Die Begriffe Datenschutz und Datensicherheit werden in der Praxis regelmäßig synonym verwendet, dabei unterscheiden sie sich zum Beispiel in den, mit ihnen verfolgten, Zielen. Geht es bei der Datensicherheit um den Schutz von Daten allgemein, so sollen im Datenschutz personenbezogene Daten geschützt werden. Aus diesem Grund ist die Aussage, dass Datenschutz ohne Datensicherheit nicht möglich ist, zutreffend, allerdings existieren auch Ausnahmen, die zeigen, dass Maßnahmen zur Datensicherheit dem Datenschutz auch schaden können.
Was versteht man unter Datenschutz?
Beim Datenschutz geht es um den Schutz von personenbezogenen Daten, wobei der Kernpunkt nicht der Inhalt oder die Bedeutung der Daten ist, sondern die informationelle Selbstbestimmung. Weisen die erhobenen, verarbeiteten oder genutzten Daten einen Personenbezug auf, so ist die Rede von personenbezogenen Daten, dabei können sie direkt (bestimmt), zum Beispiel der Name, oder indirekt (bestimmbar) unter Zuhilfenahme einer weiteren Informationsquelle, zum Beispiel die Telefonnummer, einer Person zugeordnet werden. In Deutschland greifen in diesen Fällen das Bundesdatenschutzgesetz (BDSG), landesspezifische Vorschriften, wie zum Beispiel das Datenschutzgesetz NRW (DSG NRW) oder bereichsspezifische Gesetze, wie z B. das Telemediengesetz (TMG), die die Privatsphäre der Menschen schützen sollen. Zu beachten ist allerdings, dass in Deutschland dieser Schutz nur für natürliche Personen (Menschen) und nicht für juristische Personen, da kein Personenbezug gegeben ist, gilt. Der Begriff Datenschutz ist juristischer Natur, da die Begrifflichkeit sämtliche rechtliche Vorschriften, die personenbezogene Daten schützen sollen, erfasst. Beim Datenschutz geht es somit um die rechtlichen (theoretischen) Fragen („Unter welchen Voraussetzungen dürfen personenbezogene Daten erhoben, verarbeitet oder genutzt werden?“ und weniger um die technische Umsetzung, die wiederrum im Rahmen von der Datensicherheit (praktischer Ansatz) aufgegriffen wird.
Was ist unter Datensicherheit zu verstehen?
Für den, im Datenschutzrecht geforderten, Schutz bietet die Datensicherheit Maßnahmen. Beim Datenschutz handelt es sich letztens um die „Theorie“, die im Rahmen der Datensicherheit umgesetzt wird („Praxis“). Die Datensicherheit behandelt die Frage, was überhaupt möglich ist und ist somit, dass Gegenstück zum Datenschutz, da ansonsten keine Daten geschützt, sondern lediglich Vorschriften formuliert wären. Geht es bei Datenschutz alleinig um personenbezogene Daten, so fallen unter den Begriff Datensicherheit sämtliche Daten unabhängig davon, ob sie einen Personenbezug aufweisen. Kernpunkt der Datensicherheit sind Maßnahmen, um den Schutz der Daten vor Missbrauch (Kontrollierbarkeit), Verfälschung (Integrität), Verlust (Verfügbarkeit) und unberechtigter Zugriffe (Vertraulichkeit), zu gewähren .
Die benannten Ziele der Datensicherheit dürften Jedem, der bereits mit der Anlage zu § 9 BDSG vertraut ist, bekannt vorkommen, denn die im Datenschutzrecht benannten technischen und organisatorischen Maßnahmen bilden die Schnittstelle zwischen den beiden Begriffen. Gemäß § 9 Bundesdatenschutzgesetz in Verbindung mit der Anlage zu § 9 Satz 1 BDSG sind alle Stellen, die personenbezogene Daten erheben, verarbeiten oder nutzen dazu verpflichtet, technische und organisatorische Maßnahmen (kurz TOM) zu treffen, um die Anforderungen des BDSG zu erfüllen, wobei im Rahmen der Datensicherheit geprüft und bestimmt werden sollte, welche Maßnahmen erfüllt werden können bzw. erfüllt sind.
Verantwortliche Stellen, wie zum Beispiel Unternehmen, Vereine und Behörden, sind lediglich zur Einhaltung der Anforderungen des BDSG verpflichtet, wobei keinerlei gesetzliche Verpflichtung zur Abstimmung der technischen und organisatorischen Maßnahmen besteht. Das Prüfen der TOM ist allerdings anzuraten, da eine Organisation feststellen kann, an welcher Stelle Defizite bestehen. Des Weiteren könnten verantwortliche Stellen, die personenbezogene Daten im Auftrag verarbeiten (ADV-Dienstleister) vom Auftraggeber, zur Übersendung der technischen und organisatorischen Maßnahmen verpflichtet werden.
Achtung: Der Begriff Datensicherheit sollte nicht mit der IT-Sicherheit verwechselt werden, da bei der IT-Sicherheit der Schutz von digitalen Daten im Vordergrund steht.
Unterschiede von Datenschutz und Datensicherheit
Datensicherheit | Datenschutz |
Schutz von Daten | Schutz vor Datenmissbrauch und -pannen (Grundsätze der Datensparsamkeit, Zweckbindung) |
Schutz aller Daten | Schutz personenbezogener Daten |
Schutz vor Verlust, Zerstörung, Missbrauch, Zugriff durch Unberechtigte | Schutz der informationellen Selbstbestimmung (Privatsphäre) |
Technische Maßnahmen / Lösungen | Gesetzliche Vorschiften |
Praxis: Bei der Datensicherheit geht es unter anderem um die Umsetzung der Anforderungen des Datenschutzes, wobei der praktische Ansatz, „Was ist möglich?“, verfolgt wird. | Theorie: Beim Datenschutz wird der theoretische Ansatz „Was soll erfüllt werden?“ verfolgt werden. |
Kann die Datensicherheit dem Datenschutz schaden?
Grundsätzlich unterschützen, bis auf wenige Ausnahmen, die Maßnahmen, die zur Datensicherheit erfolgen, den Datenschutz. Eine dieser Ausnahmen ist das Auslagern von Daten in eine Cloud. Kann das Auslagern in einen Cloud-Speicher die Daten vor Verlust schützen und ist grundsätzlich eher förderlich für die Datensicherheit, so verursacht diese Maßnahme in Hinblick auf den Datenschutz zahlreiche Risiken und Probleme. Bei einer Datensicherung in der Cloud, handelt es sich aus Datenschutzrecht bereits um eine Übermittlung, die wiederrum nur erlaubt ist, wenn sie auf einer Rechtsgrundlage oder einer informierten Einwilligung basiert. Hat der Cloud-Anbieter seinen Sitz zudem in einem Drittland, außerhalb der europäischen Union (EU) oder des europäischen Wirtschaftsraums (EWR), so muss die verantwortliche Stelle weitere Maßnahmen umsetzen, so ist üblicherweise ein angemessenes Datenschutzniveau herzustellen.
Möchte eine Organisation auf Cloud-Lösungen zurückgreifen, so ist ein deutscher bzw. europäischer Cloud-Anbieter und das Abschließen eines Vertrages zur Auftragsdatenverarbeitung (ADV) dringend anzuraten.