Wüssten Sie auf Anhieb, wie sich der Titel dieses Artikels beantworten lässt? Was also die Differenz zwischen Datenschutz und Datensicherheit ist? Ich bin mir sicher, dass den Begriffen im Alltag sehr wenig reflektiert begegnet wird. Dass sie also mehr als Synonym, denn als zwei spezifische Bereiche definiert werden. Und bis zu einem gewissen Grad ist das auch verständlich, da sie sich gegenseitig beeinflussen. Vereinfacht kann man etwa sagen, dass Datenschutz ohne Datensicherheitsmaßnahmen nicht umsetzbar ist.
Im vorliegenden Blog werde ich mich dennoch mit den (Mikro-)Unterschieden zwischen den sich verschränkenden Begriffen beschäftigen. Das tue ich, indem ich zunächst einmal grundsätzlich Definitionen erarbeite, bevor ich mich dann auf Gemeinsamkeiten und Differenzen beziehe. So soll Ihnen am Schluss des Artikels klarer sein, warum hier nicht einfach von synonymen Begrifflichkeiten gesprochen werden kann.
Die Begriffe Datenschutz und Datensicherheit erklärt
Schon aus den folgenden Definitionen wird sich für Sie ergeben, dass man einen engeren Rahmen (Datenschutz) und einen breiteren Rahmen (Datensicherheit) betrachten muss.
Definition von Datenschutz
Beim Datenschutz handelt es sich vereinfacht gesagt um den Schutz von personenbezogenen Daten. Letztlich also um das Recht der informationellen Selbstbestimmung. Hierbei dreht sich alles um rechtliche Fragen, die sich damit beschäftigen, wie personenbezogene Daten gesammelt, verarbeitet und genutzt werden.
Definition von Datensicherheit
Datensicherheit beschreibt Maßnahmen, die dann faktisch und technisch unternommen werden, um die Sicherheit von Daten zu gewährleisten. Das Ziel besteht also darin, Daten vor Verlust, Manipulation oder dem Zugriff durch nicht berechtigte Dritte zu sichern.
Worin sich beide Themen spiegeln
Um den Datenschutz gewährleisten zu können, müssen die geeigneten Maßnahmen für die Datensicherheit getroffen werden. Das bedeutet, dass man ohne Datensicherheit keinen Datenschutz erreichen kann.
Ein Beispiel zur Veranschaulichung: Nehmen wir an, ein Mitarbeiter eines Unternehmens verarbeitet personenbezogene Daten. Gleichzeitig ist der Laptop im Home-Office nicht abgesichert und jeder im Haushalt könnte auf die Informationen darauf zugreifen. Als Datensicherheitsmaßnahme sollte der Laptop jedoch idealerweise eine automatische Sicherheitssperre aktivieren, wenn man für eine gewisse Zeit inaktiv ist.
Exkurs: Die Datenschutzgrundverordnung (DSGVO)
Die DSGVO ist eine europäische Verordnung zum Schutz personenbezogener Daten. Sie gilt für alle öffentlichen und nicht-öffentlichen Stellen und somit für alle Unternehmen, die vereinfacht gesagt auf irgendeine Art und Weise personenbezogene Daten innerhalb der EU oder Daten von europäischen Bürgern außerhalb der EU verarbeiten. Es handelt sich dabei um ein einheitliches, konkretes Regelwerk, das durch andere nationale Datenschutzgesetze ergänzt wird (oder auch nicht).
Der Unterschied zwischen Datenschutz und Datensicherheit
Wie Sie gerade gelesen habe, überlappen sich Datenschutz und Datensicherheit. Und zwar insofern, als, dass sich aus Datenschutzgrundlagen überhaupt erst die (rechtliche) Notwendigkeit von Datensicherheitsmaßnahmen ergeben. Nichtsdestotrotz lassen sich bei detaillierter Betrachtung einige Nuancierungen entdecken.
Datenverarbeitung
Datenverarbeitung an sich bedeutet grundsätzlich sämtliche Erhebung und Verarbeitung von Daten. Wenn ich das aus der Position von Datenschutz betrachte, dann wird der Schwerpunkt auf personenbezogene Daten gelegt. Um aber wiederum eine verlässliche und konsistente Datenverarbeitung zu gewährleisten, sind geeignete Datensicherheitsmaßnahmen erforderlich.
Datenverlust
Ein Datenverlust ist definitorisch das unvorhergesehene Verlorengehen von Daten. In Datenschutzverordnungen gibt es Regelungen (Beispiel: DSGVO, Bundesdatenschutzgesetz, Datenschutzgesetz Österreich etc.), was geschehen muss, sofern wirklich ein Datenverlust passiert. Es existieren unter anderem gewisse Meldepflichten gegenüber der Datenschutzbehörde und ebenso gegenüber den betroffenen Personen.
