Datensicherheit vs. Datenschutz

Was genau ist mit den Begriffen Datenschutz und Datensicherheit gemeint? Eines gleich vorweg: Sie verfolgen unterschiedliche Ziele und sollten daher nicht synonym gebraucht werden, obwohl dies im Alltag oft der Fall ist.

Was ist Datenschutz?

Datenschutz ist am einfachsten mit dieser kurzen Definition zu verstehen: Unter Datenschutz versteht man den Schutz von personenbezogenen Daten. Hierunter fallen alle Daten, die sich auf ein natürliche Person beziehen. Ziel des Datenschutzes ist der Schutz des allgemeinen Persönlichkeitsrechts der betroffenen natürlichen Personen. Normen hierzu finden sich in der Datenschutzgrundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG). Der Datenschutz dient somit dem Zweck natürliche Personen und ihre Grundrechte und Grundfreiheiten zu schützen.

Was ist Datensicherheit?

Datensicherheit beschäftigt sich hingegen generell mit der Sicherheit von Daten. Ziel der Datensicherheit ist der Schutz von Daten allgemein, nicht nur von personenbezogenen Daten. Hierunter fallen damit auch reine Unternehmensdaten, also Daten von juristischen Personen. Das oberste Ziel der Datensicherheit besteht in der Gewährleistung der Vertraulichkeit, der Integrität und der Verfügbarkeit von Daten. Vereinfacht könnte man sagen, dass es sich hier um die praktischen Sicherheitsmaßnahmen oder Ansätze zum Schutz von Daten handelt (z.B. Maßnahmen zur Datensicherung, technischer Schutz vor Datenverlust usw.).

Datenschutz und Datensicherheit im Unternehmen

Obwohl Unternehmen beide Elemente - Datenschutz und Datensicherheit - beachten müssen, bleiben diese Themen in ihrem Geschäftsalltag aufgrund ihrer Komplexität oft hintenangestellt. Dabei sind Datenschutz und Datensicherheit überaus wichtig und Maßnahmen zu deren Umsetzung und Befolgung auch von nicht zu unterschätzender wirtschaftlichen Relevanz. Es bedarf deshalb eines genauen Blicks auf die Unterscheidung von Datenschutz und Datensicherheit. Zumal können Verstöße gegen diese zu Abmahnungen, hohen Bußgeldern und sogar Imageverlusten führen.

Beim Datenschutz geht es vor allem darum, „wann“ und „wie“ Daten von natürlichen Personen verarbeitet werden dürfen. Mit dem Schutz dieser Daten befasst sich das Datenschutzrecht. Dieses ist seit Mai 2018 in der Datenschutzgrundverordnung (DSGVO) geregelt.

Eine genaue Definition des Begriffs „Datensicherheit“ ist nicht möglich, da es zu ähnlichen Bereichen (wie IT-Sicherheit) an einer klaren Abgrenzung mangelt. Jedoch liefert die Antwort der Wortlaut selbst: es geht darum, Daten "sicher zu machen" und diese vor unbefugten Zugriffen zu schützen.

Datenschutz vs. Datensicherheit – so gelingt die Unterscheidung

Der Unterschied zwischen Datenschutz und Datensicherheit ist nicht immer ganz einfach zu verstehen. In der Praxis helfen in der Regel:

Datenschutz: Darf ich bestimmte (personenbezogene) Daten zu einem bestimmten Zweck verarbeiten?

Datensicherheit: Mit welchen Maßnahmen schütze ich die erhobenen Daten?

Als konkrete Hilfe ist ein Anschauungsbeispiel möglich: Anhand dieses Beispiels aus der Praxis lässt sich die Unterscheidung folgendermaßen veranschaulichen:

Datenschutzproblematik: Darf ich über den Familienstand meiner Kunden Daten erheben?

Datensicherheitsproblematik: Wie sorge ich dafür, dass nur berechtigte Mitarbeiter auf die Daten über den Familienstand der Kunden zugreifen können?

