Unterschied zwischen Datenschutz und Datensicherheit

Wenn es aber um die Sicherheit geht, verwechseln viele Datenschutz und Datensicherheit und denken, dass es dasselbe ist, was tatsächlich so nicht stimmt. In diesem Artikel wollen wir den Datenschutz und Datensicherheit Unterschiederklären und Wege für Unternehmen aufzeigen, wie sie die Informationssicherheit in ihren Organisationen managen können.

Inhaltsverzeichnis

• Was ist Datenschutz?
• Was ist Datensicherheit?
• Unterschied zwischen Datenschutz und Datensicherheit
• Datenschutz- und Datensicherheitsmanagement
• Lösungen für den Datenschutz
• Lösungen für die Datensicherheit
• Fazit

Was ist Datenschutz? 

Datenschutz ist ein Verfahren zur Sicherung personenbezogener oder privater Informationen vor Beschädigung, Verlust oder Missbrauch, bei dem man sich mit deren ordnungsgemäßen Verwaltung, Verarbeitung und Speicherung befasst. Das bedeutet auch, dass die geschützten Daten einer natürlichen Person gehören müssen.

Das Hauptziel beim Datenschutz besteht darin, das Recht einer natürlichen Person auf den Zugang zu ihren Daten zu wahren und prüfen zu können, wie ihre Daten verwendet werden und für welche Zwecke. Im Wesentlichen werden dabei also die Ansprüche von Einzelpersonen auf den Schutz ihrer persönlichen Daten durchgesetzt.

Staatliche Richtlinien wie die Datenschutz-Grundverordnung (DSGVO) oder der Data Processing Agreement (DPA) sind Paradebeispiele für Datenschutzgesetze.

Was ist Datensicherheit?

Die Datensicherheit bezieht sich dagegen auf den Schutz aller Informationen (und nicht nur personenbezogener Daten) vor unbefugtem Zugriff, vor Korruption oder Diebstahl. Die Informationen können digital oder analog vorliegen und einer natürlichen Person, einem Unternehmen oder einer anderen juristischen Person gehören.

Die CIA-Triade ist das primäre Datensicherheits-Modell, nach dem sich die Sicherheitsverfahren und -richtlinien eines Unternehmens richten.

Die CIA-Triade besteht aus drei Hauptkomponenten oder drei Prinzipien der Informationssicherheit:

• Vertraulichkeit. Vertraulichkeit bedeutet, dass die Informationen nur autorisierten Teilnehmern zur Verfügung stehen und nicht von anderen Parteien kompromittiert wurden. Außerdem dürfen sie nicht an Personen weitergegeben werden, die keinen Zugriff auf die Daten haben.

• Integrität. Durch die Datenintegrität wird garantiert, dass Informationen nicht mit Absicht modifiziert, geändert, bearbeitet, zerstört oder manipuliert werden.

• Verfügbarkeit. Diese Komponente bedeutet, dass autorisierte Benutzer bei Bedarf über die Daten verfügen können.

Unterschied zwischen Datenschutz und Datensicherheit

Also: Was ist der Unterschied zwischen Datenschutz und Datensicherheit? Obwohl viele Quellen diese Begriffe wahlweise verwenden können, handelt es sich in der Praxis um völlig unterschiedliche Prozesse, die so leicht erklärt werden können:

Das primäre Ziel beim Datenschutz ist der Schutz der Privatsphäre einer natürlichen Person, während das Hauptanliegen der Datensicherheit der Schutz der Daten im Allgemeinen ist, unabhängig von ihrer Herkunft, ob personenbezogen oder nicht, analog oder digital.

Beim Datenschutz befasst man sich mit Gesetzen und Vorschriften zur Datenkonformität und konzentriert sich mehr darauf, wie Daten erfasst, verwaltet, geteilt und gelöscht werden.

Bei der Datensicherheit ergreift man geeignete Maßnahmen, um den Zugriff unbefugter Dritter auf die Daten zu verhindern. Es werden auch die notwendigen Schritte unternommen, um Informationssysteme und andere digitale Werte vor menschlichen und technischen Fehlern, Hackern, Hacktivisten, Cyberkriminellen und anderen böswilligen Personen oder Organisationen zu schützen.

Datenschutz vs. Datensicherheit

Datenschutz- und Datensicherheitsmanagement

Hohe DSGVO-Strafen lassen Datensicherheit und Datenschutz für Unternehmen noch wichtiger erscheinen. Um den Datenschutz und die Sicherheit effektiv zu handhaben, müssen Unternehmen Informationssicherheits- und Datenschutzmanagementsysteme implementieren.

Ein DSMS oder Datenschutzmanagementsystem ist eine Ansammlung von Regularien, Prozessen und Maßnahmen, mit deren Hilfe systematisch der datenschutzkonforme Umgang mit personenbezogenen Daten in einem Unternehmen überwacht und geprüft werden kann.

Der gesetzliche Rahmen wird durch das BDSG oder das Bundesdatenschutzgesetz und die Verordnungen wie die EU-Datenschutz-Grundverordnung (DSGVO) bestimmt. Anhand der Bestimmungen können Unternehmen feststellen, was mit personenbezogenen Daten passieren soll, wenn natürliche Personen diese an Unternehmen oder Behörden weitergeben.

Die typischen Beispiele für personenbezogene Daten sind:

• Vor- und Nachnamen
• Geburtsdaten
• Telefonnummern
• Adressen und E-Mails
• Kontoverbindungen
• Kfz-Kennzeichen

Unternehmen können unter bestimmten Voraussetzungen auch einen internen oder externen Datenschutzbeauftragten ernennen. Dieser Beauftragte achtet darauf, dass es nicht zu übermäßigen Überregulierungen kommt und dass verschiedene Geschäftsprozesse aus Angst vor datenschutzrechtlichen Sanktionen nicht unnötig gehemmt werden.

