Im Alltagsbewusstsein werden Datenschutz und Datensicherheit häufig gleichgesetzt und synonym benutzt. Mit diesem Artikel soll der Versuch unternommen werden, Unterschiede und Gemeinsamkeiten von Datensicherheit und Datenschutz allgemein verständlich herauszuarbeiten und Handlungsoptionen für Ihre Organisation aufzuzeigen. Beginnen wir mit dem elementaren Unterschied.
Datensicherheit bezieht sich auf die Gesamtheit sämtlicher Daten in einer Organisation, unabhängig von konkreten Form der Verarbeitung. Die wesentlichen Gewährleistungsziele der Datensicherheit sind Vertraulichkeit, Verfügbarkeit und Integrität.
Datenschutz hingegen bezieht sich ausdrücklich ausschließlich auf personenbezogene Daten, hat also trotz beträchtlicher Schnittmengen einen anderen Focus. Aus diesem Grund werden im Datenschutz die Gewährleistungsziele der Datensicherheit durch vier weitere Gewährleistungsziele, Datenminimierung, Transparenz, Intervenierbarkeit und Nichtverkettung ergänzt.
Die Schnittmenge zwischen Datensicherheit und Datenschutz ist also beträchtlich, auch wenn relevante Unterschiede in den Anforderungen bestehen.
Datensicherheit und Datenschutz verhalten sich zueinander wie oszillierende Röhren. In aller Regel werden Verstöße gegen die Gewährleistungsziele der Datensicherheit auch den Datenschutz betreffen.
Die Rangordnung der Datenschutzkonferenz
sieht als übergeordnetes Ziel das Gewährleistungsziel der Datenminimierung an. In der Praxis als betrieblicher Datenschutzbeauftragter sehe ich angesichts der Entwicklungen der letzten Jahre diese Rangordnung kritisch. Verstöße gegen Integrität, Vertraulichkeit und Verfügbarkeit können bei legitim aus datenschutzrechtlicher Sicht verarbeiteten Daten für die Betroffenen zu erheblichen Konsequenzen führen, so dass die Gewährleistungsziele der Datensicherheit gleichwertig eingestuft werden sollten. Wobei angemerkt sein sollte, dass auch die DSGVO den Verantwortlichen dazu verpflichtet, mit geeigneten technischen und organisatorischen Maßnahmen vorbeugend tätig zu werden. Es kann Fälle in der betrieblichen Praxis geben, die eine Abwägung zugunsten der Sicherheit der Verarbeitung im Widerspruch beispielsweise zur Datenminimierung erfordern, auch wenn derartige Fälle glücklicherweise eher selten sind.
Datensicherheit in der Praxis
Die wichtigsten technischen und organisatorischen Maßnahmen der Datensicherheit sind:
- Sicherstellung der Vertraulichkeit durch ein geeignetes Rollenkonzept und Beschränkung des Datenzugriffs auf das notwendige Maß und berechtigte Personen.
- Regelmäßige und zeitnahe Aktualisierungen sämtlicher Software im Netzwerk
- Ein konsequent nach dem 3-2-1 Prinzip durchgeführtes Backup, wovon mindestens ein Teil als Offline-Backup vorrätig sein sollte.
- Sensibilisierung aller Beschäftigten in Datensicherheits- und Datenschutzfragen durch regelmäßige Schulungen.
Sie benötigen einen betrieblichen Datenschutzbeauftragten?
Wir betreuen mittelständische Unternehmen und Unternehmensgruppen aus unterschiedlichen Branchen und stellen bei Bedarf den betrieblichen Datenschutzbeauftragten auch im Konzernverbund.
Resiliente Organisationen
zeichnen sich durch die Fähigkeit aus, in Krisensituation rasch und überlegt einen Schaden eindämmen und in seinen Auswirkungen begrenzen zu können. Unternehmen sollten neben präventiven Maßnahmen für den Fall der Fälle über einen Kriseninterventionsplan verfügen und Beschäftigte rechtzeitig auch für diesen Fall zu schulen. Die Fähigkeit zur Intervention im Krisenfall sollte genau so trainiert werden, wie das präventive Erkennen von Risiken.
Weitere Informationen:
Resilienz in Unternehmen und Organisationen
Ransomware