11 min Zuletzt auktualisiert: 28.06.2023

Datenschutz vs. Informationssicherheit – Unterschiede und Gemeinsamkeiten

Zahlreiche große wie kleine Organisationen sind in den vergangenen Jahren Opfer von Datenschutzverstößen geworden. Unter den betroffenen Unternehmen waren etwa auch British Airways, T-Mobile und die größte Datenschutzverletzung, Marriott Starwood, die Ende 2018 entdeckt wurde. Jeder Arbeitgeber ist mit der Realität konfrontiert, dass er das Ziel einer Attacke auf unternehmensinterne IT-Systeme sein könnte. Ein Verstoß gegen die IT- und Datensicherheit kann die Glaubwürdigkeit nachhaltig gefährden und kleine Unternehmen Tausende von Euro (oder mehr) an Schaden kosten. Diese Umstände wirken sich nicht nur auf den Kundendienst, sondern auch auf die Produktivität und den Ruf aus.

Wenn es um Datenschutz und IT-Sicherheit geht, ist häufig zu hören, dass diese Begriffe austauschbar verwendet werden. Sind dies jedoch tatsächlich Synonyme oder bezeichnen sie doch unterschiedliche Konzepte?

In diesem Beitrag werden wir auf Ähnlichkeiten und Unterschiede eingehen. Wir werden sehen, dass das eine nicht ohne das andere existieren kann.

Datenschutz – Definition

Grundsätzlich befasst sich der Datenschutz mit der ordnungsgemäßen Handhabung, Verarbeitung, Speicherung und Nutzung persönlicher Informationen. Es geht um die Rechte des Individuums in Bezug auf seine persönlichen Daten.

Bereiche, die den Datenschutz betreffen:

  • Datenerhebung für Verträge
  • Datenerhebung, etwa zu Umfragen oder Forschungszwecken
  • Verarbeitung durch Dritte

Die durch den Datenschutz zu schützende Privatsphäre bezeichnet das Recht des Einzelnen auf Freiheit von Eindringlingen und neugierigen Blicken. Das Recht am eigenen Bild sowie das Recht auf Löschung personenbezogener Daten sind dabei nur zwei Beispiele der zu schützenden Privatsphäre.

In vielen entwickelten Ländern ist die Privatsphäre bereits in der Verfassung garantiert. Somit wird Privatsphäre zu einem grundlegenden Menschenrecht und zu einem der Kernprinzipien der Menschenwürde. In Deutschland sind die Regularien in Bezug auf die Verarbeitung personenbezogener Daten im Bundesdatenschutzgesetz festgelegt.

Jede Risikobewertung, die zwecks einer Verbesserung des Datenschutzes durchgeführt wird, erfolgt unter Berücksichtigung des Schutzes der Rechte und Freiheiten betroffener Personen.

Was ist Informationssicherheit?

Informationssicherheit bezieht sich auf den Schutz sensibler Daten auf nicht-digitalen Systeme. Dabei muss es sich nicht zwangsläufig um personenbezogene Daten handeln. Vielmehr können auch Geschäftsgeheimnisse unter den Schutz der Informationssicherheit fallen. Zahlreiche Organisationen haben es auch heute noch mit Papierdokumenten zu tun, die wertvolle und schützenswerte Informationen enthalten. Maßnahmen der Informationssicherheit sollen Unternehmen also vor dem unbefugten Zugriff Dritter sowie böswilligen Angriffen und der Ausbeutung von Daten schützen.

Während die Informationssicherheit lediglich den Schutz analoger Informationen in den Fokus rückt, befasst sich die IT-Sicherheit mit Informationen auf digitalen Speichermedien und Datenträgern. Die IT-Sicherheit hat zum Ziel, Schutzmaßnahmen zu ergreifen, die insbesondere digitale Informationen vor menschlichen wie technischen Fehlern sichern. Es gilt, den Zugriff auf personenbezogene Daten durch unbefugte Personen zu verhindern. Dementsprechend ist die IT-Sicherheit ein wesentlicher Bestandteil der Informationssicherheit, anstelle eines eigenen Bereichs.

Somit dient die Informationssicherheit dazu, Daten mit verschiedenen Methoden und Techniken zu schützen, um den Datenschutz zu gewährleisten.

Informationssicherheit stellt die Integrität der Daten sicher, d.h. Daten sind genau, zuverlässig und für autorisierte Parteien verfügbar.

Zu den Methoden und Verfahren der Informationssicherheit können verschiedene Praktiken und Prozesse gehören, die den Datenschutz gewährleisten:

  • Überwachung von Benutzeraktivitäten
  • Netzwerksicherheit
  • Zugriffskontrolle
  • Verschlüsselung
  • Zwei-Faktor-Authentifizierung

Drei Säulen der Informationssicherheit

  1. Vertraulichkeit – verhindert, dass sensible Informationen die falschen Personen erreichen, und stellt gleichzeitig sicher, dass die richtigen Personen sie nutzen können
  2. Integrität – bewahrt die Konsistenz, Genauigkeit und Vertrauenswürdigkeit von Informationen während ihres gesamten Lebenszyklus
  3. Verfügbarkeit – stellt sicher, dass die Informationen verfügbar sind, wenn sie benötigt werden
Drei Säulen der Informationssicherheit

Alle drei Säulen müssen erfüllt sein, um ein zufriedenstellendes Maß an Informationssicherheit zu erreichen.

Generell gilt: Ein 100 % sicheres System gibt es nicht. Stattdessen gibt es für Unternehmen akzeptable Risikoniveaus.

Das bedeutet, dass eine Organisation zur Sicherung von Informationen zunächst eine formale Risikobewertung durchführen muss.

