Wüssten Sie auf Anhieb, wie sich der Titel dieses Artikels beantworten lässt? Was also die Differenz zwischen Datenschutz und Datensicherheit ist? Ich bin mir sicher, dass den Begriffen im Alltag sehr wenig reflektiert begegnet wird. Dass sie also mehr als Synonym, denn als zwei spezifische Bereiche definiert werden. Und bis zu einem gewissen Grad ist das auch verständlich, da sie sich gegenseitig beeinflussen. Vereinfacht kann man etwa sagen, dass Datenschutz ohne Datensicherheitsmaßnahmen nicht umsetzbar ist.
Im vorliegenden Blog werde ich mich dennoch mit den (Mikro-)Unterschieden zwischen den sich verschränkenden Begriffen beschäftigen. Das tue ich, indem ich zunächst einmal grundsätzlich Definitionen erarbeite, bevor ich mich dann auf Gemeinsamkeiten und Differenzen beziehe. So soll Ihnen am Schluss des Artikels klarer sein, warum hier nicht einfach von synonymen Begrifflichkeiten gesprochen werden kann.
Schon aus den folgenden Definitionen wird sich für Sie ergeben, dass man einen engeren Rahmen (Datenschutz) und einen breiteren Rahmen (Datensicherheit) betrachten muss. Diese Definitionen sind in verschiedenen Datenschutzrichtlinien festgelegt, die den rechtlichen Rahmen für den Schutz personenbezogener Daten bilden.
Beim Datenschutz handelt es sich vereinfacht gesagt um den Schutz von personenbezogenen Daten. Letztlich also um das Recht der informationellen Selbstbestimmung. Hierbei dreht sich alles um rechtliche Fragen und Datenschutzmaßnahmen, die sich damit beschäftigen, wie personenbezogene Daten gesammelt, verarbeitet und genutzt werden.
Datensicherheit beschreibt Sicherheitsmaßnahmen, die dann faktisch und technisch unternommen werden, um die Sicherheit von Daten zu gewährleisten. Das Ziel besteht also darin, Daten vor Verlust, Manipulation oder dem Zugriff durch nicht berechtigte Dritte zu sichern.
Um den Datenschutz gewährleisten zu können, müssen die geeigneten Maßnahmen für die Datensicherheit getroffen werden. Das bedeutet, dass man ohne Datensicherheit keinen Datenschutz erreichen kann.
Ohne geeignete Datensicherheitsmaßnahmen kann es zu Datenschutzverletzungen kommen, die schwerwiegende Folgen für die betroffenen Personen und Unternehmen haben können.
Ein Beispiel zur Veranschaulichung: Nehmen wir an, ein Mitarbeiter eines Unternehmens verarbeitet personenbezogene Daten. Gleichzeitig ist der Laptop im Home-Office nicht abgesichert und jeder im Haushalt könnte auf die Informationen darauf zugreifen. Als Datensicherheitsmaßnahme sollte der Laptop jedoch idealerweise eine automatische Sicherheitssperre aktivieren, wenn man für eine gewisse Zeit inaktiv ist.
Exkurs: Die Datenschutzgrundverordnung (DSGVO)
Die DSGVO ist eine europäische Verordnung zum Schutz personenbezogener Daten. Sie gilt für alle öffentlichen und nicht-öffentlichen Stellen und somit für alle Unternehmen, die vereinfacht gesagt auf irgendeine Art und Weise personenbezogene Daten innerhalb der EU oder Daten von europäischen Bürgern außerhalb der EU verarbeiten. Es handelt sich dabei um ein einheitliches, konkretes Regelwerk, das durch andere nationale Datenschutzgesetze ergänzt wird (oder auch nicht).
Wie Sie gerade gelesen habe, überlappen sich Datenschutz und Datensicherheit. Und zwar insofern, als, dass sich aus Datenschutzgrundlagen überhaupt erst die (rechtliche) Notwendigkeit von Datensicherheitsmaßnahmen ergeben. Nichtsdestotrotz lassen sich bei detaillierter Betrachtung einige Nuancierungen entdecken. Ein Datenschutzbeauftragter kann dabei helfen, die Einhaltung der Datenschutzgrundlagen und die Umsetzung der notwendigen Datensicherheitsmaßnahmen zu überwachen.
Datenverarbeitung an sich bedeutet grundsätzlich sämtliche Erhebung und Verarbeitung von Daten. Wenn ich das aus der Position von Datenschutz betrachte, dann wird der Schwerpunkt auf personenbezogene Daten gelegt. Um aber wiederum eine verlässliche und konsistente Datenverarbeitung zu gewährleisten, sind geeignete Datensicherheitsmaßnahmen erforderlich. Die Datenschutzgrundverordnung (DSGVO) legt die rechtlichen Rahmenbedingungen für die Verarbeitung personenbezogener Daten fest.
