Als Cloud-Anbieter führen wir viele Diskussionen mit Kunden und Interessenten zu den Themen „Datensicherheit“ und „Datenschutz“. Im Eifer des Gefechts wirft man schon mal beide Begriffe in einen Topf und gebraucht sie synonym. Zwar gehören sie „in einen Topf“, denn beide Themen hängen zusammen. Dennoch gibt es wichtige Unterschiede, die man bedenken sollte – gerade auch im Hinblick auf die neue, ab Mai 2018 geltende EU-Datenschutz-Grundverordnung, die DSVGO.
Datensicherheit bezeichnet den Zustand, den man erreicht, wenn man Daten vor Verlust, ungewollter Manipulation oder missbräuchlicher Verwendung schützt. Das kann durch organisatorische und technische Maßnahmen erfolgen. Durch Rollen- und Autorisierungskonzepte lässt sich zum Beispiel steuern und nachvollziehen, wer wann Zugang zu welchen Daten hat. Neben einer solchen organisatorischen Maßnahme – und vielen weiteren – sorgen auf der technischen Ebene etwa der Einsatz von Firewalls, VPNs, Backup- und Archivierungskonzepten oder Hochverfügbarkeitsmaßnahmen für Datensicherheit. Prinzipiell gilt das für alle Daten, die in einem Unternehmen oder einer Organisation anfallen.
Datenschutz dagegen regelt die Vertraulichkeit von personenbezogenen Daten und die Persönlichkeitsrechte, etwa indem die Möglichkeit gegeben wird, der Erhebung personenbezogener Daten in Bezug auf die eigene Person zu widersprechen oder bestimmen zu können, wie die eigenen personenbezogenen Daten verarbeitet werden, etwa dass sie nicht in Drittstaaten übertragen werden dürfen.
Datensicherheit ist somit eine wichtige Voraussetzung für den Datenschutz. Der Datenschutz bezieht sich jedoch konkret auf einen Ausschnitt aus einem Pool an Gesamtdaten, der besonders sensibel und somit schutzwürdig im Sinne desjenigen ist, auf den sich diese Daten beziehen.
Mit der internationalen ISO-Norm 27001 gibt es eine Spezifizierung der Anforderungen an die Datensicherheit, nach der man sich zertifizieren lassen kann. Eine ähnliche, ebenso umfassende Norm gibt es für das Thema Datenschutz bislang nicht. Dennoch kann man sich von Anbietern zertifizieren lassen, die sich im ausgestellten Zertifikat etwa auf das Bundesdatenschutzgesetz (BDSG) – und später die DSVGO – beziehen. Die Zertifizierung nach ISO 27001 bürgt jedoch nicht zwangsläufig für die Einhaltung des Datenschutzes, weil sie Aspekte wie die Überprüfung der Zulässigkeitsvoraussetzungen oder die Wahrung der Betroffenenrechte nicht abdeckt.
Dr. Rafael Arto-Haumacher
Als Leiter der deutschen Niederlassung von Esker beschäftigt sich Dr. Rafael Arto-Haumacher seit Jahren mit der Automatisierung von Dokumentenprozessen im Bereich des Order-to-Cash und Procure-to-Pay.
Follow Me:
