Unterschied zwischen Datenschutz und Datensicherheit

Datenschutz und Datensicherheit sind für Unternehmen wichtig, die Daten der Mitarbeitenden, Kunden, Lieferanten, Nutzer oder Investoren und Aktionäre speichern oder verarbeiten. Damit ist klar, dass Datenschutz und Datensicherheit alle Unternehmen etwas angehen. Denn Datenschutzverletzungen und Datenlecks können gravierende und kostspielige Folgen haben.

Doch was ist der Unterschied zwischen Datenschutz und Datensicherheit? Häufig werden die Begriffe im Alltag synonym verwendet. In diesem Artikel erfahren Sie, wie sich Datensicherheit und Datenschutz unterscheiden und welche Maßnahmen Sie ergreifen können, um beides in Ihrem Unternehmen zu stärken.

 

Was ist Datenschutz?

Beim Datenschutz geht es um den Schutz personenbezogener Daten. Dabei handelt es sich um erhobene, verarbeitete und gespeicherte Daten, die sich auf eine bestimmte Person beziehen. Darunter fallen Namen, Adressen, Telefonnummern, E-Mail-Adressen, Bankverbindungen, Gesundheitsdaten und Personalakten. Der Datenschutz für solche sensiblen Daten ist gesetzlich geregelt.

Im Jahr 2018 trat die Europäische Datenschutz-Grundverordnung (DSGVO) in Kraft, die den sogenannten Datensubjekten – die identifizierbaren Personen, deren Daten erhoben werden – weitreichende Rechte in Bezug auf ihre Daten einräumt. Den Datenverantwortlichen und Datenverarbeitern drohen nach der DSGVO Geldbußen, wenn sie gegen die Bestimmungen dieser Verordnung verstoßen. Mit dem Bundesdatenschutzgesetz (BDSG) von 2018 hat die Bundesregierung die DSGVO in deutsches Recht umgesetzt.

Der Datenschutz verfolgt das Ziel, personenbezogene Daten vor unautorisiertem Zugang zu schützen.

 

Was ist Datensicherheit?

Unter Datensicherheit versteht man den Schutz von Daten aller Art. Darunter fallen auch die personenbezogenen Daten in Ihrem Unternehmen. Es gehören aber weitere Daten dazu, etwa Finanzdaten, Verträge, Rezepturen und andere Betriebsgeheimnisse, Erfindungen, vertrauliche Rundschreiben des Unternehmens und vieles mehr. Mangelnde Datensicherheit kann gravierende Folgen haben. Gelangen Betriebsgeheimnisse in die Hände von Wettbewerbern, könnte dies Ihrem Unternehmen schaden. Wenn Sie aufgrund einer Ransomware-Attacke nicht auf Ihre Daten zugreifen können, entstehen Ihnen womöglich Umsatzeinbußen.

Das Ziel der Datensicherheit besteht darin, durch geeignete Maßnahmen Daten und Informationen aller Art vor Diebstahl, unbefugtem Zugriff oder Manipulation zu schützen. Die drei Schutzziele der Datensicherheit werden auch als CIA-Prinzip bezeichnet – sie stehen aber nicht im Zusammenhang mit der gleichnamigen US-amerikanischen Behörde:

  1. Confidentiality (Vertraulichkeit): Nur befugte Nutzer greifen auf bestimmte Daten zu. Die Daten sind bei der Übertragung und bei der Speicherung geschützt.
  2. Integrity (Integrität): Änderungen an den Daten sind stets nachvollziehbar und erfolgen nur durch zugriffsberechtigte Personen. Die Daten sind vor Manipulation geschützt.
  3. Availability (Verfügbarkeit): Daten sind stets verfügbar und autorisierte Mitarbeitende können jederzeit darauf zugreifen und damit arbeiten. Im Notfall können die Daten schnell wiederhergestellt werden.

Unter Datenschutz versteht man den Schutz aller Daten.

