Jährlich rückt der Safer Internet Day (SID) ein wichtiges Thema in den Vordergrund – die Bedeutung der Sicherheit in unserer vernetzten Welt. Im Jahr 2004 von der Europäischen Union ins Leben gerufen, erinnert er uns seitdem regelmäßig am 11. Februar an die Gefahren für den Datenschutz und die Datensicherheit. Dabei stellen sich nicht selten die zwei Fragen: Wie genau unterscheiden sich beide Begriffe eigentlich? Und welche Schutzziele müssen Unternehmen im Blick behalten?
Wo ist der Datenschutz…
Der Datenschutz zielt auf die Persönlichkeitsrechte ab. Er „garantiert jedem Bürger Schutz vor missbräuchlicher Datenverarbeitung, das Recht auf informationelle Selbstbestimmung und den Schutz der Privatsphäre,“ heißt es auf der Webseite des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), Bonn. Die informationelle Selbstbestimmung ist ein Grundrecht. Die Regeln dafür sind im Bundesdatenschutzgesetz (BDSG) sowie in den Datenschutzgesetzen der Länder definiert. Die Kernaussage: Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist grundsätzlich verboten, es sei denn, ein gesetzlicher Erlaubnisgrund oder die freiwillige Einwilligung rechtfertigen dies. Beim Datenschutz geht es also um die zentrale Frage, ob personenbezogene Daten überhaupt erhoben und verarbeitet werden dürfen oder nicht.
…und wo die Datensicherheit zu verorten?
Eng mit dem Thema Datenschutz verknüpft ist die Datensicherheit. Sie betrifft alle Daten im Unternehmen, unabhängig davon, ob diese einen Personenbezug haben oder nicht. Unter diesen Begriff fallen daher auch solche Informationen, die keinen Personenbezug haben, wie Konstruktionspläne, Geschäftsergebnisse und andere vertrauliche Unterlagen. Die Datensicherheit hat also das technische Ziel, Daten jeglicher Art in ausreichendem Maße gegen Manipulation, Verlust, unberechtigte Kenntnisnahme durch Dritte oder andere Bedrohungen zu sichern. Typisch dafür ist der Begriff der Industriespionage. Datensicherheit ist also ein Zustand, der unter anderem durch technische und organisatorische Datenschutzmaßnahmen erreicht werden soll.
Beides mündet im Paragrafen 9 des Bundesdatenschutzgesetzes. Darin heißt es, dass öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, technische und organisatorische Maßnahmen treffen müssen. So müssen Unternehmen beispielsweise gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle). Ebenso verlangt der Gesetzgeber, dass personenbezogene Daten bei der elektronischen Übertragung, während des Transports oder Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Zudem muss sich überprüfen und feststellen lassen, an welchen Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle).
Schutzziele für Daten- und IT-Sicherheit
Um die Angriffe auf Daten, Systeme oder Kommunikationswege besser beschreiben und Schutzmaßnahmen erheben zu können, helfen die definierten Schutzziele in den verschiedenen Kategorien: Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit.
Wichtig dabei: Diese Schutzziele dürfen nicht isoliert betrachtet werden. Vielmehr greifen sie ineinander und gehören zusammen. Dabei sollte jedes Unternehmen die Gewichtung individuell vornehmen. Um etwa vertrauliche Informationen austauschen zu können, kommen idealerweise moderne File-Sharing-Lösungen zum Einsatz. Diese Werkzeuge unterstützen eine effiziente, digitale und hochsichere Zusammenarbeit mit internen Mitarbeitern und externen Geschäftspartnern. So lassen sich schützenswerte Informationen über sicherheitsrelevante Prozesse in der Vorstands- und Aufsichtsratskommunikation ebenso geschützt behandeln wie streng vertrauliche Forschungsergebnisse oder M&A-Aktivitäten. Mit solchen Plattformen sind Unternehmen für die technologischen Herausforderungen mit Datenschutz und -sicherheit bestens gerüstet.