Ein Datenverlust ist definitorisch das unvorhergesehene Verlorengehen von Daten. In Datenschutzverordnungen gibt es Regelungen (Beispiel: DSGVO, Bundesdatenschutzgesetz, Datenschutzgesetz Österreich etc.), was geschehen muss, sofern wirklich eine Datenschutzverletzung durch Datenverlust passiert. Es existieren unter anderem gewisse Meldepflichten gegenüber der Datenschutzbehörde und ebenso gegenüber den betroffenen Personen.
Mit Datensicherheitsmaßnahmen soll hingegen schon im Vorhinein alles unternommen werden, damit ein Verlust von Daten erst gar nicht zustande kommt. Und falls es doch zum Datenverlust kommt, soll es geeignete Maßnahmen geben, damit die verlustigen Daten wiederhergestellt werden können.
Persönlichkeitsrechte sind Grundrechte. Das Recht auf körperliche Unversehrtheit, Schutz der Privatsphäre, Recht auf informationelle Selbstbestimmung, Schutz des geistigen Eigentums und vieles mehr zählt unter diese Grundrechte. Da diese grundrechtlichen Prämissen bestehen, hat der Staat über passende Datenschutzgesetze für deren Aufrechterhaltung zu sorgen.
Um die Persönlichkeitsrechte (wie zum Beispiel die informationelle Selbstbestimmung) zu gewährleisten, sind dann wiederum verschiedene Datensicherheitsmaßnahmen erforderlich.
Zum einen müssen sich alle Unternehmen an alle Datenschutzgrundlagen (DSGVO, Länderverordnungen etc.) halten. Bei Verletzung drohen insbesondere im DSGVO-Umfeld nämlich hohe Bußgelder. Unternehmen sollten für geeignete Datensicherheitsmaßnahmen Sorge tragen, um
diesen Vorschriften nachkommen zu können,
aber auch um sonstige Daten im Eigeninteresse, die nicht den Datenschutzverordnungen unterliegen, zu schützen.
Es kann sinnvoll sein, einen Datenschutzbeauftragten zu bestellen. Ab einer bestimmten Größe ist ein Datenschutzverantwortlicher sogar zwingend erforderlich.
Die Umsetzung von Datenschutz und Datensicherheit in einem Unternehmen erfordert eine sorgfältige Planung und Durchführung von Maßnahmen, um die Sicherheit und den Schutz von personenbezogenen Daten und Unternehmensdaten zu gewährleisten. Hier sind einige wichtige Schritte und Verantwortlichkeiten, die beachtet werden sollten:
Datenschutzbeauftragter: Jedes Unternehmen sollte einen Datenschutzbeauftragten ernennen, der für die Umsetzung des Datenschutzes und die Einhaltung der gesetzlichen Vorgaben verantwortlich ist. Dieser Experte überwacht die Einhaltung der Datenschutzrichtlinien und schult die Mitarbeiter in datenschutzrelevanten Themen. In Deutschland sind laut § 38 des neuen Bundesdatenschutzgesetzes (BDSG) Unternehmen verpflichtet einen Datenschutzbeauftragten zu stellen, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. (Stand Herbst 2024, hierbei handelt es sich um keine verbindliche Rechtsberatung.)
Datenschutzkonzept: Ein umfassendes Datenschutzkonzept ist unerlässlich. Es sollte die Maßnahmen und Strategien zur Umsetzung des Datenschutzes im Unternehmen detailliert beschreiben. Dazu gehören Richtlinien zur Datenverarbeitung, zur Aufbewahrung und zum Schutz von personenbezogenen Daten.
Datensicherheitsmaßnahmen: Technische und organisatorische Maßnahmen sind entscheidend, um die Datensicherheit zu gewährleisten. Dazu zählen die Verwendung von Verschlüsselungstechnologien, Firewalls und Zugriffskontrollen. Diese Maßnahmen schützen die Daten vor unberechtigtem Zugriff und Verlust.
Datenverarbeitung: Die Verarbeitung von personenbezogenen Daten sollte stets im Einklang mit den gesetzlichen Vorgaben erfolgen. Unternehmen müssen sicherstellen, dass Daten nur für den vorgesehenen Zweck und mit der erforderlichen Sorgfalt verarbeitet werden.
