Das passende Leistungspaket für Ihre Bedürfnisse

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Über 2.000 zufriedene Kunden

Jedox  Logo Contact Demodesk Logo Contact Elevate Logo Contact Canon  Logo Contact CBTL Logo Contact Alasco  Logo Contact RightNow Logo Contact Veganz Logo Contact Escada Logo Contact First Group Logo Contact

Erhalten Sie Infos zu unseren Preisen & Services

Oder rufen Sie uns an: (089) 8967 551 000

Certified by Proven Experts

6 Min

Informationssicherheit und Datenschutz:  Gemeinsam effizienter arbeiten

Auch wenn Datenschutz und Informationssicherheit in den meisten Unternehmen von ganz unterschiedlichen Abteilungen umgesetzt werden, haben die beiden Konzepte sehr viel gemeinsam. Und wer die Synergien kennt und zu nutzen weiß, spart sich viel Zeit und Arbeit. Wir verraten, wo sich Datenschutz und Informationssicherheit ergänzen können und warum ein effizientes Zusammenspiel immer wichtiger wird.

 

Das Wichtigste in Kürze

  • Im Gegensatz zum Datenschutz schützt die Informationssicherheit Unternehmenswerte
  • IT-Sicherheit grenzt sich nochmals von der Informationssicherheit ab, wird fälschlicherweise aber oft mit dieser gleichgesetzt
  • Neben der DSGVO gibt es inzwischen weitere Gesetze, die sich mit der Informationssicherheit befassen
  • Ein DSB kümmert sich um den Schutz von Daten von Betroffenen, ein CISO oder ISB dagegen alleine um die Interessen des Unternehmens
  • Am effizientesten für ein Unternehmen ist es, wenn DSB und CISO bzw. ISB zusammenarbeiten

In diesem Beitrag

Abgrenzung von Informationssicherheit, IT-Sicherheit und Datenschutz

Bevor wir auf die Gemeinsamkeiten von Datenschutz und Informationssicherheit eingehen, zunächst eine kurze Abgrenzung der beiden Begriffe:

Informationssicherheit beschreibt den Schutz von Informationen und Unternehmenswerten nach mindestens drei Schutzzielen:

  • Vertraulichkeit: Informationen sind nur berechtigten Personen zugänglich
  • Integrität: keine unrechtmäßigen oder außerplanmäßigen Änderungen möglich
  • Verfügbarkeit: auch nach einem Brand oder sonstigem Datenverlust können Informationen wiederhergestellt werden

Zwar gibt es internationale Standards und Normen, die Anforderungen an die Informationssicherheit und Maßnahmen zur Umsetzung definieren, allerdings existiert ein rechtlicher Rahmen nur für bestimmte Spezialfälle. Mehr über Informationssicherheit in unserem Artikel mit einem Überblick, den Schutzzielen und Aufgaben.

Übrigens: Der Begriff der IT-Sicherheit wird hin und wieder irreführender Weise mit dem der Informationssicherheit gleichgesetzt. Allerdings beschreibt IT-Sicherheit nur all die Prozesse und Maßnahmen, die direkt mit IT-Systemen oder Hardwaresicherheit zusammenhängen. Zum Beispiel gehört die ordnungsgemäße Handhabung von Papierakten zu den Themenkomplexen der Informationssicherheit, nicht aber der IT-Sicherheit. Mehr zum Unterschied finden Sie in diesem Artikel.

Datenschutz bezieht sich immer auf den Schutz personenbezogener Daten. Anders als bei der Informationssicherheit geht es weniger darum, Informationen an sich zu schützen, sondern eher die Menschen hinter den Daten. Seit Mai 2018 ist die EU-DSGVO neben dem Bundesdatenschutzgesetz (BDSG) die rechtliche Grundlage für den Datenschutz in Europa.

Warum sowohl Datenschutz als auch Informationssicherheit an Bedeutung gewinnen

In den letzten Jahren wurden zahlreiche Gesetze auf den Weg gebracht bzw. aktualisiert, die sich direkt mit dem Datenschutz und der Informationssicherheit befassen. Das liegt mitunter an dem rasanten technischen Fortschritt, der Digitalisierung und den damit einhergehenden Risiken (z. B. durch Cyber-Attacken und Datenlecks sowie Gefährdung der Privatsphäre von Verbrauchern).