Mit Datensicherheitsmaßnahmen soll hingegen schon im Vorhinein alles unternommen werden, damit ein Verlust von Daten erst gar nicht zustande kommt. Und falls es doch zum Datenverlust kommt, soll es geeignete Maßnahmen geben, damit die verlustigen Daten wiederhergestellt werden können.
Persönlichkeitsrechte
Persönlichkeitsrechte sind Grundrechte. Das Recht auf körperliche Unversehrtheit, Schutz der Privatsphäre, Recht auf informationelle Selbstbestimmung, Schutz des geistigen Eigentums und vieles mehr zählt unter diese Grundrechte. Da diese grundrechtlichen Prämissen bestehen, hat der Staat über passende Datenschutzgesetze für deren Aufrechterhaltung zu sorgen.
Um die Persönlichkeitsrechte (wie zum Beispiel die informationelle Selbstbestimmung) zu gewährleisten, sind dann wiederum verschiedene Datensicherheitsmaßnahmen erforderlich.
Relevanz für Unternehmen in der Praxis
Zum einen müssen sich alle Unternehmen an alle Datenschutzgrundlagen (DSGVO, Länderverordnungen etc.) halten. Bei Verletzung drohen insbesondere im DSGVO-Umfeld nämlich hohe Bußgelder. Unternehmen sollten für geeignete Datensicherheitsmaßnahmen Sorge tragen, um
-
diesen Vorschriften nachkommen zu können,
-
aber auch um sonstige Daten im Eigeninteresse, die nicht den Datenschutzverordnungen unterliegen, zu schützen.
Es kann sinnvoll sein, einen Datenschutzbeauftragten zu bestellen. Ab einer bestimmten Größe ist ein Datenschutzverantwortlicher sogar zwingend erforderlich.
Zusammenfassende Abgrenzung: Datensicherheit vs. Datenschutz
Die Angemessenheit der Datensicherheitsmaßnahmen ist letztlich eine Frage des Datenschutzes, der sie bedingt. Wer aus den Begriffen Datenschutz und Datensicherheit also ein und dasselbe macht, liegt explizit nicht falsch. Denn natürlich bedingen sich die Komponenten im Datenkontext gegenseitig.
Trotzdem habe ich in diesem Beitrag versucht, den prinzipiellen Unterschied ausfindig zu machen. Dieser liegt darin, dass Datensicherheit für die Erreichung des Datenschutzes unabdingbar ist. Gleichzeitig sind Persönlichkeitsrechte nicht die primäre Ursache für die Maßnahmen der Datensicherheit. Darüber hinausgehend sind beispielsweise Unternehmensdaten ebenfalls ein Eigeninteresse von deren Inhabern. Und diese wollen und sollen durch angemessene Vorbereitungen und Umsetzungen ausreichend geschützt werden.
Datenschutz und Datensicherheit FAQ
Was dazugehört
Was gehört alles zur Datensicherheit?
Alle Maßnahmen, die ergriffen werden müssen, um die Sicherheit sämtlicher Daten zu gewährleisten.
Konzept
Was ist ein Datensicherheitskonzept?
Ein Datensicherheitskonzept ist ein datenschutzrechtliches Vorgehen, in welchem der rechtmäßige Umgang mit den personenbezogenen Daten sichergestellt wird. Daten werden nach folgenden vier Grundsätzen geschützt:
-
Vertraulichkeit der Daten vor unberechtigten Zugriffen
-
Integrität: Korrektheit und Vollständigkeit der Daten während der Verarbeitung
-
Verfügbarkeit aller Daten, IT-Systeme und Netzwerke sowie Zugriff auf die Daten
-
Belastbarkeit: robuste IT-Systeme, die im Falle von Fehlern funktionsfähig bleiben
Ziel
Was ist das Ziel von Datenschutz?
Das Ziel liegt im Schutz der oben erwähnten Grundrechte, wie beispielsweise dem Schutz der informationellen Selbstbestimmung.
Verletzung
Wann ist der Datenschutz verletzt?
Dafür gibt es zahlreiche Beispiele. Denken Sie nur daran, dass Unterlagen verlorengehen oder gestohlen werden. Aber auch an den Fall von Hackerangriffen, Phishing-Mails, nicht datenschutzkonformer Entsorgung von Festplatten oder Dokumenten und mehr.
Zusammenhang
Wie hängen Datenschutz und Datensicherheit zusammen?
Bei Datenschutz geht es vor allem um die rechtlichen Bestimmungen bei der Verarbeitung von personenbezogenen Daten. Die Datensicherheitsmaßnahmen dienen zur Erreichung dieser Vorschriften.
Unterschied
Worin unterscheiden sich Datensicherheit und Datenschutz?
Datensicherheitsmaßnahmen dienen dem Schutz sämtlicher Daten. Auch denen, die nicht dem Datenschutz (mit Blick auf personenbezogene Daten) unterliegen. Im Endeffekt geht Datensicherheit (technischer Aspekt) also über Datenschutz (rechtlicher Aspekt) hinaus.
