Informationssicherheit und Datenschutz werden nur selten scharf voneinander abgegrenzt und oft miteinander vermischt. Wir erklären Ihnen, wo die Unterschiede der beiden Disziplinen liegen und worauf je zu achten ist.
Informationssicherheit beschäftigt sich mit dem Schutz aller schützenswerter Daten und Informationen einer Organisation. Das Ziel von „Informationssicherheit“ ist also der Selbstschutz jener.
Alle relevanten Informationen und Geschäftsprozesse eines Unternehmens oder einer Institution Organisation werden betrachtet – inklusive möglicher verarbeiteter personenbezogener Daten. Im Fokus stehen die drei Schutzziele“ Vertraulichkeit“, „Integrität“ und „Verfügbarkeit“. Im Englischen werden diese Ziele oft auch als das Information Security Triangle CIA (Confidentiality, Integrity, Availability) bezeichnet. Geht es darum, die negativen Folgen aus einer möglichen Verletzung eines oder mehrerer der genannten drei Schutzziele abzuschätzen, sollten Sie allem voran Ihre Unternehmensrisiken berücksichtigen. Dazu zählen z. B. finanzielle Risiken, Haftung oder Compliance.
Hierbei steht ausschließlich den Schutz der Betroffenen im Fokus. Obgleich „Datenschutz“ den Schutz von Daten suggeriert, gehts vielmehr um den Schutz des informationellen Selbstbestimmungsrechts von Betroffenen. Herzstück sind hierbei ausschließlich die sogenannten „personenbezogenen Daten“ sowie die Datenverarbeitungsprozesse. Letzt genannten verarbeiten die personenbezogenen Daten, wobei die Folgen für die Betroffenen, die sich aus Datenschutzrisiken ergeben, explizit berücksichtigt werden müssen.
Datenschutz ist eine Compliance-Anforderung an eine Organisation. Technische und organisatorische Maßnahmen zum Datenschutz (TOM) schützen die personenbezogenen Daten vor unbefugter Veränderung, Einsichtnahme und Nichtverfügbarkeit.
Diese Schutzaspekte ähneln auf den ersten Blick den Maßnahmen zur Informationssicherheit. Bei der Informationssicherheit geht es jedoch nicht nur um personenbezogene Daten, sondern weitergefasst um den Schutz der gesamten Organisation.
Aber Obacht: Wenn die Informationssicherheit beispielsweise zum Schutz der Organisation bestimmte Maßnahmen implementiert, die über das datenschutzrechtlich erforderliche und erlaubte Maß hinausgehen, ist Vorsicht geboten.
Ganz pragmatisch gesagt: mit Informationssicherheitsmaßnahmen lassen sich personenbezogene Daten schützen – dann als ein Bestandteil einer breit gefassten Informationssicherheitsstrategie.
Falls Sie Fragen haben oder Unterstützung benötigen bei der Definition oder Umsetzung Ihrer Informationssicherheitsstrategie, helfen wir gerne weiter!
Foto: pixabay
Thomas Neeff
Thomas Neeff