Informationssicherheit, Datenschutz und IT-Compliance: Was ist was?

Bedeuten Informationssicherheit, Datenschutz und IT-Compliance eigentlich ungefähr das gleiche? Oder gibt es hierbei gravierende Unterschiede? Wir erklären es.

Drei IT-Fachbegriffe und ihre Bedeutung

Im täglichen (Berater-) Leben geraten wir immer wieder in spannende Diskussionen, in denen grundlegende Begriffe durcheinander geworfen werden. Wir erläutern daher in diesem bewusst  abstrakt gehaltenen Artikel die folgenden drei Begrifflichkeiten:

  • Datenschutz
  • Informationssicherheit
  • Compliance / IT-Compliance

Nach der Begriffsdefinition folgen konkrete Anwendungsbeispiele, in der Zusammenfassung werden noch einmal die wichtigsten Punkte komprimiert dargestellt.

Begriffsdefinition

Was bedeutet … ?

Datenschutz

Datenschutz ist ein Grundrecht. Die folgenden zwei Zitate aus der Zielsetzung der Europäischen Verordnung zeigen das:

“Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.”

“Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.”

 Quelle EU DS-GVO  Artikel 1,  siehe Gesetzestext EU DS-GVO

Definition: Personenbezogene Daten

(…) personenbezogene Daten [sind] alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden “betroffene Person”) beziehen; Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann (…)

Quelle: EU DS-GVO Artikel 4,  siehe Gesetzestext EU DS-GVO

Informationssicherheit

Die Informationssicherheit befasst sich mit technischen und organisatorischen Maßnahmen zur Sicherstellung von Vertraulichkeit, Verfügbarkeit und Integrität von (im einfachsten Fall) Daten in beliebigen EDV-Systemen. In der Wikipedia wird die Informationssicherheit folgendermaßen beschrieben:

Als Informationssicherheit bezeichnet man Eigenschaften von informationsverarbeitenden und -lagernden (technischen oder nicht-technischen) Systemen, die die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen. Informationssicherheit dient dem Schutz vor Gefahren bzw. Bedrohungen, der Vermeidung von wirtschaftlichen Schäden und der Minimierung von Risiken.

Quelle: Wikipedia

IT-Compliance

Was bedeutet dieser Begriff?

IT-Compliance beschreibt in der Unternehmensführung die Einhaltung der gesetzlichen, unternehmensinternen und vertraglichen Regelungen im Bereich der IT-Landschaft.

Quelle: Frei nach Wikipedia

Zusammenfassung

Datenschutz hat das Ziel, Grundrechte von Menschen und die Menschen an sich zu schützen, wenn personenbezogene Daten im Rahmen jedweder Vorgänge verarbeitet werden. Das Datenschutzgesetz  bildet neben anderen Gesetzen (TMG, TKG, StGB, SGB, etc.)  den formalen Rahmen. Ab Mai 2018 gilt dann EU-weit die Datenschutzgrundverordnung, kurz EU DS-GVO.

Die Informationssicherheit befasst sich konkret mit den technischen und organisatorischen Maßnahmen zur Einhaltung der aus dem Datenschutz und der IT-Compliance entstehenden Anforderungen an eine “sichere” Verarbeitung der Daten.

Technische Maßnahmen inklusiver der damit erreichten Schutzziele sind zum Beispiel folgende Sicherheitsvorkehrungen:

  • Die Verschlüsselung von Daten zur Wahrung der Vertraulichkeit (“Confidentiality”)
  • Signaturen zur Wahrung der Integrität (“Integrity”)
  • Penetrations-Tests zur Sicherstellung der Belastbarkeit (“Resilience”)
  • Log-Datei-Speicher und Auswertungen darüber zur Sicherstellung von Transparenz und Nachvollziehbarkeit
  • Pseudonymisierung von personenbezogenen Daten zur Wahrung der Vertraulichkeit

Organisatorische Maßnahme sind zum Beispiel:

  • Weiterbildungen von Mitarbeitern in verschiedensten Bereichen wie zum Beispiel Umgang mit Wechseldatenträgern, Verhalten beim Viren-Fund, etc.
  • Etablierung von regelmäßigen Sicherheitsprüfungen bspw. auf Basis von Fragebögen

Die hier gemachte Aufzählung ist bei Weitem nicht abschließend.

Die IT-Compliance fasst die auf den IT-Betrieb wirkenden Gesetzgebungen – unter anderem das Datenschutzgesetz – und Regularien zusammen und macht sie für den IT-Betrieb transparent. Weitere Beispiele hierfür sind unter anderem:

  • KonTraG: Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
  • GoBD: Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff durch die Finanzverwaltungen
  • HGB: Handelsgesetzbuch
  • Basel II: Die Eigenkapitalvorschriften, die vom Basler Ausschuss für Bankenaufsicht vorgeschlagen wurden
  • Solvency II: EU-Richtlinie für Versicherungsunternehmen
  • (Konzern-) Betriebsvereinbarungen als Beispiel für interne verbindliche Regelungen

Konnten wir die Unterschiede darstellen?

Konnten wir klar machen, worin die Unterschiede und Überschneidungen der Begriffe Informationssicherheit, Datenschutz und IT-Compliance  liegen? Wollen wir das gemeinsam vertiefen? Oder haben Sie noch Fragen? Kontaktieren Sie uns, wir freuen uns darauf!

Bild: Pixabay

Ähnliche Beiträge:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.