Im deutschen Sprachraum werden die Begriffe “Datensicherheit” und “Datenschutz” immer noch häufig synonym benutzt, obwohl es sich dabei um grundverschiedene Themen handelt. Wer von Datenschutz spricht, meint oft Datensicherheit – und umgekehrt. Dies hat viel damit zu tun, dass im umgangssprachlichen Gebrauch “Schutz” und “Sicherheit” als ein und dasselbe angesehen werden, wie ein Blick in ein Synonymwörterbuch bestätigt. In der IT-Fachterminologie wie in der juristischen Sprache sind beide Begriffe hingegen sauber definiert und klar voneinander abgegrenzt:
Klare Abgrenzung im Englischen
So weit, so klar – und auch wieder nicht. Die Ursache für die hierzulande verbreitete Problematisierung von Datensicherheit und schutz liegt offensichtlich weniger in einem angeblich übermäßigen, “typisch deutschen” Sicherheitsbedürfnis als in den Untiefen der Sprache begründet. Im Englischen und Französischen werden die Begriffe in Bezug auf den Umgang mit Daten deutlicher getrennt. Die französische Übersetzung für Datensicherheit lautet “sécurité des données”, diejenige für Datenschutz “protection des données personnelles”. Dieser personenbezogene Aspekt des Datenschutzes kommt im Englischen noch stärker zum Ausdruck: Der entsprechende Begriff heißt “privacy” bzw. “privacy protection”, während Datensicherheit mit “data security” und “data integrity” wiedergegeben wird. “Privacy” und “protection des données personnelles” betonen schon sprachlich sehr viel stärker jenen Aspekt, um den es bei “Datenschutz” geht: den Schutz persönlicher Daten vor unberechtigtem Zugriff. Und der englische Begriff “data integrity” für Datensicherheit lässt an Prägnanz kaum zu wünschen übrig, postuliert er doch, dass Daten über einen definierten Zeitraum vollständig und unverändert bleiben müssen.
Daher nimmt es nicht wunder, dass amerikanische oder britische Kunden, mit denen man sich über Cloud Computing austauscht, die Diskussionen hierzulande kaum nachvollziehen können. Ihnen ist klar, dass Cloud-Lösungen keineswegs eine niedrigere, sondern eine höhere Datensicherheit bieten. Hierzulande differenzieren Ansprechpartner auf Kundenseite häufig nicht zwischen “privacy” und “security”, und zweifeln grundsätzlich an der “Sicherheit” in der Cloud – IT-Leiter von mittelständischen Betrieben nicht ausgenommen. So werden die eigentlich positiven (Sicherheits-)Aspekte von Cloud-Lösungen durch eine verzerrte, in der Sprache begründete Wahrnehmung in ihr Gegenteil verkehrt, obwohl es dafür fachlich-technisch keinen Grund gibt. Offenbar besteht nicht nur Wirtschaft zu 50 Prozent aus Psychologie.
Die gleiche (deutsche) Sprache sprechen
Es gilt also sprachlich zu verdeutlichen, dass Datenschutz etwas anderes ist als Datensicherheit, und die beiden Wörter aus der Synonymfalle zu befreien. Zu Datenschutz respektive “privacy” liegen beispielsweise Ratgeber-Texte des Bundesamtes für Sicherheit in der Informationstechnik (BSI) vor, die Empfehlungen für den Umgang mit Daten auflisten: Wo liegen welche Daten, und wer ist zum Zugriff darauf befugt?
Es muss über kurz oder lang gelingen, Trennschärfe zwischen den Begriffen der Datensicherheit und des Datenschutzes zu entwickeln und im Bewusstsein der Anwender zu verankern. Das jedoch ist eben keine Aufgabe von IT-Technik oder IT-Security, sondern von Organisation, Personalführung und Sicherheitsrichtlinien zur Vertraulichkeit in Unternehmen. Letzten Endes liegt die “privacy” in der Eigenverantwortung des Kunden. Er muss bestimmen, wie er den Zugriff auf Daten regelt. Aufgabe des Dienstleisters, der die ausgelagerten Daten hostet, ist es in erster Linie, umfassende Maßnahmen zur Datensicherheit durchzuführen und alle entsprechenden Zertifizierungen gemäß ISO-Normen etc. aufzuweisen. Selbstverständlich sollte er aufgrund seiner Erfahrungen in der Lage sein, auch Empfehlungen zur “privacy” abzugeben.
Kein blinder Technikglaube
Diese ersetzen jedoch keine firmeninterne Datenschutz-Richtlinie (oder engl. “privacy policy”). Ein Unternehmen, dessen Daten in einer hoch sicheren, state-of-the-art-Infrastruktur gelagert werden, ist damit nicht automatisch auf der “sicheren Seite”. Es darf sich nicht ausschließlich auf eine funktionierende Technik verlassen, sondern sollte eine angemessene innerbetriebliche Sicherheitskultur für den Umgang mit Daten entwickeln. So darf es beispielsweise nicht passieren, dass ein mittelständischer Betrieb einen hoch sicheren Cloud-Betreiber bucht und seine Mitarbeiter Passwörter auf Post-it-Zettel schreiben und an den Monitor kleben – oder USB-Sticks mit Firmendaten auf dem Parkplatz verlieren. In beiden Fällen waren die Daten IT-technisch sicher, aber durch das Verhalten des Anwenders nicht mehr geschützt.
Effektiver Datenschutz setzt Regeln und eine regelrechte “Kultur” voraus, die im Unternehmen praktiziert werden muss. Eine solche Sicherheitskultur lässt sich nicht einfach an die Technik delegieren, ohne sofort wieder neue Sicherheitsprobleme zu schaffen. Die “privacy” muss vor Ort von den Mitarbeitern im Umgang mit den Daten gelebt werden, damit sie gelingen kann. Dann sind sowohl Datenschutz als auch Datensicherheit gewährleistet.
Informationssicherheit als ganzheitlicher Ansatz
Einen guten Ansatz, einen vergleichsweise schwammigen Begriff wie “Kultur” für die Unternehmenspraxis handhabbar zu machen, liefert der Ansatz der Informationssicherheit. Sie umfasst sowohl die Vertraulichkeit als auch die Verfügbarkeit und die Integrität von IT-Systemen. Die international anerkannte ISO-Norm 27001 bietet dazu den passenden Zertifizierungsprozess. Die ISO 27001 gewährleistet, dass eben nicht nur die technischen Systeme gehärtet sind, sondern auch der Umgang mit ihnen. Hierbei haben die Auditoren auch im Blick, wer Zugriff auf sensible Daten hat.
Vielfach hat die Coronapandemie bestehende IT-Strukturen aufgebrochen oder gar über den Haufen geworfen – gefühlt.…
Das Covid-Jahr 2020 konnte die digitale Transformation nicht ausbremsen. Sogar ganz im Gegenteil: Viele Unternehmen…
Nach Angaben der Weltbank fehlt mehr als einer Milliarde Menschen ein offizieller Identitätsnachweis. Ohne den…
Das Thema Nachhaltigkeit ist seit vielen Jahren fester Bestandteil des Selbstverständnisses vieler Unternehmen. Wenig verwunderlich,…
Unternehmen sammeln eine Vielzahl von Daten. Doch IDC Analysten fanden in ihrer aktuellen Studie „IDC‘s…
COVID-19 hat 2020 sowohl Gesellschaft als auch Wirtschaft bestimmt. Unbestritten ist auch die katalytische Wirkung,…