Im Alltagsbewusstsein werden Datenschutz und Datensicherheit häufig gleichgesetzt und synonym benutzt. Mit diesem Artikel soll der Versuch unternommen werden, Unterschiede und Gemeinsamkeiten von Datensicherheit und Datenschutz allgemein verständlich herauszuarbeiten und Handlungsoptionen für Ihre Organisation aufzuzeigen. Beginnen wir mit dem elementaren Unterschied.
Der Blickwinkel entscheidet
Datensicherheit bezieht sich auf die Gesamtheit sämtlicher Daten in einer Organisation, unabhängig von konkreten Form der Verarbeitung. Die wesentlichen Gewährleistungsziele der Datensicherheit sind Vertraulichkeit, Verfügbarkeit und Integrität. Der Focus der Datensicherheit richtet sich auf die zu schützende Organisation.
Datenschutz hingegen bezieht sich ausdrücklich ausschließlich auf personenbezogene Daten, hat also trotz beträchtlicher Schnittmengen einen anderen Focus. Aus diesem Grund werden im Datenschutz die Gewährleistungsziele der Datensicherheit durch vier weitere Gewährleistungsziele, Datenminimierung, Transparenz, Intervenierbarkeit und Nichtverkettung ergänzt. Der Focus des Datenschutzes richtet sich primär auf die betroffene, natürliche Person, weniger auf die Sicherheit der Organisation, auch wenn diese eine wichtige Rolle spielt.
Die Schnittmenge zwischen Datensicherheit und Datenschutz ist also beträchtlich, auch wenn relevante Unterschiede in den Anforderungen bestehen.
Datensicherheit und Datenschutz verhalten sich zueinander wie oszillierende Röhren. In aller Regel werden Verstöße gegen die Gewährleistungsziele der Datensicherheit auch den Datenschutz betreffen.
Die Rangordnung der Datenschutzkonferenz
sieht als übergeordnetes Ziel das Gewährleistungsziel der Datenminimierung an. In der Praxis als betrieblicher Datenschutzbeauftragter sehe ich angesichts der Entwicklungen der letzten Jahre diese Rangordnung kritisch. Verstöße gegen Integrität, Vertraulichkeit und Verfügbarkeit können bei legitim aus datenschutzrechtlicher Sicht verarbeiteten Daten für die Betroffenen zu erheblichen Konsequenzen führen, so dass die Gewährleistungsziele der Datensicherheit gleichwertig eingestuft werden sollten. Wobei angemerkt sein sollte, dass auch die DSGVO den Verantwortlichen dazu verpflichtet, mit geeigneten technischen und organisatorischen Maßnahmen vorbeugend tätig zu werden. Es kann Fälle in der betrieblichen Praxis geben, die eine Abwägung zugunsten der Sicherheit der Verarbeitung im Widerspruch beispielsweise zur Datenminimierung erfordern, auch wenn derartige Fälle glücklicherweise eher selten sind.
Datensicherheit in der Praxis
Die wichtigsten technischen und organisatorischen Maßnahmen der Datensicherheit sind:
- Sicherstellung der Vertraulichkeit durch ein geeignetes Rollenkonzept und Beschränkung des Datenzugriffs auf das notwendige Maß und berechtigte Personen.
- Regelmäßige und zeitnahe Aktualisierungen sämtlicher Software im Netzwerk
- Ein konsequent nach dem 3-2-1 Prinzip durchgeführtes Backup, wovon mindestens ein Teil als Offline-Backup vorrätig sein sollte.
- Sensibilisierung aller Beschäftigten in Datensicherheits- und Datenschutzfragen durch regelmäßige Schulungen.
Sie benötigen einen betrieblichen Datenschutzbeauftragten?
Wir betreuen mittelständische Unternehmen und Unternehmensgruppen aus unterschiedlichen Branchen und stellen bei Bedarf den betrieblichen Datenschutzbeauftragten auch im Konzernverbund.
Resiliente Organisationen
zeichnen sich durch die Fähigkeit aus, in Krisensituation rasch und überlegt einen Schaden eindämmen und in seinen Auswirkungen begrenzen zu können. Unternehmen sollten neben präventiven Maßnahmen für den Fall der Fälle über einen Kriseninterventionsplan verfügen und Beschäftigte rechtzeitig auch für diesen Fall zu schulen. Die Fähigkeit zur Intervention im Krisenfall sollte genau so trainiert werden, wie das präventive Erkennen von Risiken. Neben der Fähigkeit, präventiv Krisen zu vermeiden, müssen Organisationen zwingend Notfallpläne entwickeln, um Krisen reaktiv einzudämmen. Diese Pläne müssen regelmäßig überprüft und ggf. auch nachgebessert und aktualisiert werden.
Weitere Informationen:
Resilienz in Unternehmen und Organisationen
Ransomware
NIS2 kommt mit Sicherheit
Die Umsetzung der NIS2 Richtlinie zur Datensicherheit in nationales Recht, wobei die Richtlinie Mindestanforderungen definiert, lässt in Deutschland noch auf sich warten. Die EU-Kommission hat deshalb gegen Deutschland und weitere säumige Staaten ein Vertragsverletzungsverfahren eingeleitet. Realistischerweise steht zu erwarten, dass ein entsprechendes Umsetzungsgesetz noch 2025 beschlossen wird. Unternehmen und Organisationen des staatlichen Sektors sind gut beraten, sich frühzeitig auf die Anforderungen der Richtlinie einzustellen.
Zu ihrer eigenen Sicherheit und der ihrer Kunden und Partner. Die Richtlinie verpflichtet Organisationen in insgesamt 11 Sektoren ab einer Größe von 50 Mitarbeitenden zur Einführung verschiedener Maßnahmen zur Datensicherheit, einschließlich von Meldepflichten im Falle eines Sicherheitsvorfalls. Wenn Ihr Unternehmen betroffen sein könnte, kontaktieren Sie uns gerne.