es beim Datenschutz darum, den angemessenen Umgang mit personenbezogenen Daten zu regeln.

Mehrere Generationen von Gesetzen, Vorgaben und Regelungen auf nationaler wie internationaler Ebene haben dabei gewisse Grundbegrifflichkeiten etabliert, die verschiedene Teilaspekte dieser Aufgabe beschreiben. Konkret handelt es sich dabei um

  • Schutz des Rechts auf informationelle Selbstbestimmung,
  • Schutz des Persönlichkeitsrechts bei der Datenverarbeitung,
  • Schutz der Privatsphäre,
  • Schutz vor missbräuchlicher Datenverarbeitung.

 

Letztendlich sind dies unterschiedliche Blickwinkel auf DAS zentrale Ziel: das Recht des Einzelnen zu entscheiden, wem wann welche seiner persönlichen Daten zugänglich sein sollen, um sich so besser gegen betriebliche, staatliche oder anderweitige Überwachung und Profilbildung schützen zu können.

Datenschutz: eine einzelne Person entscheidet (häufig per Klick oder Unterschrift), ob, und wenn ja welche ihrer Daten an eine anfragende Organisation übergeben werden, wofür diese genutzt werden dürfen, und erhält das Recht auf Auskunft, Löschung etc.

Was ist Datensicherheit?

Datensicherheit hat Überschneidungen aber auch klare Unterschiede mit dem Datenschutz. Heutzutage besteht bei der Datensicherheit vor allem das technische Ziel, Daten jeglicher Art in angemessenem Maße gegen Verlust, Manipulationen, unberechtigtem Zugriff durch Dritte und andere Bedrohungen zu sichern. Datensicherheit kann dabei durch geeignete technische und organisatorische Mittel („TOMs“) erreicht werden, die auch bereits im Umfeld des Datenschutzes definiert wurden, und umgekehrt.

Zu den Schutzzielen der Datensicherheit gehören, ähnlich wie bei der Informationssicherheit und anderen verwandten Disziplinen, Vertraulichkeit, Integrität und Verfügbarkeit. Generell rekrutieren sich auch die operativen Aufgabenfelder größtenteils aus den gleichen Gesetzen, Verordnungen und Richtlinien. Im Umfeld der Datensicherheit liegt ein größeres Augenmerk dabei auf der Gesamtheit unternehmenssensibler und -kritischer Daten, die als Entscheidungsgrundlage für Entscheidungen dienen.

Datensicherheitsvorfälle – im Sinne ungewollt manipulierter oder abgeflossener Daten – sind in Ihrer Konsequenz somit weniger in einer gesetzlichen Strafdimension zu finden, sondern vielmehr mit der Schwächung der unternehmenseigenen Entscheidungskompetenz durch eine falsche Datenbasis und/oder Informationsabfluss an den Wettbewerb (im Sinne der Industriespionage), in den Markt (vor allem im Sinne des Imageverlustes) oder an staatliche Stellen in Verbindung zu bringen.

Zu unterscheiden ist Datensicherheit (data security) außerdem von der Datensicherung (data safety), die eher dem Bereich Verfügbarkeit und Desastervorsorge zugerechnet wird.

Unterschied zwischen Datenschutz und Datensicherheit

Datenschutz legt den Fokus in allererster Linie auf personenbezogene Daten an sich:  welche Rechte Einzelpersonen (Auskunftsanforderung, Löschanforderung etc.), welche Pflichten Organisationen haben (Erhebung, Verarbeitung, aktives Löschen etc.).

Abbildung 1: Datenschutz vs. Datensicherheit

Datensicherheit dagegen blickt in erster Linie auf die Korrektheit und Integrität personenbezogener und unternehmenskritischer Daten, die als Grundlage unternehmerischer Entscheidungen dienen. Datensicherheit umfasst somit große Bereiche der technischen Umsetzung des Datenschutzes, geht aber in seinen betrachteten Datenobjekten über rein personenbezogene Daten hinaus.

Die hinreichende Datensicherheit ist dabei eine zentrale Voraussetzung auch für einen effektiven Datenschutz.

Beiden gemein ist jedoch die Aufforderung zu sachgerechtem Umgang mit Daten, um die zwar gleichgerichteten, aber unterschiedlich gewerteten Schutzziele beider Disziplinen zu wahren.

Regeln zum Datenschutz und zur Datensicherheit

In den meisten Fällen geht das eine nicht ohne das andere. Datenschutz und Datensicherheit sind nahezu untrennbar miteinander verbunden und basieren nicht nur auf den gleichen gesetzlichen Vorgaben.

Der Datenschutz definiert hierbei die folgenden Grundregeln, vor allem zur Datenerfassung und -verarbeitung:

  • Direkterhebung: Daten dürfen nur bei der beteiligten Person direkt erhoben werden.
  • Einwilligung zur Datenerfassung: Diese muss aktiv der Datenerhebung zustimmen.
  • Zweckbindung: in der Zustimmung muss der jeweilige Verwendungszweck klar benannt sein
  • Datenvermeidung und Datensparsamkeit: jegliche NICHT für den Verwendungszweck notwendigen Daten dürfen auch NICHT erhoben und gespeichert werden
  • Betroffenenrechte: jede Einzelperson hat seit Inkrafttreten der DSGVO auch deutlich umfassendere Rechte in Bezug auf ihre von einer Organisation erhobenen Daten.

 

Die Missachtung dieser Regeln zieht teilweise erhebliche Strafen nach sich. Vor allem, wenn es sich nicht nur um personenbezogene Daten handelt, sondern speziell um solche mit besonders schützenwerten Inhalten.

