In Unternehmen und Krankenhäusern treffen wir häufig auf fehlendes Wissen über die Definition von Informationssicherheit und Datenschutz und deren Korrelation. Teilweise werden diese fälschlicherweise sogar als Synonym verwendet. Für Spezialisten beschreiben diese Begriffe zwei völlig unterschiedliche Sichtweisen. Für Mitarbeiter und Management besitzt gerade der sichtbare Teil deutliche Parallelen, die nicht von der Hand zuweisen sind.

Der Branchenspezifische Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus (B3S) sagt sogar: „[…] Datenschutz und Datensicherheit gemeinsam sind Bestandteil, was man heute unter „Informationssicherheit“ versteht.

Deshalb stellt sich zu Recht die Frage, in wie weit sich Datenschutz und Informationssicherheit harmonisieren lassen:

  • Wo liegen die Unterschiede?
  • Können Synergien genutzt werden?
  • Kann man die Verantwortlichkeit zusammenlegen?
  • Gibt es gesetzliche Rahmenbedingungen?
  • Wie wird dies in der Praxis gehandhabt?

Genau diese Fragen werden im folgenden Artikel behandelt und beantwortet.

Wo liegt der Unterschied?

Um die oben genannten Fragen zu beantworten sind zunächst die Begrifflichkeiten Informationssicherheit und Datenschutz zu definieren. Hierzu ist in folgender Abbildung eine Abgrenzung betroffener Disziplinen zu sehen, welche so oder so ähnlich in den meisten Unternehmen anzutreffen sind.

Wichtig zu erwähnen ist, dass die Grafik keine Funktionen oder Fachrichtungen beschreibt, sondern eine abstrakte Darstellung der angrenzenden Themengebiete, um ein besseres Verständnis zu erlangen.

Unternehmssicherheit

Unternehmenssicherheit

Der Datenschutz schützt jede einzelne Person und deren Daten. Hierbei dürfen beim Umgang mit diesen Daten die Persönlichkeitsrechte nicht eingeschränkt werden. Der Datenschutz ist juristisch geprägt und befasst sich ausschließlich mit dem Schutz personenbezogener Daten.

Über den Begriff Informationssicherheit besteht in der Literatur keine Einigkeit. Häufig werden stellvertretend auch die Begriffe IT-Sicherheit oder Cyber-Security verwendet.

Somit ist die Informationssicherheit als übergreifende Disziplin zu sehen, die ein Managementsystem etabliert, welche alle Anforderungen des Unternehmens an deren Informationen vereint. Die IT-Sicherheit nimmt dabei einen Teil der Informationssicherheit ein, der sich speziell um den Schutz vor Bedrohungen der Informations- und Telekommunikationstechnik kümmert.

Alle der genannten Disziplinen haben die Schutzziele der Vertraulichkeit, Verfügbarkeit, Integrität und Authentizität gemein, die mit geeigneten, dem Stand der Technik entsprechenden technischen und organisatorischen Maßnahmen zu erreichen sind.

Interessenskonflikt DSB vs. ISB

Aus beiden Disziplinen – Informationssicherheit und Datenschutz – ergeben sich eindeutig zu beachtende Schnittmengen, jedoch ebenso Interessenskonflikte, welche zu berücksichtigen sind.
Beispielhaft dient hier die Betrachtung einer SIEM-Lösung. Diese ist technisch dazu konzipiert, Unternehmensdaten auf Auffälligkeiten hin zu untersuchen. Dabei verarbeitet ein SIEM unweigerlich  personenbezogene Daten zur Verbesserung der Informationssicherheit, was jedoch im Konflikt mit der Datensparsamkeit aus dem Datenschutz steht. Als weiteres Beispiel sei die Firewall erwähnt, welche ggfs. verschlüsselte Datenströme aus dem Netz aufbricht, um Schadsoftware zu erkennen.

Gesetzliche Rahmenbedingungen

Die Definition einer verantwortlichen Person für Informationssicherheit (oft ISB oder CISO) wird gesetzlich nicht explizit vorgeschrieben, jedoch ausdrücklich in allen einschlägigen Standards und Rahmenwerke (z.B. B3S, ISO27001, BSI 200-1) gefordert. Diese Standards werden für die Umsetzung der Anforderungen aus dem IT-Sicherheitsgesetz verwendet und stellen ebenfalls eine Prüfgrundlage zur Nachweiserbringung nach §8a ITSiG dar. Die Definition einer verantwortlichen Person ist deshalb implizit für alle kritischen Infrastrukturen verpflichtend. In der Praxis würde das Fehlen einer verantwortlichen Stelle als Mangel bei der Prüfung festgestellt werden und spätestens danach als Festlegung dieser gefordert.

Anders sieht dies beim Datenschutzbeauftragten (DSB) aus. Dieser ist in Art. 37 der EU-DSGVO gesetzlich definiert. Des Weiteren darf der DSB nach Art. 38 weitere Aufgaben und Pflichten wahrnehmen, wenn diese nicht zu einem Interessenskonflikt führen.

Personalunion

Eine Vereinigung des DSB mit dem ISB ist aus genannten Gründen umstritten. Ist die Position und Person nicht in der IT oder in Entscheidungsstränge des Unternehmens eingebunden, so wird eine Zusammenfassung der Aufgabe von den Bundesbeauftragten für den Datenschutz und die Informationssicherheit sogar befürwortet.

Es gibt jedoch auch Aufsichtsbehörden, die hier anderer Meinung sind und einen Interessenskonflikt sehen. Im Zweifel sollte der zuständigen Behörde Gründe dargelegt werden, welche nicht für einen Interessenskonflikt sprechen.

Der B3S beschreibt lediglich als Beispiel den Interessenskonflikt zwischen IT-Leiter und Informationssicherheitsbeauftragten.

Eine Aufteilung der Verantwortlichkeit und des Managements kann ein Kompromiss darstellen und eine höhere Effizienz beim Management von Informationssicherheit und Datenschutz ergeben. So können z.B. dem ISB auch die Rolle des Datenschutzmanagements übertragen werden, ohne die Rolle des Datenschutzbeauftragten inne zu haben. Somit ist weiterhin eine unabhängige Überwachung und Kontrolle durch den DSB gewährleistet, jedoch werden die Maßnahmen zur Umsetzung der Anforderungen aus dem Datenschutz ganzheitlich dem Bereich der Informationssicherheit übertragen.

Umsetzung in der Praxis

Wir haben Verantwortliche für Informationssicherheit nach zusätzlichen Aufgabengebieten befragt. Hierbei haben einige den Datenschutz als weiteres Themenfeld benannt. Es wurde betont, dass die Verantwortlichkeit bei der Geschäftsführung verbliebe, jedoch die Koordination und das Managen des Datenschutzes in Personalunion zusammen mit der Informationssicherheit vollzogen wird.

Yin und Yang!?

Zusammengefasst besteht zwischen Datenschutz und Informationssicherheit zwar eine gegensätzliche Beziehung, jedoch würde das Eine nicht ohne das Andere funktionieren.
Die Bündelung von Tätigkeiten zur Informationssicherheit und Datenschutz sind gängige Praxis und bieten eine effizientere und effektivere Nutzung der Ressourcen bei der Umsetzung, da Abstimmungen entfallen und viele Tätigkeiten Überschneidungen aufweisen. Eine Kombination mit Tätigkeiten der IT ist ausdrücklich zu vermeiden.

Ein Interessenskonflikt ist potenziell vorhanden, weshalb die Entkopplung der Verantwortlichkeit von der Umsetzung empfohlen wird. So können das Managen von Datenschutz und Informationssicherheit in Personalunion erfolgen, die Überwachung und Hauptverantwortung ist jedoch durch eine weitere Person sicherzustellen.