Regeln zu Datenschutz und Datensicherheit

Oft gehen Datenschutz und Datensicherheit Hand in Hand. Beispielsweise sind bei der Erstellung von Kundenkarteien nicht nur die Grundsätze des Datenschutzes zu beachten, sondern auch einige Sicherheitsfragen: Wer darf auf die Kundenkarteien zugreifen? Mit welchen konkreten Maßnahmen kann man diese (Kunden-)Daten vor unbefugten Zugriffen schützen? Deshalb haben wir die wichtigsten Regeln für Sie zusammengefasst:

Zum Datenschutz:

• sorgen Sie für klare Regeln bei Ihren Mitarbeitern.
• Holen Sie sich die ausdrückliche Einwilligung zur Datenverarbeitung von Ihren Kunden ein.
• Erheben Sie nur die Daten, die Sie wirklich brauchen.
• Bleiben Sie transparent! Zeigen Sie dem Kunden, warum Sie die Daten benötigen.
• Sorgen Sie z.B. mit Schulungen für die Aktualität Ihrer Compliance im Bereich Datenschutzrecht.
• Formulieren Sie mit Ihren Mitarbeitern eine Richtlinie für Ihren Datenschutz, die leicht verständlich ist und die auch befolgt wird.
• Beachten Sie, je nach Unternehmensgröße die Verpflichtung, einen Datenschutzbeauftragten zu bestellen.

Zur Datensicherheit:

• Besonders vertrauliche Daten sollten besonders geschützt werden und ein Zugriff durch Dritte unmöglich sein.
• Sorgen Sie für die Integrität Ihres Systems – Daten müssen unverändert und korrekt bleiben und dürfen nicht untergehen, da sonst das Risiko des Datenverlustes besteht.
• Ihr Auftreten im Internet muss Sicherheit demonstrieren. Dies kann durch die Verschlüsselung von Zahlungsvorgängen und klare transparente Sicherheitsrichtlinien erreicht werden.
• Regelmäßige Kontrollen sind unerlässlich!

Datensicherheitsmaßnahmen

Damit etwaige auftretende Sicherheitslücken nicht von Unbefugten ausgenutzt werden können, sollten Sie entsprechende Datensicherheitsmaßnahmen treffen. Diese betreffen bei der elektronischen Datenverarbeitung vor allem den Bereich IT. Darunter fallen unter anderem folgende Maßnahmen:

• Verschlüsselung von Daten
• Verwendung einer sicheren, zertifizierten Cloud
• Vermeidung von unsicherem Datenaustausch per E-Mail – wählen Sie dafür gesicherte Server (Nutzung eines verschlüsselten Kommunikationskanals)
• Kontinuierliche Auswertung der Logfiles und Monitoring Ihres Unternehmens-Servers
• Viren- und Firewallschutz (gilt auch für mobile Geräte)
• Bewertung gemeinsam benutzter Infrastrukturen (z.B. Server) mit Geschäftspartnern
• Bei einer Nutzung von privaten Geräten BYOD – Bring your own device: Einbindung in das IT-Sicherheitskonzept, zentrale Administration, Einsatz von Container-Lösungen.

Natürlich betrifft das auch die analoge Datenverarbeitung. Hier sind insbesondere folgende Datensicherheitsmaßnahmen zu verzeichnen:

• Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags-, Verfügbarkeits- Trennungskontrollen im Zuge der technischen und organisatorischen Maßnahmen, wie zum Beispiel eine sog. Clean-Desk-Policy oder die Verwendung von Aktenvernichter einer angemessenen Sicherheitsstufe – je höher die Schutzklasse betroffener Informationen, desto höher ist hier die zu wählende Schutzstufe (Orientierung kann hierbei die D IN 66399 geben).
• Natürlich schließen solche Maßnahmen auch regelmäßige Mitarbeiterschulungen mit ein, damit alle Arbeitnehmer bezüglich der Datensicherheit stets up-to-date bleiben.

Datensicherheitsbeauftragter

Gibt es für den Datenschutz im Unternehmen einen Datenschutzbeauftragten, dann ist es naheliegend, dass es für die Datensicherheit einen Datensicherheitsbeauftragten gibt, oder? Leider ist das ein Irrglaube, denn die Position eines Datensicherheitsbeauftragten gibt es per se nicht. Meist wird damit der IT-Sicherheitsbeauftragte gemeint, der sich auch um die Datensicherheitsmaßnahmen in einem Unternehmen kümmert. Denn wie bereits erwähnt, sind vor allem bei der elektronischen Datenverarbeitung die IT- und die Datensicherheit untrennbar miteinander verbunden. Zwar ist ein IT-Sicherheitsbeamter – in öffentlichen Einrichtungen ein Sicherheitsbeauftragter – nur in wenigen Unternehmen Pflicht, dennoch ist diese Stelle gerade in Unternehmen, die viele und / oder sensible personenbezogene Daten verarbeiten eine sehr sinnvolle Position. Und deckt quasi gleichzeitig die Stelle des Datensicherheitsbeauftragten ab.