Zu den wichtigsten Gesetzen gehören: das IT-Sicherheitsgesetz bzw. BSIG, die KRITIS-Verordnung, das Geschäftsgeheimnisschutzgesetz, das neue TTDSG und die Datenschutzgrundverordnung (DSGVO).

Auch das Bewusstsein von Verbrauchern, B2B-Kunden, Investoren, Mitarbeitern und anderen Stakeholdern wächst in Bezug auf Datenschutz und Informationssicherheit. Investoren unterziehen Unternehmen eingehenden Due-Diligence-Prüfungen, bei denen die Informationssicherheit genau unter die Lupe genommen wird. Vermehrt spielen auch Zertifizierungen – zum Beispiel nach ISO 27001 und TISAX® – eine große Rolle im Kampf um Vertriebspartner und Kunden.

Anmerkung: Fachumgangssprachlich spricht man meist nur von der ISO 27001. Die fachlich korrekte Schreibweise ist aber ISO/IEC 27001.

In unserer kostenlosen Roadmap finden Sie übrigens einen Schritt-für-Schritt-Leitfaden, zur Implementierung der ISO 27001. Jetzt einfach herunterladen.

ISO 27001 Implementierung Leitfaden

Verantwortlichkeiten für die Einhaltung von Informationssicherheit und Datenschutz – wer kümmert sich?

Datenschutz und Informationssicherheit sind „Chefsache“ – das bedeutet, dass die wichtigen Entscheidungen (zum Beispiel Risikoentscheidungen) durch das Topmanagement gefällt werden und die Verantwortung bei Fehlern bei der Geschäftsführung liegt. Die nötige Expertise zur Umsetzung bringen primär folgende Rollen mit:

Der Datenschutzbeauftragte (DSB) nimmt die Rolle eines Beraters für das Topmanagement ein. Er analysiert den aktuellen Stand des Datenschutzes im Unternehmen und stellt entsprechende Handlungsempfehlungen aus. Der DSB konzentriert sich auf die Umsetzung von Datenschutzgesetzen (wie dem Bundesdatenschutzgesetz und der DSGVO) und den Schutz der Privatsphäre von Betroffenen. Dabei muss der DSB gut vernetzt sein, denn Datenschutz betrifft am Ende jede Abteilung eines Unternehmens. Die Position eignet sich gut für das Outsourcing – d. h., dass ein Unternehmen von unabhängigen Experten bezüglich des Datenschutzes betreut werden kann. Mehr zu den Aufgaben den DSB finden Sie in diesem Artikel.

Der Chief Information Security Officer (CISO) oder Informationssicherheitsbeauftragter (ISB)

Anders als der DSB kann der CISO bzw. ISB sich vollkommen auf die Interessen des Unternehmens konzentrieren. Denn in seiner Position muss er nicht zwischen dem Schutz der Menschen hinter den Daten und dem Geschäftserfolg abwägen. Er muss jedoch einen anderen Balanceakt meistern: den zwischen dem Schutz von Informationen/Assets und einem reibungslosen Geschäftsablauf. Er ist normalerweise direkt dem Topmanagement unterstellt, arbeitet aber besonders eng mit der IT-Abteilung sowie den Compliance- und Legal-Teams zusammen.

  CISO/ISB Datenschutzbeauftragter
Aufgaben
  • Schutz von Unternehmenswerten/Assets vor Angriffen und Datenverlusten
  • Zertifizierungen nach ISO 27001/27002 bzw. TISAX®
  • Einführung eines Informationssicherheits-Managementsystems
  • Auswahl geeigneter Methoden und Tools
  • Risikomanagement und Beratung der Geschäftsführung
  • Abteilungsübergreifende Kommuni-kation
  • Prüfung des Datenschutzes im Unternehmen
  • Beratung der Geschäftsführung zur Einhaltung der Datenschutzgesetze
  • Reduktion des Risikos von Datenpannen / Datenschutzverstößen
  • Mitarbeiterschulungen
  • Erstellung relevanter Datenschutz-dokumentationen
  • Beratung des Unternehmens und Kommunikation mit den Behörden
Ausbildung i. d. R. Informatiker oder Computer Scientists, mit Weiterbildungen / Spezialisierungen im Bereich Security und langjähriger Berufserfahrung Oft Juristen oder Wirtschaftswissenschaftler mit entsprechender Weiterbildung
Wem unterstellt?

