Für viele Anwender ist Datenschutz und Datensicherheit dasselbe. Scheinbar nur ein sprachliches Detail, doch in der IT-Praxis hat es folgenschwere Konsequenzen: Wer beispielsweise Cloud Computing aus Datenschutzgründen ablehnt, meint eigentlich die Datensicherheit. Die aber ist in der Cloud keineswegs schlechter.
Im deutschen Sprachraum werden die Begriffe “Datensicherheit” und “Datenschutz” immer noch häufig synonym benutzt, obwohl es sich dabei um grundverschiedene Themen handelt. Wer von Datenschutz spricht, meint oft Datensicherheit – und umgekehrt. Dies hat viel damit zu tun, dass im umgangssprachlichen Gebrauch “Schutz” und “Sicherheit” als ein und dasselbe angesehen werden, wie ein Blick in ein Synonymwörterbuch bestätigt. In der IT-Fachterminologie wie in der juristischen Sprache sind beide Begriffe hingegen sauber definiert und klar voneinander abgegrenzt:
- Datenschutz meint den Schutz von Personen vor dem Missbrauch ihrer personenbezogenen Daten (wie Adresse Bankverbindung etc.), insbesondere vor nicht autorisiertem Fremdzugriff. Anders ausgedrückt, geht es um das verfassungsmäßig verbriefte Recht jedes Einzelnen auf informationelle Selbstbestimmung und den Schutz der Privatsphäre, um den “gläsernen Menschen” zu verhindern.
- Bei der Datensicherheit stehen hingegen die Hard- und Software sowie die Daten selbst im Mittelpunkt. Unter Datensicherheit fallen alle Maßnahmen, die Diebstahl, Beschädigung, Manipulation oder gar Zerstörung von Daten verhindern und im Schadensfall ihre Wiederherstellung ermöglichen. Positiv gewendet, versammeln sich unter dem Begriff Datensicherheit Eigenschaften von IT-Systemen, welche die Verfügbarkeit und Integrität von Daten gewährleisten. Hierfür sind zahlreiche Sicherheitsstandards und normen wie ISO, IEC und DIN maßgeblich, an denen sich Cloud- und Rechenzentrumsbetreiber orientieren müssen.
Klare Abgrenzung im Englischen
So weit, so klar – und auch wieder nicht. Die Ursache für die hierzulande verbreitete Problematisierung von Datensicherheit und schutz liegt offensichtlich weniger in einem angeblich übermäßigen, “typisch deutschen” Sicherheitsbedürfnis als in den Untiefen der Sprache begründet. Im Englischen und Französischen werden die Begriffe in Bezug auf den Umgang mit Daten deutlicher getrennt. Die französische Übersetzung für Datensicherheit lautet “sécurité des données”, diejenige für Datenschutz “protection des données personnelles”. Dieser personenbezogene Aspekt des Datenschutzes kommt im Englischen noch stärker zum Ausdruck: Der entsprechende Begriff heißt “privacy” bzw. “privacy protection”, während Datensicherheit mit “data security” und “data integrity” wiedergegeben wird. “Privacy” und “protection des données personnelles” betonen schon sprachlich sehr viel stärker jenen Aspekt, um den es bei “Datenschutz” geht: den Schutz persönlicher Daten vor unberechtigtem Zugriff. Und der englische Begriff “data integrity” für Datensicherheit lässt an Prägnanz kaum zu wünschen übrig, postuliert er doch, dass Daten über einen definierten Zeitraum vollständig und unverändert bleiben müssen.
Daher nimmt es nicht wunder, dass amerikanische oder britische Kunden, mit denen man sich über Cloud Computing austauscht, die Diskussionen hierzulande kaum nachvollziehen können. Ihnen ist klar, dass Cloud-Lösungen keineswegs eine niedrigere, sondern eine höhere Datensicherheit bieten. Hierzulande differenzieren Ansprechpartner auf Kundenseite häufig nicht zwischen “privacy” und “security”, und zweifeln grundsätzlich an der “Sicherheit” in der Cloud – IT-Leiter von mittelständischen Betrieben nicht ausgenommen. So werden die eigentlich positiven (Sicherheits-)Aspekte von Cloud-Lösungen durch eine verzerrte, in der Sprache begründete Wahrnehmung in ihr Gegenteil verkehrt, obwohl es dafür fachlich-technisch keinen Grund gibt. Offenbar besteht nicht nur Wirtschaft zu 50 Prozent aus Psychologie.
Die gleiche (deutsche) Sprache sprechen
Es gilt also sprachlich zu verdeutlichen, dass Datenschutz etwas anderes ist als Datensicherheit, und die beiden Wörter aus der Synonymfalle zu befreien. Zu Datenschutz respektive “privacy” liegen beispielsweise Ratgeber-Texte des Bundesamtes für Sicherheit in der Informationstechnik (BSI) vor, die Empfehlungen für den Umgang mit Daten auflisten: Wo liegen welche Daten, und wer ist zum Zugriff darauf befugt?
Es muss über kurz oder lang gelingen, Trennschärfe zwischen den Begriffen der Datensicherheit und des Datenschutzes zu entwickeln und im Bewusstsein der Anwender zu verankern. Das jedoch ist eben keine Aufgabe von IT-Technik oder IT-Security, sondern von Organisation, Personalführung und Sicherheitsrichtlinien zur Vertraulichkeit in Unternehmen. Letzten Endes liegt die “privacy” in der Eigenverantwortung des Kunden. Er muss bestimmen, wie er den Zugriff auf Daten regelt. Aufgabe des Dienstleisters, der die ausgelagerten Daten hostet, ist es in erster Linie, umfassende Maßnahmen zur Datensicherheit durchzuführen und alle entsprechenden Zertifizierungen gemäß ISO-Normen etc. aufzuweisen. Selbstverständlich sollte er aufgrund seiner Erfahrungen in der Lage sein, auch Empfehlungen zur “privacy” abzugeben.
Kein blinder Technikglaube
Diese ersetzen jedoch keine firmeninterne Datenschutz-Richtlinie (oder engl. “privacy policy”). Ein Unternehmen, dessen Daten in einer hoch sicheren, state-of-the-art-Infrastruktur gelagert werden, ist damit nicht automatisch auf der “sicheren Seite”. Es darf sich nicht ausschließlich auf eine funktionierende Technik verlassen, sondern sollte eine angemessene innerbetriebliche Sicherheitskultur für den Umgang mit Daten entwickeln. So darf es beispielsweise nicht passieren, dass ein mittelständischer Betrieb einen hoch sicheren Cloud-Betreiber bucht und seine Mitarbeiter Passwörter auf Post-it-Zettel schreiben und an den Monitor kleben – oder USB-Sticks mit Firmendaten auf dem Parkplatz verlieren. In beiden Fällen waren die Daten IT-technisch sicher, aber durch das Verhalten des Anwenders nicht mehr geschützt.
Effektiver Datenschutz setzt Regeln und eine regelrechte “Kultur” voraus, die im Unternehmen praktiziert werden muss. Eine solche Sicherheitskultur lässt sich nicht einfach an die Technik delegieren, ohne sofort wieder neue Sicherheitsprobleme zu schaffen. Die “privacy” muss vor Ort von den Mitarbeitern im Umgang mit den Daten gelebt werden, damit sie gelingen kann. Dann sind sowohl Datenschutz als auch Datensicherheit gewährleistet.
Informationssicherheit als ganzheitlicher Ansatz
Einen guten Ansatz, einen vergleichsweise schwammigen Begriff wie “Kultur” für die Unternehmenspraxis handhabbar zu machen, liefert der Ansatz der Informationssicherheit. Sie umfasst sowohl die Vertraulichkeit als auch die Verfügbarkeit und die Integrität von IT-Systemen. Die international anerkannte ISO-Norm 27001 bietet dazu den passenden Zertifizierungsprozess. Die ISO 27001 gewährleistet, dass eben nicht nur die technischen Systeme gehärtet sind, sondern auch der Umgang mit ihnen. Hierbei haben die Auditoren auch im Blick, wer Zugriff auf sensible Daten hat.