Umso mehr macht es für Organisationen Sinn, dass sie im Rahmen der Datensicherheit nicht nur über Backup-Mechanismen nachdenken, sondern wirklich aktiv in Software, Hardware, Prozesse und Beratung investieren, die eine Erfüllung der Datenschutz-Vorgaben bestmöglich unterstützen.

Konkret bedeutet dies für Datenschutz und Datensicherheit: Hardware, Software und Prozesse von vornherein nach Datensicherheitsgesichtspunkten zu planen und zu implementieren, vor allem auch regelmäßig zu kontrollieren und zu testen.

Datenschutz und Datensicherheit in den Gesetzesbüchern

Basis für Datenschutz und Datensicherheit sind vor allem die folgenden Gesetze, die zur Definition und zum Umgang mit schutzwürdigen Datenobjekten und den dazugehörigen Prozessen heranzuziehen sind:

Vor allem die DSGVO hat dabei in den vergangenen Jahren für großes Aufsehen und noch mehr Projektaktivitäten in den Unternehmen gesorgt, da sie viele vorher als Einzelaspekte behandelte Themen in einem gesamtheitlichen Kontext sieht und vor allem die ursprünglichen Inhaber der Daten – also die Einzelpersonen – in ihre Rechten enorm stärkt.

Zur Durchsetzung bzw. bei Missachtung des Datenschutzes haben sich seit Inkrafttreten der DSGVO je nach Schweregrad und Umfang der Verfehlung zunehmend Strafbeträge bis in die mehrstelligen Millionen Euro etabliert, was inzwischen auch Unternehmen aus weniger restriktiven Regionen der Welt für europäischen Datenschutz sensibilisiert hat.

Umsetzung des Datenschutzes und der Datensicherheit

Als Management- und Prozesskompetenz steht das Information Security Management System (ISMS) für die Umsetzung des Datenschutzes und der Datensicherheit ganz oben auf der Prioritätenliste, bei vielen Unternehmen nach Vorbild gängiger ISO-Normen aufgebaut.

Ebenso mit dabei sind die Definition klarer Rollen und Verantwortlichkeiten sowie die Kartierung aller Objekte und Abläufe, die sich rund um schützenwerte Daten historisch aufgebaut haben, bzw. im Rahmen entsprechender Projektaktivitäten auf einen neuen Stand gebracht werden sollen.

Dazu gehören:

  • Aufbau der genannten ISMS mit Rückmeldemechanismen und kontinuierlicher Verbesserung
  • Benennung interner oder externer Datenschutzbeauftragter mit klarer Rollenbeschreibung
  • Planung, Durchführung und Dokumentation interner wie externer Audits
  • Prozess-, Anwendungs- und Datenmodelle, mit Fokus auf personenbezogene und andere kritische Daten
  • Prozesse und Tools für manuelle und automatisierte Prüfroutinen,
  • Sensibilisierung der Mitarbeiter durch Schulung und Information

 

Im Bereich der Datensicherheit sind vor allem die technischen Maßnahmen zu finden:

  • technische Schutzmaßnahmen jeder Art zur Härtung bzw. Reaktion auf interne wie externe, provozierte, aber auch auf ungewollte Vorfälle ,
  • Aufbau von Verfügbarkeits- und Disaster Recovery-Technologien,
  • Datenreduktion, Datenanonymisierung, Datenmaskierung,
  • Regelmäßige Tests samt Dokumentation relevanter Vorfallsszenarien

 

Bei der aufgezeigten Komplexität tun sich viele Unternehmen schwer in ausreichendem Maße Kompetenz verfügbar zu halten. Dies hat inzwischen zu einem großen Anteil z.B. externer Datenschutzbeauftragter geführt, die als ausgewiesene Experten auch Spezialfälle aus unterschiedlichen Blickwinkeln bewerten und bearbeiten können.

Ebenso meldet das BSI zuletzt die verstärkte Ausbildung und Zertifizierung unternehmensunabhängiger Vorfallexperten, die zur proaktiven Beratung wie auch im erfolgten Ernstfall hinzugezogen werden können.

Auch haben sich etliche Software- und Dienstleistungsunternehmen spezialisiert, in Infrastruktur- wie in komplexen Applikationsumfeldern Lösungen und Services anzubieten, die der Informationssicherheit im Allgemeinen, dem Datenschutz und der Datensicherheit im Besonderen die Komplexität nehmen. Gerade im Umfeld hochkomplexer SAP-Umgebungen mit Tausenden aktiver Schnittstellen, Unmengen an Entwicklungsprojekten mit internen wie externen Entwicklern und darauf basierend unterschiedlichsten Release- und Transportständen ist der Bedarf an Spezialisten ungebrochen, die mit strukturierten Tools und Methoden Schwachpunkte eliminieren, wie es die Berater aus dem Hause Firnkorn und Stortz mit den hauseigenen Standardtools sowie Beratung und Unterstützung entlang der Best Practices des Datenschutzes und der Datensicherheit, vor allem aber relevanter Kundenerfahrung bereits zig-fach unter Beweis gestellt haben.

Nicht zuletzt tragen auch solche Instanzen zur deutlichen Verbesserung des Datenschutzes und der Datensicherheit bei, die genau diese – allerdings im Namen der beauftragenden Organisation – massiv herausfordern: Penetration Tester und Ethical / White Hat Hacker.

Lesen Sie außerdem mehr zu verwandten Themen

Ihr Ansprechpartner bei Firnkorn & Stortz zum Thema Datenschutz und Datensicherheit

Firnkorn + Stortz GmbH
Thomas Firnkorn
Jetzt Kontaktieren

Treten Sie mit uns in Kontakt

Stellen Sie uns Ihre Fragen!