Normalerweise der Geschäftsführung unterstellt

Der DSB entsprechend der Vorgaben der DSGVO nicht weisungsgebunden
Gesetzlich vorgeschrieben? Nein, auch der Aufgabenbereich ist nicht gesetzlich vorgeschrieben und hängt sehr vom jeweiligen Unternehmen und der einzuhaltenden Regeln ab. Eine Ausnahme bieten hier z. B. Spezialfälle im öffentlichen Sektor Für die meisten Unternehmen ja, mehr Informationen hier. Die DSGVO regelt auch den Aufgabenbereich des DSB recht detailliert.
Beschäftigungs-verhältnis Interne oder externe Position denkbar, je nach Anforderungen des Unternehmens und der Unternehmensgröße. Interne oder externe Position denkbar, je nach Anforderungen des Unternehmens. (Mehr Infos zum Vergleich interner vs. externer DSB hier). Ein interner DSB genießt einen besonderen Kündigungsschutz.

Ein Beispiel: So arbeiten Informationssicherheit und Datenschutz oft aneinander vorbei

Nehmen wir das Beispiel eines Online-Shops. Die Datenschutzbeauftrage muss u. a. darauf hinwirken, dass personenbezogene Daten von Website-Besuchern und Kunden nur mit deren Einwilligung erhoben und verarbeitet werden, dass die Cookies datenschutzkonform akzeptiert und abgelehnt werden können, dass die Daten nach dem Stand der Technik geschützt werden (zum Beispiel durch technische Maßnahmen wie Anonymisierung) und alle Verarbeitungstätigkeiten im Verzeichnis von Verarbeitungstätigkeiten (VVT) abgebildet werden.

Gleichzeitig sitzt auf einer anderen Etage des Büros der CISO, der sich ganz eigene Maßnahmen zur Verschlüsselung der Daten ausdenkt, Maßnahmen gegen Angriffe auf die Website umsetzt und eine Risikobetrachtung durchführt, um den Anforderungen an Dienstanbieter nach § 13 Telemediengesetz nachzukommen. Leider geschieht das nur sehr selten in Absprache mit der Datenschutzbeauftragen – obwohl das vieles einfacher machen würde. Doch wie geht es besser?

Schnittmengen von Datenschutz und Compliance – so können Unternehmen Synergien nutzen

Es hat sich mittlerweile herumgesprochen, dass internationale Normen und Best Practices eine große Hilfestellung bei der Umsetzung unterschiedlicher Compliance-Themen darstellen. Für die Entwicklung von Informationssicherheits-Managementsystem ist die ISO 27001 die passende Norm. Sie beschreibt neben Anforderungen an die technologische Ausstattung auch solche an die Sicherheit sämtlicher Prozesse und Geschäftsaktivitäten eines Unternehmens sowie die Qualifikation und Vertrauenswürdigkeit der involvierten Menschen – aus Belegschaft und Geschäftsführung, aber auch Lieferanten.

Praktischerweise gibt es große Schnittmengen zwischen ISO 27001 und DSGVO. Zu diesen gehören:

  1. Anforderungen an den technischen Datenschutz: In Art. 32 DSGVO werden sehr ähnliche Schutzziele als Anforderungen an den Schutz personenbezogener Daten gestellt wie in der ISO 27001 bei den Grundprinzipien der Informationssicherheit.
    1. Technische und organisatorische Maßnahmen (TOM) sollen gemäß dem Stand der Technik implementiert werden (der Wortlaut ist hier fast identisch).
    2. Die Controls der ISO 27001 sind fast identisch mit den typischen technischen und organisatorischen Maßnahmen, die im Sinne der DSGVO oft implementiert werden.
  2. Kernbestandteil beider Themenbereiche ist ein Risikomanagement (also das Abwiegen von Eintrittswahrscheinlich, Schaden, Wichtigkeit für den Unternehmenserfolg bzw. Risiken für Rechte und Freiheiten betroffener Personen). Aus den Ergebnissen einer Risikobetrachtung in der Informationssicherheit kann eine Datenschutzfolgeabschätzung in vielen Fällen einfacher abgeleitet werden.
  3. Zwar fordert die DSGVO im Gegensatz zur ISO 27001 nicht explizit den Aufbau eines Managementsystems, jedoch können mit der Nutzung eines integrierten Managementsystem gleich mehrere regulatorische Anforderungen wert- und prozessorientiert umgesetzt werden. Und das hört nicht bei Datenschutz und Informationssicherheit auf, sondern zieht sich durch die gesamte Compliance. Durch ein integriertes Managementsystem bewegen Unternehmen sich weg von fachspezifischen Silos und hin zu einer zentralen Steuerung von Maßnahmen, bei denen der gesamte Prozess im Mittelpunkt steht.

Fazit: Datenschutzbeauftragter und CISO profitieren gemeinsam mit der Compliance-Abteilung von einem prozessorientierten Managementsystem

Stellen Sie sich vor, in einem Hotel würden der Dessert-Koch, der Chefkoch, der Sommelier und der Bartender nie miteinander kommunizieren. Das Resultat wären komplizierte Lieferantenbestellungen ohne Mengenrabatte bei Menüs, die weder in sich stimmig sind noch zu dem Weinangebot passen. In der Küche würden die Köche sich ständig auf die Füße treten und über Platz im Kühlraum streiten. Setzen die einzelnen Mitarbeiter sich jedoch regelmäßig zusammen, können sie sich unterstützen, gemeinsame Großbestellungen aufgeben und stimmige kulinarische Konzepte entwickeln – bei geringeren Ausgaben.

Ganz genauso leiden auch Fachabteilungen, die in verschiedenen Datenschutz- und Compliance-Themen isoliert voneinander an Ihren Themen arbeiten, unter einem weitaus größeren Arbeitsaufwand bei schlechteren Resultaten. Und genau wie in einem Hotel muss auch hier der Prozess im Mittelpunkt stehen. Statt kulinarischer Highlights sind es eben sichere, transparente und gesetzeskonforme Abläufe.

Sie möchten die Synergien von Datenschutz und Informationssicherheit besser nutzen?

Wir helfen Ihnen gerne dabei. Bei DataGuard bieten wir Beratungsdienstleistungen in beiden Themenbereichen an und helfen Unternehmen bei der Umsetzung der Anforderungen der DSGVO sowie bei Audits nach ISO 27001.

Kostenlose Erstberatung vereinbaren

 

                                                                                                                            Zurück zum Seitenanfang

Über den Autor

Tobias Forbes Tobias Forbes
Tobias Forbes

Tobias Forbes ist zertifizierter Datenschutzbeauftragter (TÜV Nord) und ISO/IEC 27001 Officer und Auditor (TÜV Rheinland). Als Wirtschaftswissenschaftler berät er seit 2015 Kunden verschiedener Branchen und Größen bei Fragestellungen der IT-Compliance, insbesondere des Datenschutzes und der Informationssicherheit. Dabei war er unter anderem für große Finanzdienstleistungs- und Logistikkonzerne sowie eine Vielzahl von Tech-Unternehmen wie DataGuard tätig. Nach seinem Bachelor- und Masterabschluss in wirtschaftlich geprägten Studiengängen hat er zur Vertiefung seiner fachlichen Kenntnisse einen weiteren Master in Compliance, IT und Datenschutz abgeschlossen. Mit seinen interdisziplinären Fähigkeiten aus Wirtschaft, IT und Datenschutz hilft er Kunden aller Größen dabei, regulatorische Anforderungen zu erfüllen und ihre Systemlandschaften mit geeigneten Sicherheitsmaßnahmen auszustatten.

Mehr Artikel ansehen