Das Wichtigste in Kürze:
- Unterschied Datenschutz und Datensicherheit: Datenschutz schützt die personenbezogenen Daten und die informationelle Selbstbestimmung der Bürger, während Datensicherheit für den technischen Schutz dieser Daten zuständig ist.
- Relevanz für Unternehmen: Unternehmen sind gesetzlich verpflichtet, Datenschutzrichtlinien einzuhalten und technische Sicherheitsmaßnahmen umzusetzen, um Datenpannen und Strafen zu vermeiden.
- Praxisbeispiele und Risiken: Personendaten sind allgegenwärtig; ohne geeignete Maßnahmen sind Unternehmen gefährdet, was hohe Strafen und Vertrauensverluste nach sich ziehen kann.
Worum geht es beim Thema Datenschutz? Und wo ist der Unterschied zur Datensicherheit? Sind das einfach nur unterschiedliche Begriffe für dasselbe Thema? Gleich vorab: Nein, Datenschutz und Datensicherheit verfolgen unterschiedliche Ziele. Die Begrifflichkeiten sind sicherlich nicht so einfach auseinander zu halten und es gibt natürlich eine gewisse Schnittmenge der beiden Themen – Datenschutz kann ohne Datensicherheit nicht funktionieren.
Datenschutz beschäftigt sich mit der Erhebung, Verarbeitung und Nutzung personenbezogener Daten bestimmter oder bestimmbarer natürlicher Personen. Er wird durch das Bundesdatenschutzgesetz BDSG gesetzlich geregelt und soll dafür Sorge tragen, dass das Persönlichkeitsrecht der Menschen durch den Umgang mit ihren Daten nicht negativ beeinflusst wird. Es geht um die informationelle Selbstbestimmung. Das Datenschutzgesetz wird nicht auf juristische Personen angewendet. Datenschutz bezieht sich nur auf natürliche Personen. Er verbietet die unerlaubte Erfassung, Speicherung oder Nutzung personenbezogener Daten – auch „Datengeheimnis“ genannt. Firmen sind gemäß §5 BDSG verpflichtet, ihre Mitarbeiter auf dieses Verbot der unerlaubten Datenerhebung und Datennutzung zu verpflichten.
Personenbezogene Daten sind fast überall zu finden
Personenbezogene Daten kommen in Unternehmen jeder Größenordnung vor. Beispiele für personenbezogene Daten sind:
- Persönliche Daten (z.B. Name, Geburtsdatum, Adresse, Telefonnummer, Haarfarbe…)
- Mitarbeiterdaten (z.B. Bildungsstand, Beruf, Fähigkeiten, Urlaub, Leistungsbeurteilungen…)
- Bankdaten (z.B. Kontoauszüge, Darlehen, Kreditkarten…)
- Lohn- und Gehaltsdaten
- Gesundheitsdaten
- Konsumverhalten
- …
Datenschutz ist dabei ohne ein angemessenes Schutzniveau der Daten nicht möglich. So ist im §9 des BDSG geregelt, dass öffentliche und nicht-öffentliche Stellen bestimmte technische und organisatorische Maßnahmen (TOM) zu erfüllen haben. Dazu wurden in der Anlage zu §9 BDSG die „8 Gebote für den Datenschutz“ definiert.
- Zutrittskontrolle
Beschreibung der Maßnahmen, die Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, verwehren. - Zugangskontrolle
Beschreibung der Maßnahmen, die verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. - Zugriffskontrolle
Beschreibung der Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems-Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. - Weitergabekontrolle
Beschreibung der Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und der Maßnahmen die gewährleisten, dass überprüft und festgestellt werden kann, an welchen Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. - Eingabekontrolle
Beschreibung der Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. - Auftragskontrolle
Beschreibung der Gewährleistung bzw. der Maßnahmen, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden. - Verfügbarkeitskontrolle
Beschreibung der Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. - Trennungskontrolle
Beschreibung der Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
Häufig nimmt man auch noch die Organisationskontrolle mit dazu. Dies alles sind Maßnahmen, die gewährleisten, dass die innerbetriebliche Organisation den Anforderungen des Datenschutzes genügt. Die Umsetzung der Maßnahmen zur Erlangung eines angemessenen Schutzniveaus, lässt sich mit Datensicherheit überschreiben. Sie sehen, für einen funktionierenden Datenschutz ist ein gewisses Maß an Datensicherheit erforderlich. Ansonsten könnten keine Maßnahmen für diese acht bzw. neun Kontrollpunkte beschrieben werden.
Zum Erreichen der Datensicherheit haben Unternehmen ebenfalls Maßnahmen und Vorkehrungen zu treffen. Dem sollten Sie auch tunlichst nachkommen. Auch wenn Sie tatsächlich keine personenbezogenen Daten erheben, verarbeiten oder nutzen sollten, Anforderungen an die Datensicherheit werden auch Sie erfüllen müssen. Mit folgenden Gesetzen lassen sich Maßnahmen bezüglich Datensicherheit begründen, die Auflistung hat keinen Anspruch auf Vollständigkeit:
- Gesellschaftsrecht, z.B. AktG oder GmbHG
- IDW PS 330 (Prüfliste der Wirtschaftsprüfer)
- BGB Bürgerliches Gesetzbuch
- GDPdU
- KonTraG
Ohne Datensicherheit gibt es keinen Datenschutz
Alle diese Gesetze fordern Maßnahmen zur Datensicherheit. Wie Sie sehen, muss Datensicherheit vorhanden sein, egal ob Sie personenbezogene Daten verarbeiten oder nicht. Durch die Erhebung, Verarbeitung und Nutzung personenbezogener Daten fallen Sie zusätzlich auch noch unter das Bundesdatenschutzgesetz. Damit geht auch eine gewisse Dokumentationspflicht einher. Der Datenschutzbeauftragte muss beispielsweise das IT-Verfahrensverzeichnis führen. Außerdem müssen die bereits erwähnten technisch-organisatorischen Maßnahmen erfasst, dokumentiert, bewertet und periodisch geprüft werden. Auch dies muss in schriftlicher Form vorgehalten werden. Schließlich kann die zuständige Datenschutzbehörde jederzeit Einsicht in das Verzeichnis und die umgesetzten technisch-organisatorischen Maßnahmen verlangen.
Zuletzt noch ein Hinweis. Verwechseln Sie bitte nicht Datensicherheit mit Datensicherung. Datensicherung ist eine technische Maßnahme für Ihre Datensicherheit. Diese lässt sich bei den Maßnahmen zur Verfügbarkeit einordnen.
Sie möchten mehr zum Thema Datenschutz und Dokumentationspflicht erfahren? In unserer Datenschutz-Rubrik finden Sie weitere Blogartikel.