Wir beantworten Ihre Fragen zu Datenschutz und Datensicherheit

Worum geht es beim Thema Datenschutz konkret?

Beim Datenschutz geht es vor allem darum, wann und wie Daten von natürlichen Personen verarbeitet werden dürfen. Mit dem Schutz dieser Daten befassen sich die Datenschutzgesetze, darunter unter anderem die Datenschutzgrundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG).

Worum geht es bei der Datensicherheit konkret?

Hinter dem Begriff der Datensicherheit verbirgt sich ganz allgemein der Zweck Daten zu schützen. Dies soll durch verschiedene technische Maßnahmen geschehen, welche ein angemessenes Schutzniveau für die jeweilige Datenverarbeitung herstellen sollen. Konkret sind hierbei Maßnahmen zum Schutz der Daten vor Missbrauch, Verfälschung, Verlust und unberechtigtem Zugriff gemeint.

Gibt es konkrete Maßnahmen für die Sicherung des Datenschutzes innerhalb eines Unternehmens?

Je nach Art und Sensibilität der Daten sind verschiedene Maßnahmen denkbar: z.B. die Pseudonymisierung und Verschlüsselung von personenbezogenen Daten beim Versand. Zudem sollte jedes Unternehmen ein Datenschutzkonzept haben, welches die Erhebung, Nutzung und Verarbeitung personenbezogener Daten regelt und dokumentiert. Dies gilt natürlich nicht nur für digital, sondern auch für analog erhobene Daten. Für einen lückenlosen Datenschutz unterstützt bei Bedarf ein Fachmann – ein Datenschutzbeauftragter.

Gibt es für den Datensicherheitsbereich auch Experten?

Ja, je nach Größe und Komplexität des Unternehmens ist es empfehlenswert IT-Spezialisten als Datensicherheitsexperten anzustellen, die sich um die technische Sicherheit aller Daten innerhalb eines Unternehmens kümmern.

Besitzen die Bereiche Datenschutz und Datensicherheit Überschneidungspunkte?

Die beiden Bereiche treffen sich im Bereich der technischen und organisatorischen Maßnahmen, welche in Art. 32 DSGVO geregelt sind. Hierbei sollen konkrete Maßnahmen umgesetzt werden, um ein angemessenes Schutzniveau für die Verarbeitung der Daten herzustellen.

Datensicherheit Fax: Ist „datenschutzkonform“ faxen möglich?

Die Datensicherheit beim Fax ist sehr gering. Gerade die Vertraulichkeit der Daten ist stark gefährdet, da ein Fax Informationen offen und unverschlüsselt überträgt. Auch, wenn versehentlich die falsche Nummer angewählt oder die Zielnummer auf einen anderen Anschluss umgeleitet wurde, ist die Datensicherheit nicht gewährleistet. Beim Faxverkehr gibt es keine konkreten Vorschriften, aber als Faustregel gilt: Keine vertraulichen und / oder personenbezogenen Daten übermitteln!

Wie sieht es mit der Datensicherheit bei Alexa aus?

Die Datensicherheit bei Smart Home Devices ist sehr umstritten. Sprachassistenten wie Smartspeaker Alexa, Siri oder der Google Assistent oder andere internetfähige Geräte hören Sprachsignale mit und zeichnen Daten auf.

Was sind wichtige Datensicherheitsmaßnahmen für Unternehmen?

Datensicherheitsmaßnahmen im Unternehmen sind Aktionen, mit denen erhobene personenbezogene Daten geschützt werden. Dazu zählen neben der Verwendung der neusten Technik im Unternehmen Maßnahmen wie die Verschlüsselung von Daten und die Nutzung sicherer Server oder die Installation von Viren- und Firewalls, auch für Mobilgeräte. All diese Punkte werden unter den technischen und organisatorischen Maßnahmen (TOMs) abgebildet und umfassen auch den Schutz analoger Daten. Hierzu zählen Maßnahmen wie Zutritts- und Zugangskontrollen mit abschließbaren Aktenschränken und der Verwendung von Aktenvernichtern mit einer angemessenen Sicherheitsstufe oder der Protokollierung von Benutzeraktivitäten in Systemen (Eingabekontrolle). Ganz wichtig ist zudem die regelmäßige Schulung der Mitarbeiter in Puncto Datenschutz.