Informationssicherheit und Datenschutz werden nur selten scharf voneinander abgegrenzt und oft miteinander vermischt. Wir erklären Ihnen, wo die Unterschiede der beiden Disziplinen liegen und worauf je zu achten ist.

Informationssicherheit

Informationssicherheit beschäftigt sich mit dem Schutz aller schützenswerter Daten und Informationen einer Organisation. Das Ziel von „Informationssicherheit“ ist also der Selbstschutz jener.

Alle relevanten Informationen und Geschäftsprozesse eines Unternehmens oder einer Institution Organisation werden betrachtet – inklusive möglicher verarbeiteter personenbezogener Daten. Im Fokus stehen die drei Schutzziele“ Vertraulichkeit“, „Integrität“ und „Verfügbarkeit“. Im Englischen werden diese Ziele oft auch als das Information Security Triangle CIA (Confidentiality, Integrity, Availability) bezeichnet. Geht es darum, die negativen Folgen aus einer möglichen Verletzung eines oder mehrerer der genannten drei Schutzziele abzuschätzen, sollten Sie allem voran Ihre Unternehmensrisiken berücksichtigen. Dazu zählen z. B. finanzielle Risiken, Haftung oder Compliance.

Datenschutz

Hierbei steht ausschließlich den Schutz der Betroffenen im Fokus. Obgleich „Datenschutz“ den Schutz von Daten suggeriert, gehts vielmehr um den Schutz des informationellen Selbstbestimmungsrechts von Betroffenen. Herzstück sind hierbei ausschließlich die sogenannten „personenbezogenen Daten“ sowie die Datenverarbeitungsprozesse. Letzt genannten verarbeiten die personenbezogenen Daten, wobei die Folgen für die Betroffenen, die sich aus Datenschutzrisiken ergeben, explizit berücksichtigt werden müssen.

Worin liegt der Unterschied von Informationssicherheit & Datenschutz?

Datenschutz ist eine Compliance-Anforderung an eine Organisation. Technische und organisatorische Maßnahmen zum Datenschutz (TOM) schützen die personenbezogenen Daten vor unbefugter Veränderung, Einsichtnahme und Nichtverfügbarkeit.

Diese Schutzaspekte ähneln auf den ersten Blick den Maßnahmen zur Informationssicherheit. Bei der Informationssicherheit geht es jedoch nicht nur um personenbezogene Daten, sondern weitergefasst um den Schutz der gesamten Organisation.

Aber Obacht: Wenn die Informationssicherheit beispielsweise zum Schutz der Organisation bestimmte Maßnahmen implementiert, die über das datenschutzrechtlich erforderliche und erlaubte Maß hinausgehen, ist Vorsicht geboten.

Ganz pragmatisch gesagt: mit Informationssicherheitsmaßnahmen lassen sich personenbezogene Daten schützen – dann als ein Bestandteil einer breit gefassten Informationssicherheitsstrategie.

Falls Sie Fragen haben oder Unterstützung benötigen bei der Definition oder Umsetzung Ihrer Informationssicherheitsstrategie, helfen wir gerne weiter!

Foto: pixabay

Tags

Beitrag teilen

Weitere Artikel

Die ISO 27001 fordert von Ihnen, regelmäßig ein sog. Internes Audit (engl. Internal Audit) Ihres ISMS (Informationssicherheitsmanagementsystem) durchzuführen, um die Standard-Konformität zu überprüfen. Obgleich es „internes Audit“ heißt, dürfen – und sollten – Sie selbstverständlich...
Was wird eigentlich bei der Zertifizierung zur ISO 27001 genau unter die Lupe genommen? Um diese Frage ranken sich zahlreiche Mythen. Viele glauben, „die IT-Sicherheit“ werde geprüft. Andere meinen, die Compliance würde auf Herz und...
Das neue Jahr ist mittlerweile zwar schon ein paar Tage alt – trotzdem sind Jahresauftaktveranstaltungen ja überall noch voll im Gange. So haben auch wir uns Gedanken gemacht, was für 2024 in Sachen Informations- und...