30.06.2018 | Michael Roth
Datenschutz vs. Informationssicherheit?
Der Themenkomplex Datenschutz spielt im Design und Betrieb der Informationssicherheit immer wieder eine Rolle – nicht immer zur Freude der Geschäftsverantwortlichen.
In der Beratung zur Informationssicherheit geht es üblicherweise um Themengebiete wie Cybersecurity, Identitäts- un Zugriffsmanagement oder Managementsysteme zur Informationssicherheit. Diese Bereiche sind meist in IT- oder i Business-Einheiten der Kunden angesiedelt und sollen die Informationen der Unternehmen vor allen möglichen Verletzunge schützen.
Integrale Betrachtungsweise
Datenschutz als Disziplin des Zivilrechts bezweckt dagegen den Schutz der Personen, die mit den Informationen verbunde sind; er ist selten der Katalysator für Sicherheitsprojekte und wird bestenfalls als Rahmenbedingung berücksichtigt. Di Ziele der beiden Betrachtungsfelder sind also unterschiedlich, überlappen sich aber in weiten Teilen. Sie können deshal kaum isoliert bearbeitet werden.
In der Regel müssen bei Mandatserfüllung bestehende interne und externe Rahmenbedingungen der Kunden berücksichtigt werden. Dazu gehören Sicherheitsstrategien und Richtlinien wie etwa anwendbare Standards oder Klassifizierungsvorgaben Ausserdem gelten immer rechtliche Anforderungen an die Bearbeitung von Personendaten, meist auch für andere Daten de Unternehmens. Es ist deshalb bei allen Arbeiten in einer der beiden Domänen zwingend, die Fragestellung integra anzugehen und dazu die Anforderungen der anderen Domäne nicht ausser Acht zu lassen. Beispiele dazu finden sich zuhauf insbesondere in stark regulierten Wirtschaftsbereichen wie der Finanzindustrie oder dem Gesundheitswesen.
Standards und Compliance
Oft bezwecken Projekte eine Standortbestimmung der eigenen Informationssicherheit bezüglich Branchenüblichkeit und Stan der Wissenschaft. Dazu können etablierte Standards gute Dienste leisten, etwa der Standard ISO/IEC 27001, das NIS Cybersecurity Framework oder branchenspezifische Referenzen wie HIPAA für das Gesundheitswesen oder PCI-DSS fü Kreditkartentransaktionen. Alle diese Standards umfassen auch Anforderungen an die Umsetzung des Datenschutzes, der sic aus dem nationalen oder anderem anwendbaren Recht ergibt.
Umgekehrt umfasst auch das Datenschutzrecht praktisch immer generische Massnahmen der Informationssicherheit (technisch und organisatorische Massnahmen); im Schweizerischen Recht finden sie sich in Artikel 7 DSG, in der europäischen DSGV etwa gleichlautend im Artikel 32. Muss ein Gericht die Angemessenheit von Massnahmen zum Datenschutz prüfen, wird es z deren Bestimmung mit hoher Wahrscheinlichkeit auf die erwähnten oder vergleichbare (Branchen)Standards abstützen Dasselbe gilt erfahrungsgemäss für mehr oder weniger konkrete Anforderungen des relevanten Regulators.
Es gibt daher eine hohe Wechselwirkung zwischen faktischen und formellem Recht zu Informationssicherheit un Datenschutz; beide Quellen für Massnahmen der Datenbearbeitung können nicht isoliert betrachtet werden.
Kooperation statt Abgrenzung
Im Alltag des Informationssicherheits-Beraters ergibt sich diese Wechselwirkung selten von selbst Informationssicherheit ist inzwischen verbreitet als Business Enabler anerkannt und wird meist seriös konzipiert wi betrieben – auch, weil sie weitestgehend nur internen Anforderungen genügen muss. Datenschutz wird dagegen nach wie vo als klassische (rechtliche/externe) Rahmenbedingung betrachtet, mithin als Bremse des Geschäfts.
Dennoch ist klar: trennbar sind die Disziplinen nicht; sie bedingen und erfüllen sich gegenseitig, das zugrundeliegend System kann auf der einen Seite selten ohne Auswirkungen auf der anderen Seite verändert werden. Die formell Verknüpfung der beiden Gebiete ist inhaltlich richtig und nötig. Ein Projekt zur Einführung eines IAM Systems oder eine rechtkonformen Archivierung nach GeBüV oder anderer Aufbewahrungsvorschriften ist nicht denkbar ohne die vertieft Prüfung der verbundenen Datenschutzanforderungen.
Dieser Ausgangslage sollten Projektaufträge Rechnung tragen. Das Projektsetup, die Zieldefinition und -messung sowie di Auswirkungen der Projektergebnisse müssen entsprechend umgesetzt werden, allenfalls sollten sie erweitert werden. De Rechtsdienst des Unternehmens, idealerweise die Datenschutzbeauftragten, können dabei unterstützen.
Mögliche Bedrohungen der Informationssicherheit
Hinweis: Dieser Artikel wurde auch im Wirtschaftsguide als Beilage zur Sonntagszeitung publiziert.