Datenschutz und Informationssicherheit werden in der Praxis oft verwechselt oder gar gleichgesetzt. Dabei besteht zwischen beiden Begriffen ein klarer, aber enger Zusammenhang: Datenschutz ist eine Teilmenge der Informationssicherheit.
Warum das so ist, lรคsst sich rechtlich wie auch organisatorisch prรคzise begrรผnden.
1. Informationssicherheit als รผbergeordneter Rahmen
Informationssicherheit umfasst sรคmtliche Maรnahmen, die dazu dienen, Informationen in jeglicher Form zu schรผtzen โ unabhรคngig davon, ob sie personenbezogen sind oder nicht. Ziel ist es, die Vertraulichkeit, Integritรคt und Verfรผgbarkeit von Informationen sicherzustellen.
Diese sogenannten Schutzziele der Informationssicherheit sind in internationalen Normen wie der ISO/IEC 27001 und den BSI-Standards 200-1 ff. definiert. Sie gelten fรผr alle Arten von Daten โ von Konstruktionsplรคnen รผber Quellcodes bis hin zu Kundendaten.
Ein Unternehmen, das Informationssicherheit ernst nimmt, betreibt also ein umfassendes Schutzmanagement fรผr seine gesamte Daten- und Systemlandschaft. Dazu zรคhlen technische, organisatorische und prozessuale Maรnahmen wie Zugriffsbeschrรคnkungen, Netzwerksicherheit, Verschlรผsselung, Notfallmanagement und Sensibilisierung der Mitarbeiter.
2. Datenschutz als spezieller Anwendungsfall
Der Datenschutz hingegen bezieht sich ausschlieรlich auf personenbezogene Daten, also auf Informationen, die sich auf eine identifizierte oder identifizierbare natรผrliche Person beziehen (Art. 4 Nr. 1 DSGVO).
Sein Ziel ist es, die Grundrechte und Grundfreiheiten natรผrlicher Personen zu schรผtzen, insbesondere das Recht auf informationelle Selbstbestimmung (Art. 1 Abs. 1 i.V.m. Art. 2 Abs. 1 GG, Art. 8 EU-Grundrechtecharta).
Damit greift der Datenschutz dort, wo personenbezogene Daten betroffen sind. Er setzt voraus, dass grundlegende Prinzipien eingehalten werden, etwa:
- Rechtmรครigkeit, Verarbeitung nach Treu und Glauben, Transparenz (Art. 5 Abs. 1 lit. a DSGVO)
- Zweckbindung und Datenminimierung (Art. 5 Abs. 1 lit. b u. c DSGVO)
- Integritรคt und Vertraulichkeit (Art. 5 Abs. 1 lit. f DSGVO)
- Rechenschaftspflicht des Verantwortlichen (Art. 5 Abs. 2 DSGVO)
Diese Prinzipien kรถnnen nur erfรผllt werden, wenn angemessene technische und organisatorische Maรnahmen (Art. 32 DSGVO) getroffen werden โ und genau hier schlieรt sich der Kreis zur Informationssicherheit.
3. Warum Datenschutz ohne Informationssicherheit nicht funktioniert
Wer personenbezogene Daten nicht angemessen schรผtzt, verletzt zugleich datenschutzrechtliche Pflichten. Die DSGVO schreibt in Art. 32 explizit vor, dass Verantwortliche ein dem Risiko angemessenes Schutzniveau gewรคhrleisten mรผssen โ durch Maรnahmen wie Pseudonymisierung, Verschlรผsselung, Zugangskontrollen und Wiederherstellbarkeit nach Vorfรคllen.
Diese Sicherheitsmaรnahmen stammen aus dem Werkzeugkasten der Informationssicherheit. Datenschutz kann also nur dann wirksam sein, wenn Informationssicherheit etabliert ist.
Anders formuliert: Informationssicherheit ist die technische und organisatorische Voraussetzung, Datenschutz das rechtliche und ethische Ziel.
4. Beispiel aus der Praxis
Ein Unternehmen betreibt ein CRM-System, in dem Kundendaten verarbeitet werden.
- Wird dieses System vor unbefugtem Zugriff geschรผtzt,
- werden Backups regelmรครig erstellt,
- werden Daten verschlรผsselt รผbertragen und gespeichert,
dann handelt es sich um Maรnahmen der Informationssicherheit, die zugleich die Anforderungen des Datenschutzes erfรผllen.
Doch wenn dasselbe Unternehmen zusรคtzlich Prozesse zur Einwilligung, Zweckbindung und Lรถschung personenbezogener Daten etabliert, wird aus Informationssicherheit konkreter Datenschutz.
5. Fazit
Datenschutz ist also kein isoliertes Rechtsgebiet, sondern ein spezialisierter Teilbereich der Informationssicherheit mit menschenrechtlichem Bezug.
Wรคhrend die Informationssicherheit den Schutz aller Informationen verfolgt, konzentriert sich der Datenschutz auf den Schutz personenbezogener Daten und deren rechtmรครige Verarbeitung.
Oder, um es prรคgnant zu formulieren:
Informationssicherheit schรผtzt Informationen. Datenschutz schรผtzt Menschen.
Fรผr Unternehmen bedeutet das: Ein wirksames Datenschutzmanagement kann nicht ohne gelebte Informationssicherheit bestehen. Beide Bereiche mรผssen integrativ gedacht und gemeinsam umgesetzt werden โ idealerweise im Rahmen eines Informationssicherheits-Managementsystems (ISMS) nach ISO/IEC 27001, ergรคnzt um die datenschutzspezifischen Anforderungen der ISO/IEC 27701 und der DSGVO.
Quellen:
Bundesamt fรผr Sicherheit in der Informationstechnik (BSI). (2023). IT-Grundschutz-Kompendium 2023. Bonn: BSI.
Europรคische Union. (2016). Datenschutz-Grundverordnung (EU) 2016/679. Amtsblatt L 119.
ISO/IEC 27001:2022. Information security, cybersecurity and privacy protection โ Information security management systems โ Requirements. International Organization for Standardization.
ISO/IEC 27701:2019. Extension to ISO/IEC 27001 for privacy information management. International Organization for Standardization.
Hornung, G. (2021). Datenschutzrecht โ Grundlagen und Praxis. Mรผnchen: C.H. Beck.