Die Risikobewertung wird dann mit den sog. Risikoakzeptanzkriterien des Unternehmens abgeglichen (diese werden in Übereinstimmung mit der Risikobereitschaft der Organisation entwickelt, d. h. ihrer Bereitschaft, ein vordefiniertes Risikoniveau zu akzeptieren). Anschließend kann ein Risikobehandlungsplan entwickelt werden.

Erst dann werden Sicherheitskontrollen mit dem Ziel gewählt, spezifische Restrisiken zu mindern. In der Informationssicherheit ist dies als ein risikobasierter Sicherheitsansatz bekannt.

Gemeinsamkeiten und Unterschiede

Obgleich beide Begriffe oft als Synonyme verwendet werden, gilt es, folgende Unterschiede zu beachten:

  1. Beim Datenschutz geht es um die konkrete und ordnungsgemäße Verwendung, Sammlung, Aufbewahrung, Löschung und Speicherung von Daten.
  2. Informationssicherheit umschließt Richtlinien, Methoden und Mittel zum Schutz sensibler Daten im Allgemeinen.

Zum Beispiel: Wenn Sie ein Google Mail-Konto verwenden, stellt das Passwort eine Methode der Informationssicherheit, während die Art und Weise, wie Google Daten zur Verwaltung des Kontos verwendet, dem Datenschutz entspricht.

Der Datenschutz ist durch die DSGVO klar geregelt und jedes Unternehmen muss den dort festgelegten Bestimmungen entsprechen. Die Informationssicherheit dagegen ist nicht formal geregelt und kann von Unternehmen entsprechend der individuellen Risikobewertungen aufgesetzt werden. Das heißt, dass die Informationssicherheit im Gegensatz zum Datenschutz keinen Zwang vorgibt und individuell frei gestaltet werden kann.

Trotzdem kommt es zwischen Informationssicherheit und Datenschutz immer wieder zu Überschneidungen und sogar Konflikten. Die Tatsache, dass Mitarbeiter in Unternehmen oftmals eigene Zugänge für das Intranet besitzen, ermöglicht das Tracking der Aktivitäten und Änderungen einzelner Benutzer. Eine Maßnahme, die die Informationssicherheit sensibler Daten sicherstellen soll.

Gleichzeitig muss dem Tracking durch die Mitarbeiter zunächst ausdrücklich zugestimmt werden. Andernfalls herrscht ein Verstoß gegen den Datenschutz vor, da unwissentlich personenbezogene Daten der Mitarbeiter erhoben und verarbeitet werden.

Auch weitere Bestandteile Datenschutzgrundverordnung verdeutlichen, wie sehr Datenschutz und Informationssicherheit miteinander verknüpft sind. Um sensible Daten zu schützen, sieht die DSGVO vor, dass Unternehmen angemessene technische und organisatorische Maßnahmen (TOM) einrichten müssen, also Vorgaben, die die Informationssicherheit betreffen.

Welche Maßnahmen können unternehmen ergreifen?

Unternehmen machen es zunehmend zur Priorität, ihre Organisationen vor Datenschutzverstößen zu schützen, indem sie Informationssicherheits-Schulungen anbieten.

Zusätzlich können Firmen eine unternehmensweite Richtlinie für Datenverstöße mit einem Reaktionsplan erstellen, der bei Bedarf implementiert werden kann. Auch kleine und mittelständische Unternehmen können technische Maßnahmen ergreifen, um Datenverstöße zu verhindern.

Daten sicher aufbewahren: Da viele Datenschutzverletzungen auf Fehler von Mitarbeitern zurückzuführen sind, sollten diese nur Zugang zu den Informationen haben, die für ihre jeweilige Rolle im Unternehmen wichtig sind.

Programm zum Passwortschutz: Um vor einer Datenverletzung geschützt zu bleiben, sollten kleine Unternehmen und ihre Mitarbeiter für jede Website, auf die täglich zugegriffen wird, sichere Passwörter verwenden. Außerdem sollten Passwörter niemals zwischen Mitarbeitern ausgetauscht oder dort aufgeschrieben werden, wo andere sie sehen können.

Sicherheitssoftware aktualisieren: Unternehmen sollten Firewalls, Antiviren-Software und Anti-Spyware-Programme einsetzen, um sicherzustellen, dass Hacker nicht leicht auf sensible Daten zugreifen können. Diese Sicherheitsprogramme erfordern jedoch auch regelmäßige Aktualisierungen, um sie frei von Schwachstellen zu halten. Schauen Sie also unbedingt auf den Websites der Software-Hersteller nach, um sich über bevorstehende Sicherheits-Patches und andere Aktualisierungen zu informieren.

E-Learning für mehr IT-Sicherheit im Unternehmen

Die Zahl der Cyberangriffe auf Unternehmen steigt täglich. Deshalb empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine regelmäßige Schulung der Belegschaft. Starten Sie gleich jetzt damit und stärken Sie ihre menschliche Firewall.

Zum E-Learning

Inhaltsangabe

Unsere Auszeichnungen

DBA Siegel

Unsere Partner

lawpilots GmbH
Am Hamburger Bahnhof 3
10557 Berlin
Deutschland

+49 (0)30 22 18 22 80 kontakt@lawpilots.com
lawpilots GmbH hat 4.6362191958496 von 5 Sternen 2570 Bewertungen auf ProvenExpert.com

E-Learnings

Darum lawpilots

Expertise

Unternehmen

Ressourcen

Verkauf nur an UnternehmerInnen, Gewerbetreibende, FreiberuflerInnen und öffentliche Einrichtungen. Kein Verkauf an VerbraucherInnen im Sinne des § 13 BGB.
Meldestelle für HinweisgeberInnen: lawpilots@hinweis.hb-ecommerce.eu; 0151 / 19461497