Datenschutz und Informationssicherheit sind nicht dasselbe. Doch es gibt Schnittmengen, weshalb das ISMS am besten im Einklang mit dem Datenschutz gestaltet wird.
Abgrenzung der Informationssicherheit vom Datenschutz
Für Außenstehende ist nicht immer ersichtlich, wo die genauen Unterschiede zwischen Informationssicherheit und Datenschutz liegen. Kein Wunder, schließlich sind beide Themen äußerst komplex und zugleich bestehen Schnittmengen. Dennoch existieren erhebliche Unterschiede, die wir nachfolgend vorstellen.
Notwendigkeit
Aufgrund gesetzlicher Bestimmungen sind alle Unternehmen zum Datenschutz verpflichtet. Grundlage hierfür bildet die Datenschutzgrundverordnung (DSGVO). In Deutschland ansässige Unternehmen müssen außerdem das Bundesdatenschutzgesetz (BDSG) berücksichtigen.
Bei der Informationssicherheit ist die Situation anders. Tatsächlich kann für einige Unternehmen die Verpflichtung bestehen, ein Informatonssicherheitsmanagementsystem (ISMS) einzuführen. Dies betrifft zumindest Unternehmen, die kritischen Branchen angehören, wie z.B. Versorger oder Geldinstitute. Der Großteil der Unternehmen ist jedoch nicht zur Informationssicherheit verpflichtet.
Abseits gesetzlicher Verpflichtungen kann für Unternehmen die Notwendigkeit bestehen, sich mit der Informationssicherheit zu befassen. In ausgewählten Branchen, wie z.B. der Automobilindustrie, führt an bestimmten Zertifizierungen kein Weg vorbei. Diese können Voraussetzung für die Etablierung nachhaltiger Geschäftsbeziehungen sein.
Spektrum der Daten
Unterschiede gibt es ebenso bei der Spannweite an Daten, mit denen sich Informationssicherheit und Datenschutz befassen. Beim Datenschutz stehen Daten mit Personenbezug im Fokus. Dies können z.B. Namen von Mitarbeitern oder E-Mail-Adressen von Kunden sein.
Übersicht personenbezogener Daten
- Name
- Merkmale zur Identifikation (z.B. Geburtsort)
- Kontaktdaten (z.B. Anschrift)
- körperliche Merkmale (z.B. Haarfarbe)
- Verbindungen und Beziehungen (z.B. Hinweis auf den Arbeitgeber)
- Gesundheitsdaten (z.B. Hinweis auf körperliche Behinderung)
- weitere Daten (z.B. gekaufte Produkte)
Besondere Kategorien personenbezogener Daten:
- Rassische und ethnische Herkunft
- Politische Meinungen
- Religiöse oder philosophische Überzeugungen
- Gewerkschaftszugehörigkeit
- Gesundheit
- Sexualleben und sexuelle Orientierung
Die Informationssicherheit reicht im Vergleich deutlich weiter. Sie beschränkt sich keineswegs auf personenbezogene Daten, sondern berücksichtigt jegliche Informationen im Unternehmen. Dies können beispielsweise Informationen über Geschäftsprozesse, geplante Investitionen oder in Entwicklung befindliche Ideen sein.
Risiken
Die größte Gemeinsamkeit von Informationssicherheit und Datenschutz ist das Risiko, das sie minimieren sollen. Es besteht darin, dass Informationen in falsche Hände gelangen. Die Konsequenzen, die solch ein Vorfall nach sich zieht, können sich wiederum unterscheiden.
Im Feld des Datenschutzes wird ein Vorfall, in dessen Rahmen Daten in die falschen Hände gelangen, als Datenschutzvorfall bezeichnet. Er kann zu äußerst unangenehmen Konsequenzen führen, wie z.B. einer Untersuchung mit anschließender Bußgeldverhängung durch die zuständige Aufsichtsbehörde. Darüber hinaus drohen weitere Konsequenzen, wie z.B. juristische Auseinandersetzungen oder ein Reputationsverlust.
Weil die Informationssicherheit ein bereites Feld an Informationen berücksichtigt, existiert ein größeres Spektrum an Konsequenzen, die mit dem Ernstfall einhergehen. Sollten beispielsweise Geschäftsgeheimnisse an Wettbewerber gelangen, kann dies die wirtschaftliche Stellung des gesamten Unternehmens ernsthaft gefährden.
Schnittmenge
Weil die Informationssicherheit jegliche Arten von Informationen betrachtet, sind personenbezogene Daten darin eingeschlossen. D.h. wenn Unternehmen gezielt Datenschutz betreiben und Prozesse absichern, leisten sie damit bereits einen Beitrag zur Informationssicherheit.
Wenn dies geschieht und gleichzeitig auf Informationssicherheit geachtet wird, sollten Maßnahmen im Einklang getroffen werden. Solche eine Vorgehensweise ist entscheidend, damit sich Informationssicherheit und Datenschutz nicht behindern, sondern gegenseitig unterstützen.
Hier setzen wir mit unserem Beratungsansatz im Datenschutz gemäß ISO 27701 an. Diese Norm konzentriert sich auf die Erweiterung der Datenschutzthemen auf Basis eines vorhanden ISMS gemäß ISO 27001.
Hieraus ergibt sich eine großer Mehrwert für alle Unternehmen, die ein ISMS aufbauen und den Datenschutz ebenfalls im Einklang gestallten wollen. Damit hat das Thema Datenschutz nicht immer einen gefühlt separaten Stellenwert, sondern kann vollständig integriert werden.