Datenschutz vs. Datensicherheit – die wichtigsten Unterschiede

Während der Datenschutz in Deutschland europäischen und deutschen Verordnungen bzw. Gesetzen unterliegt, basiert Datensicherheit auf internationalen Normen und Standards. Die folgende Tabelle fasst die wichtigsten Unterschiede zusammen:

 DatenschutzDatensicherheit
Art der DatenPersonenbezogen: Daten, die sich natürlichen Personen zuordnen lassen, werden geschützt.Alle Arten von Daten und Informationen werden geschützt und gesichert, einschließlich personenbezogener Daten.
SchwerpunktPersonenbezogene Daten werden vor missbräuchlicher Verwendung, Beschädigung, Verlust, unbeabsichtigter Vernichtung und Manipulation geschützt.Das Augenmerk liegt auf dem Schutz und der Sicherung aller Daten vor unbefugtem Zugriff, Beschädigung, Diebstahl oder Manipulation.
Rechte im Umgang mit den DatenDie informationelle Selbstbestimmung der Betroffenen bleibt gewahrt und ihnen werden besondere Rechte in Bezug auf die eigenen Daten zugestanden.Betroffene können in Bezug auf die personenbezogenen Daten, die ihnen zuzuordnen sind, im Datenbestand des Unternehmens ihre Rechte geltend machen.
GrundlagenDatenschutz-Grundverordnung der EU (DSGVO); deutsches Bundesdatenschutzgesetz (BDSG); weitere Datenschutzgesetze; branchenspezifische Standards in den USA wie HIPAA und PCI-DSS.DSGVO und BDSG bei personenbezogenen Daten. IT-Sicherheitsgesetz (IT-Sig 2.0) von 2021 mit Regeln zu kritischen Infrastrukturen; Sicherheitsstandards wie ISO 27001 zu Cybersicherheit und Systemen für die Informationssicherheit.
VerantwortlichkeitLaut DSGVO ein Datenschutzbeauftragter.Datenschutzbeauftragter nach DSGVO; technisch Verantwortlicher zur Bearbeitung von Sicherheitsvorfällen.

 

Maßnahmen zum Datenschutz und zur Datensicherheit

Datenschutz und Datensicherheit gehen Hand in Hand. Die besondere Schutzwürdigkeit personenbezogener Daten erfordert Maßnahmen zum Datenschutz:

  • Holen Sie sich die Einwilligung der Personen ein, deren personenbezogenen Daten Sie aus berechtigten Gründen verarbeiten.
  • Erklären Sie Personen, deren Daten Sie erheben, im Sinne der Transparenz, warum Sie bestimmte Daten erheben und verarbeiten.
  • Orientieren Sie sich am Prinzip der Datenminimierung und erheben Sie nur die Daten, die Sie benötigen.
  • Ernennen Sie und schulen Sie Datenschutzverantwortliche im Unternehmen und sensibilisieren Sie Mitarbeitende zum Thema Datenschutzrecht.
  • Schützen Sie personenbezogene Daten durch technische und organisatorische Maßnahmen (TOM) wie Verschlüsselung oder Berechtigungsmanagement.

 

Datenschutz allein garantiert jedoch noch keine Datensicherheit. Um diese zu gewährleisten, müssen Unternehmen Maßnahmen für die Datensicherheit ergreifen:

  • Sensibilisierung: Schulen Sie anhand eines Schulungskonzepts zur IT-Sicherheit alle Neuzugänge im Rahmen des Onboardings. Verpflichten Sie alle anderen Mitarbeiten zu einer jährlichen Schulung, die z. B. aktuelles Wissen zu Methoden des Social Engineerings (z. B. Phishing) vermittelt.
  • Benutzerverwaltung: Löschen Sie nicht benötigte Benutzerkonten und nutzen Sie automatische Log-outs und Zwei-Faktor-Authentifizierung. Geben Sie das Format sicherer Kennwörter vor.
  • Lieferantenauswahl: Führen Sie Lieferantenaudits im Hinblick auf Informationssicherheit durch und wählen Sie Serviceprovider und Cloud-Anbieter, die größtmöglichen Schutz gewährleisten.
  • Sicherheitsrichtlinien: Geben Sie verbindliche Richtlinien in Bezug auf Firmengeräte, externe Software, Zwei-Faktor-Authentifizierung, VPN, Schutzfolie und Verschlüsselung vor.
  • Zugangskontrollen: Sichern Sie Ihre Gebäude, vorhandene Serverräume und die IT-Infrastruktur durch physische Zugangskontrollen ab. Bewahren Sie Unterlagen in Papierform in gesicherten Bereichen und Schränken auf.
  • Verwaltung der IT: Inventarisieren Sie die IT-Systeme inklusive Clients, Server, Netzwerkgeräte usw. Verschlüsseln Sie Laptops und mobile Datenträger. Nutzen Sie eine Firewall und Lösungen zum Schutz vor Malware.
  • Datenverwaltung: Inventarisieren Sie sensible Daten und regeln Sie den Zugriff darauf nach dem Prinzip „Need to know“. Verwenden Sie sichere Verfahren zum Löschen nicht mehr benötigter Daten.
  • Sicherung in der Cloud: Erstellen Sie regelmäßige Backups und testen Sie die Wiederherstellungen. Sichern Sie Daten in einem Cloud-Speicher wie die Content Cloud von Box. So können Sie im Notfall von überall aus auf Ihre Daten zugreifen.
  • Verwaltung der Software: Inventarisieren Sie die zugelassene Software im Unternehmen. Schließen Sie erkannte Sicherheitslücken sofort, am besten nutzen Sie automatisiertes Patchen.
  • Netzwerk-Sicherheit: Setzen Sie Tools zur Erkennung von Anomalien im Netzwerk ein und blockieren Sie den Zugriff auf bösartige Domains.

 

Entdecken Sie das Potenzial der Content Cloud

Mit einer sicheren zentralen Plattform für alle Ihre Inhalte wie der von Box können Sie den gesamten Content-Lebenszyklus verwalten: Dateierstellung, gemeinsame Bearbeitung, Freigabe, elektronische Unterschrift, Klassifizierung, Aufbewahrung und vieles mehr. Wir erleichtern Ihnen die gemeinsame Arbeit an Inhalten, sei es mit den Teams in Ihrem Unternehmen oder Externen. Durchgängige Sicherheit und Compliance der Enterprise-Klasse sind in unserer DNA verankert. Daher können Sie sich darauf verlassen, dass Ihre Inhalte stets geschützt sind. Angesichts der mehr als 1.500 nahtlosen Integrationen – sowie einer Reihe nativer Funktionen wie Box Sign – bietet die Content Cloud von Box einen zentralen Layer für Ihre Inhalte. Dadurch können Ihre Teams so arbeiten, wie sie möchten.

Die Content Cloud von Box ist ein echter Gamechanger für die gesamte Organisation: Damit können Sie die Effizienz von Workflows und die Produktivität aller Teams steigern. Kontaktieren Sie Box noch heute, und erfahren Sie mehr über seine Vorteile.

 

Disclaimer: Wir setzen uns stets dafür ein, Produkte und Dienste anzubieten, die sich durch erstklassigen Datenschutz, Sicherheit und Compliance auszeichnen. Dennoch stellen die in diesem Blog enthaltenen Informationen keine Rechtsberatung dar. Wir empfehlen Interessenten und Kunden daher, ihren Sorgfaltspflichten nachzukommen und die Vereinbarkeit mit geltenden Gesetzen selbst zu beurteilen.

 

Die Content Cloud vereinfacht die Zusammenarbeit, Produktivität, Workflows und vieles mehr