Datenschutz und Informationssicherheit sind sprichwörtlich zwei Paar Schuhe. Doch im beruflichen Alltag werden die Begrifflichkeiten oft synonym und somit zweckentfremdet verwendet.
Was aber hat es mit den Bezeichnungen Datenschutz und Informationssicherheit auf sich? Um die Unterschiede klar und deutlich zu definieren, ist die fachliche Kenntnis zur Wortbedeutung und dem Sinn der Bezeichnungen notwendig. In Unternehmen überschneiden sich die Bereiche nicht selten. Dadurch ist eine klare Trennung für Mitarbeiter und Außenstehende oftmals nicht oder nur schwer erkennbar gegeben. Doch ein prägnanter Unterschied zeichnet sich ab und ist in puncto Gesetzesvorgabe zu finden.
Was ist Datenschutz – Was ist Informationssicherheit?
Der Datenschutz unterliegt strikten gesetzlichen Auflagen, die zur Einhaltung verpflichten und keine Zuwiderhandlung dulden. Die Informationssicherheit hingegen bietet einen kleinen Auslegungsspielraum. Somit bietet er auch Platz für unternehmenseigene Konzepte. Außerdem zur technischen und organisatorischen Sicherung von Unternehmensdaten.
Primär geht es um die Unterschiede zwischen der Durchsetzung gesetzlicher Vorschriften und der Motivation, eigene Interessen durchzusetzen. Auch geht es darum, die sensiblen Daten des Unternehmens mit entsprechender Sorgfalt zu behandeln.
Im Datenschutz gibt es nach der Einführung der strengen Richtlinien nach DSGVO keinen Spielraum für Unternehmer. Wird gegen die Vorschriften gehandelt und es liegt ein Datenschutzverstoß vor, drohen hohe Bußgelder und andere Einschränkungen in der Unternehmensführung. Auch die Sicherung der Informationen spielt natürlich eine wichtige Rolle. So bedarf diese ebenso großer Sorgfalt wie der Datenschutz. Wenn es zu Überschneidungen kommt, was beispielsweise beim Umgang mit Kunden-, Mandanten- oder Patientendaten der Fall ist, hat die DSGVO vor dem unternehmenseigenen Konzept Vorrang. Sie ist somit erstrangig umzusetzen.
Konflikte durch Überschneidungen keine Seltenheit
Auf den Firmencomputern ist es üblich, dass jeder Mitarbeiter einen persönlichen Login hat. Er erhält nur über diesen den Zugang zu Firmendaten, Kundendaten oder Patientendaten. Durch die Notwendigkeit des Logins lässt sich später nachvollziehen, welcher Mitarbeiter zu welchem Zeitpunkt und an welchem Computer mit den Daten gearbeitet hat. Die Speicherung der Anmeldung dient der Informationssicherheit. Sie ist somit in erster Linie eine Maßnahme, durch die unbefugte Zugriffe vermieden und die Berechtigung zur Verwendung der Daten geschützt werden soll.
Im gleichen Atemzug ist die Speicherung der Anmeldedaten aber auch ein Vorgang, dem genau wie bei den Cookies nach dem EuGH Urteil, ausdrücklich zugestimmt werden muss. Wird keine Einwilligung gefordert oder erteilt, darf laut Datenschutz keine Speicherung erfolgen. Dies ist ein Beispiel, wo sich Datenschutz und Informationssicherheit konträr gegenüberstehen. So führen sie nicht selten zu offenen Fragen in der Unternehmensleitung. Ein Datenschutzbeauftragter kann helfen, die Unterschiede zwischen dem Datenschutz und der Informationssicherheit offenzulegen. Somit kann er einen legalen, sensible Daten schützenden Umgang entwickeln.
Freiwillige Zustimmung zur Datenverarbeitung hebt Datenschutz teilweise aus
Mit Einführung der DSGVO dürfen personenbezogene Daten nur verwendet werden, wenn der Inhaber der Daten ausdrücklich zustimmt. Eine ohne die direkte Zustimmung erfolgende Verarbeitung und Verwendung steht dem Gesetz entgegen. Sie wird im Streitfall zu Ungunsten des datenverarbeitenden Unternehmens ausgelegt. Im Bereich Informationssicherheit geht es um Organisation und technische Maßnahmen für die Integrität und Verfügbarkeit. Auch geht es um die Vertraulichkeit der Daten.
Durch die Vergabe personenbezogener Logins lassen sich Manipulationen ohne Rückverfolgungsmöglichkeit und die damit verbundenen Schäden für ein Unternehmen vermeiden. Durch ein sicheres und präzises Konzept im Bereich Informationssicherheit werden die im Unternehmen vorhandenen Daten vor den Augen der Konkurrenz verborgen und entsprechend geschützt. Daher sind Informationssicherheits-Konzepte auch ein Anliegen, dem die Personalabteilung größte Motivation widmet und eine maßgeschneiderte Konzeption anstrebt.
Der Auslegungsspielraum im Datenschutz ist hingegen eindeutig. Nur wer sich an die Regeln hält und nach den Vorgaben der DSGVO handelt, spart sich Ärger und hohe Bußgelder mit empfindlicher Auswirkung auf die Liquidität und natürlich auf die Vertrauenswürdigkeit eines Unternehmens.
Trotz Überschneidung deutliche Unterschiede
In vielen Unternehmen sind Datenschutz und die Informationssicherheit untrennbar miteinander verbunden. Eine Überschneidung kann vorteilhaft, aber auch nachteilig sein und erhöhte Schwierigkeiten mit sich bringen. Im Zweifelsfall, wie im oben aufgeführten Beispiel, gilt immer die gesetzliche Vorgabe, die allein durch ihren rechtlichen Bestand verbindlich ist und über der Informationssicherheit steht. Bei sehr komplexen Überschneidungen kann ein Datenschutzbeauftragter für Entwirrung sorgen und ein Konzept einführen, das alle Regeln und Vorschriften beachtet und den notwendigen Freiraum in der Informationssicherheit gibt.