Unternehmensdaten: Neben personenbezogenen Daten müssen auch Unternehmensdaten geschützt werden. Maßnahmen wie regelmäßige Backups und Notfallpläne sind essenziell, um die Verfügbarkeit und Integrität der Daten zu gewährleisten.
E-Mail-Sicherheit: Die Sicherheit von E-Mails ist ein weiterer wichtiger Aspekt. Durch die Verwendung von Verschlüsselung und Authentifizierung können Unternehmen sicherstellen, dass sensible Informationen nicht in falsche Hände geraten.
Experten: Die Beratung durch Experten kann Unternehmen dabei helfen, die komplexen Anforderungen des Datenschutzes und der Datensicherheit zu erfüllen. Diese Fachleute können wertvolle Einblicke und praktische Lösungen bieten.
Begriffe und Synonyme: Ein klares Verständnis der Begriffe und Synonyme im Bereich Datenschutz und Datensicherheit ist wichtig. Dies hilft, Missverständnisse zu vermeiden und die korrekte Umsetzung der Maßnahmen sicherzustellen.
Informationen: Unternehmen sollten ihre Mitarbeiter und Kunden regelmäßig über die Maßnahmen zum Datenschutz und zur Datensicherheit informieren. Aufklärung über Rechte und Pflichten trägt zur Schaffung eines sicheren Datenumfelds bei.
Praxis: Die Umsetzung von Datenschutz und Datensicherheit sollte kontinuierlich überprüft und aktualisiert werden. Regelmäßige Audits und Anpassungen der Maßnahmen stellen sicher, dass sie den aktuellen Bedrohungen und gesetzlichen Anforderungen entsprechen.
Durch die Beachtung dieser Schritte und Verantwortlichkeiten können Unternehmen sicherstellen, dass sie die Sicherheit und den Schutz von personenbezogenen Daten und Unternehmensdaten gewährleisten und die gesetzlichen Vorgaben einhalten.
Die Angemessenheit der Datensicherheitsmaßnahmen ist letztlich eine Frage des Datenschutzes, der sie bedingt. Wer aus den Begriffen Datenschutz und Datensicherheit also ein und dasselbe macht, liegt explizit nicht falsch. Denn natürlich bedingen sich die Komponenten im Datenkontext gegenseitig.
Trotzdem habe ich in diesem Beitrag versucht, den prinzipiellen Unterschied ausfindig zu machen. Dieser liegt darin, dass Datensicherheit für die Erreichung des Datenschutzes unabdingbar ist. Gleichzeitig sind Persönlichkeitsrechte nicht die primäre Ursache für die Maßnahmen der Datensicherheit. Darüber hinausgehend sind beispielsweise Unternehmensdaten ebenfalls ein Eigeninteresse von deren Inhabern. Und diese wollen und sollen durch angemessene Vorbereitungen und Umsetzungen ausreichend geschützt werden.
Alle Maßnahmen, die ergriffen werden müssen, um die Sicherheit sämtlicher Daten zu gewährleisten.
KonzeptEin Datensicherheitskonzept ist ein datenschutzrechtliches Vorgehen, in welchem der rechtmäßige Umgang mit den personenbezogenen Daten sichergestellt wird. Daten werden nach folgenden vier Grundsätzen geschützt:
Vertraulichkeit der Daten vor unberechtigten Zugriffen
Integrität: Korrektheit und Vollständigkeit der Daten während der Verarbeitung
Verfügbarkeit aller Daten, IT-Systeme und Netzwerke sowie Zugriff auf die Daten
Belastbarkeit: robuste IT-Systeme, die im Falle von Fehlern funktionsfähig bleiben
Das Ziel liegt im Schutz der oben erwähnten Grundrechte, wie beispielsweise dem Schutz der informationellen Selbstbestimmung.
VerletzungDafür gibt es zahlreiche Beispiele. Denken Sie nur daran, dass Unterlagen verlorengehen oder gestohlen werden. Aber auch an den Fall von Hackerangriffen, Phishing-Mails, nicht datenschutzkonformer Entsorgung von Festplatten oder Dokumenten und mehr.
ZusammenhangBei Datenschutz geht es vor allem um die rechtlichen Bestimmungen bei der Verarbeitung von personenbezogenen Daten. Die Datensicherheitsmaßnahmen dienen zur Erreichung dieser Vorschriften.
UnterschiedDatensicherheitsmaßnahmen dienen dem Schutz sämtlicher Daten. Auch denen, die nicht dem Datenschutz (mit Blick auf personenbezogene Daten) unterliegen. Im Endeffekt geht Datensicherheit (technischer Aspekt) also über Datenschutz (rechtlicher Aspekt) hinaus.