Ein Informationssicherheits-Managementsystem (ISMS) bezeichnet eine Ansammlung von Prinzipien, Verfahren und Maßnahmen, durch die der Schutz der Vertraulichkeit, Verfügbarkeit und Integrität von Daten vor Gefährdungen und Schwachstellen gewährleistet werden soll. Das System wird auch dazu verwendet, um Risiken zu identifizieren und Maßnahmen zu ihrer Minimierung zu definieren. Durch ein ISMS wird garantiert, dass Unternehmen systematisch Maßnahmen ergreifen, um Daten und Informationen zu sichern.

Die ISMS-Maßnahmen sind darauf ausgelegt, die Risiken für Geschäftsdaten und Informationsbestände zu beseitigen. Viele von ihnen werden über die Compliance nach ISO/IEC 27001 initiiert, dem internationalen Standard, der sich ganzheitlich mit der Informationssicherheit befasst, aber auch andere Anforderungen, Regelungen oder Verträge können treibende Faktoren dabei sein.

Einige der verbreiteten Beispiele für diese Maßnahmen sind:

• Einsatz von VPN
• Karten für einen sicheren Zugang zum Betreten eines Gebäudes
• Nutzung von Antivirensoftware

Lösungen für den Datenschutz

Eine der besten Lösungen, die ein Unternehmen für den Datenschutz umsetzen kann, ist die GRC– oder Governance-, Risiko- und Compliance-Methodik:

• Um Compliance und Datenschutz zu gewährleisten, wird durch die Governance die Einhaltung von organisatorischen Maßnahmen und Richtlinien gefördert.
• Eine Organisation muss auf potenzielle Cyber-Gefährdungen vorbereitet sein und die damit verbundenen Risiken bewerten.
• Durch die Compliance wird sichergestellt, dass die Organisation bei der Verarbeitung und Nutzung von Daten gesetzliche und branchenspezifische Standards berücksichtigt.

Compliance Aspekte ist ein Beispiel für eine effiziente GRC-Lösung für Unternehmen. Das Tool hilft Unternehmen bei:

• Umsetzung und Aufrechterhaltung von Compliance-Standards, einschließlich der DSGVO
• Verwaltung des gesamten Zyklus von Compliance-Prozessen von der Planung und Implementierung bis zur Prüfung und Erstellung von Berichten
• Zeiteinsparung durch die Wiederverwendung technischer und organisatorischer Maßnahmen (TOMs) bei der Implementierung von DSMS und ISMS
• Einhaltung von mehreren Standards wie BSI IT-Grundschutz, ISO 14001, ISO 27001 u.v.m.
• Risikoermittlung für bestimmte Werte und Durchsetzung angemessener Maßnahmen gegen die Gefährdungen 
• Berichten und Datenschutz-Dokumentation
• Anpassung und Konfiguration von Compliance Aspekte an die spezifischen individuellen Bedürfnisse und Anforderungen
• Sicherer Integration der Lösung in CMDB (Configuration Management Database) und Asset-Management-Software

Dennoch nutzen viele Unternehmen immer noch Office-Tools wie Excel, um ihren Datenschutz zu managen. Warum diese Werkzeuge nicht die beste Wahl für die Bewältigung eines so kritischen Verfahrens sind, wird in diesem Artikel ausführlich dargestellt.

Lösungen für die Datensicherheit

Glücklicherweise gibt es einige Alternativen zu den Lösungen für die Datensicherheit, die von verschiedenen Anbietern bereitgestellt werden, damit die in einem Unternehmen optimiert werden kann. Hier wollen wir die wichtigsten Typen derartiger Tools benennen:

• Datenverschlüsselung

In den damit versehenen Lösungen wird nach einem Passwort gefragt, wenn Mitarbeitende auf Daten zugreifen möchten, die auf einem verschlüsselten Laufwerk oder in einem verschlüsselten Bereich gespeichert sind. Die Verschlüsselung kann für bestimmte Dateien und Ordner durchgeführt werden. Darüber hinaus fordern einige Lösungen ein Admin-Passwort, um auf Dateien auf einem Gerät zugreifen zu können.

• Firewalls

Eine Firewall soll unbefugten Fernzugriff auf das Netzwerk eines Unternehmens verhindern und die Aktivitäten im Netzwerk auf verdächtige Pakete überwachen und untersuchen.

• Virenschutz

Antivirensoftware scannt Dokumente, E-Mails und andere Dateien auf Viren. Darüber hinaus können einige Tools zweifelhafte eingehende Nachrichten identifizieren und blockieren, z. B. Anhänge mit vertraulichen Informationen.

• Data Loss Prevention (DLP)

Die Verhinderung von Datenverlust bedeutet, dass für den Diebstahl und Missbrauch anfällige Daten das Unternehmensnetzwerk erst gar nicht verlassen können. Nach festgelegten Geschäftsregeln wird der ausgehende verdächtige Datenverkehr, z. B. der Versand von E-Mails mit vertraulichen Informationen, die an Dritte gehen sollen, von den DLPs identifiziert und geblockt.

Fazit

Auch wenn die Begriffe oft durcheinander gebracht werden, gibt es einen Unterschied zwischen Datenschutz und Datensicherheit. 

Während man sich beim Datenschutz ausschließlich mit personenbezogenen Daten befasst, besteht das Ziel bei der Datensicherheit darin, alle Arten von Informationen zu schützen, unabhängig davon, ob sie digital oder analog sind, von einer natürlichen Person stammen oder nicht. Um das höchstmögliche Sicherheit zu gewährleisten, müssen Unternehmen wirksame Maßnahmen einleiten.