Was ist der Unterschied zwischen Datenschutz und Datensicherheit?

Vorweg sei gesagt, dass wir in diesem Beitrag keine vollständige Übersicht über dieses komplexe Thema geben können. In vielen Gesprächen haben wir allerdings bemerkt, dass noch Unsicherheit darüber besteht, was eigentlich der Unterschied zwischen Datenschutz und Datensicherheit ist. Wenn man diverse Beiträge von unterschiedlichen Verfassern liest, herrscht darüber auch bei IT Fachleuten nicht unbedingt Einigkeit. Die Themen sind eng miteinander verknüpft und eine 100%ige Abgrenzung sehr schwierig.

Drei Schutzziele werden verfolgt

Grundsätzlich gilt, beim Datenschutz handelt es sich „nur“ um personenbezogene Daten, die zu schützen sind. Die Datensicherheit hingegen betrifft alle Daten in eurem Unternehmen. Alle Daten müssen jedoch z.B. vor Verlust und Manipulation „gesichert“ werden. Dabei verfolgen Datenschutz und Datensicherheit gleichermaßen drei sog. „Schutzziele“:

• Vertraulichkeit: Daten sind vor dem Zugriff Unbefugter zu schützen.
• Integrität: Daten dürfen nicht „einfach so“ manipuliert werden.
• Verfügbarkeit: Wir müssen durch stabile Systeme Zugriff auf die Daten haben und diese z.B. auch nach Verlust durch Backups wiederherstellen können.

1. Datenschutz

Die europäische Datenschutzgrundverordnung (DS-GVO) regelt den Umgang mit rein personenbezogenen Daten, die in IT/ Kommunikationskanälen elektronisch oder manuell verarbeitet werden. Dabei handelt es sich zum Beispiel um eure persönliche Email Adresse, Geburtsdatum, persönliche Telefonnummern, Familienstand und Bankverbindungen oder Kreditkartendaten. Das heißt, es sind alle Daten, die einer natürlichen Person zuzuordnen sind. Hierzu gehören natürlich auch besonders schützenswerte Daten wie Angaben zur ethnischen Herkunft, sexuellen Orientierung oder Gesundheitsdaten.

Rechtliche Grundlagen

Die DS-GVO regelt dabei die Erhebung (Beschaffung), Verarbeitung (speichern, ändern, übermitteln…) und die Datennutzung (Verwendung). Unternehmen dürfen die Daten nur erheben, verarbeiten und verwenden, wenn eine Rechtsgrundlage z.B. durch ein Gesetz oder einen Vertrag besteht, oder die betroffene Person eine ausdrückliche freiwillige Einwilligung gegeben hat. Das kann durch das Double-Opt-In bei Newslettern oder eine andere schriftliche Art und Weise erfolgen. Dazu zählen unter Anderem Emailbestätigungen oder die Freigabe der Kontaktdaten durch Social Media Kanäle wie XING und LinkedIN. Die Einwilligung kann für die Zukunft jederzeit ohne Angabe von Gründen widerrufen werden.

Wie schütze ich personenbezogene Daten

Unternehmen, die mit personenbezogenen Daten arbeiten, werden von der DS-GVO verpflichtet, diese angemessen zu schützen. So müssen im Unternehmen Schulungen mit den Mitarbeitern durchgeführt und diverse TOMs (technisch-organisatorische Maßnahmen) umgesetzt werden. Dies ist alles penibel zu dokumentieren. So kann man beispielsweise durch diverse Zugriffs- und Zugangsberechtigungen einschränken, welcher Mitarbeiter zu welchen Daten Zugang hat. Wenn ihr personenbezogene Daten, wie Kundendaten, mit einer Cloud Lösung verwaltet, müsst ihr dokumentieren, dass ihr mit diesem Cloud Anbieter eine Auftragsdatenverarbeitungsvereinbarung (AVV) abgeschlossen habt. Dies zählt zu den organisatorischen Maßnahmen und dies bieten euch die meisten Cloud Anbieter als standardisierten Prozess an.

2. Datensicherheit

Hier sei vorweg gesagt, Datensicherheit (und auch -Schutz) hat nicht nur mit der Cloud zu tun. Das betrifft alle IT-Bereiche, egal ob eure Daten in der Cloud, auf dem eigenen PC oder im Aktenordner zu Hause gespeichert/abgelegt sind. Das Schlagwort Datensicherheit wird meist in Verbindung gebracht mit Virenschutz, Backups und Firewalls. Am einfachsten und verständlichsten ist es bei Wikipedia erläutert: “Datensicherheit hat das technische Ziel, Daten jeglicher Art in ausreichendem Maße gegen Verlust, Manipulationen und andere Bedrohungen zu sichern.” Heißt, die Grundlage für die Datensicherung ist eigentlich die physische Sicherheit, und die fängt im Rechenzentrum an.

Sicherheitsvorkehrungen im Rechenzentrum

Wenn Du schon einmal ein professionelles Rechenzentrum besucht hast (sehr empfehlenswert, wenn man überhaupt mal reinkommt) weißt Du, dass die Sicherheitsmaßnahmen enorm sind. Um eine ständige Verfügbarkeit der Stromversorgung zu gewährleisten, werden die Server immer an mehreren Strompfaden/Quellen angeschlossen. Zur Überbrückung bei unwahrscheinlichen Ausfällen, stehen dann noch Generatoren und Dieselmotoren zur Verfügung. Über Klimatisierung, Luftfeuchtigkeit, Brandschutz bis zu mehrfachen Zugriffskontrollen hat der Betreiber alles unter Kontrolle. So können Zugriffe durch unautorisierte Personen ebenso wie Schäden durch zum Beispiel Brand, Gewitter oder Überschwemmungen verhindert werden.

IT im eigenen Unternehmen meist nicht hinreichend geschützt

Einer Studie (Global Switch) zufolge, wird der Zugang zur IT nur in der Hälfte der Unternehmen, die ihre IT Infrastruktur im eigenen Gebäude/Büro haben, hinreichend geschützt. Das ist auch fast gar nicht möglich, da eine optimale Überwachung an 365 Tagen im Jahr rund um die Uhr gewährleistet sein muss. Befindet sich eure IT in einem professionellen und neutralen Rechenzentrum, übernimmt der Betreiber die Verantwortung für den Betrieb desselben. Die Kontrolle über die eigene IT behaltet ihr jedoch im vollen Umfang. Wodurch wir dann wieder beim Datenschutz ankommen, denn nun bist du für die Sicherung und den Schutz der Daten in deinem Unternehmen verantwortlich.

Das bedeutet für mich?

Die Lösungen, die Ihr nutzt, sollten in sicheren und hoch verfügbaren Rechenzentren gehostet werden. Das ist nicht unbedingt lokal begrenzt, denn die DS-GVO gilt seit letztem Jahr europaweit. Was bei vielen Unternehmen aber in den Hintergrund gerät: genauso wie lokale Daten, sollten auch eure SaaS-Daten per Backup gesichert sein. Denn Daten können auf unterschiedlichste Weise verloren gehen, nicht nur durch äußere Einflüsse, sondern auch, wenn ein Mitarbeiter aus Versehen einen Ordner löscht. Aus dieser Sicherungskopie (Backup) können die verloren gegangenen oder gelöschten Daten dann wiederhergestellt werden.

Fragen und Kontakt

Habt ihr nach dem kurzen Überblick noch Fragen zu Datenschutz, Datensicherheit oder Rechenzentren? Dann nehmt doch gerne Kontakt mit uns auf, wir werden euch gerne einen Experten zu den verschiedenen Themen empfehlen.