Unterschiede zwischen IT-Sicherheit und Datenschutz bei Vertraulichkeit
Helpdesk-Eintrag: Unterschiede zwischen IT-Sicherheit und Datenschutz bei Vertraulichkeit
Vertraulichkeit aus Sicht von IT-Sicherheit und Datenschutz
Die Begriffe Vertraulichkeit und Schutz sensibler Daten haben im Datenschutz und in der IT-Sicherheit unterschiedliche Schwerpunkte:
• IT-Sicherheit schützt in erster Linie Geschäftsgeheimnisse und Systemzugriffe. Dabei kann sie personenbezogene Daten verarbeiten, um Sicherheitsmaßnahmen zu optimieren.
• Datenschutz schützt personenbezogene Daten vor unbefugtem Zugriff und unrechtmäßiger Verarbeitung.
Beispiel: Betriebsgeheimnisse vs. Nutzerüberwachung
Ein Unternehmen könnte Nutzeraktivitäten überwachen, um Betriebsgeheimnisse zu schützen. Während dies aus Sicht der IT-Sicherheit sinnvoll erscheint, könnte dies datenschutzrechtlich problematisch sein, wenn personenbezogene Daten ohne rechtliche Grundlage verarbeitet werden.
Was bedeutet Schutz vor ungewollter oder unerlaubter Offenlegung?
Die Datenschutz-Grundverordnung (DSGVO) fordert, dass personenbezogene Daten vor unbefugtem Zugriff geschützt werden. Aber auch nicht-personenbezogene Daten können als vertraulich eingestuft sein, etwa Geschäftsgeheimnisse oder Forschungsdaten.
Um Vertraulichkeit zu gewährleisten, sind sowohl technische als auch organisatorische Maßnahmen (TOMs) erforderlich, z. B.:
✔ Zugriffsbeschränkungen für vertrauliche Daten
✔ Verschlüsselungstechnologien
✔ Schulung der Mitarbeiter zur Sensibilisierung
Anforderungen des Datenschutzes an Vertraulichkeit
Die DSGVO enthält mehrere Vorgaben zur Vertraulichkeit:
• Art. 32 Abs. 1 DSGVO: Verantwortliche und Auftragsverarbeiter müssen angemessene Maßnahmen ergreifen, um die Sicherheit personenbezogener Daten zu gewährleisten, inkl. Schutz vor unbefugtem Zugriff.
• Art. 28 Abs. 3 DSGVO: Auftragsverarbeiter müssen gewährleisten, dass ihre Mitarbeiter zur Vertraulichkeit verpflichtet wurden.
• Art. 38 Abs. 5 DSGVO: Der Datenschutzbeauftragte muss Geheimhaltung und Vertraulichkeit in Bezug auf seine Aufgaben wahren.
• Art. 76 DSGVO: Der Europäische Datenschutzausschuss kann Beratungen als vertraulich einstufen.
Gibt es ein Auskunftsrecht gegenüber Rechtsanwälten?
Nein. Rechtsanwälte unterliegen der gesetzlichen Verschwiegenheitspflicht (§ 43a Abs. 2 BRAO). Deshalb besteht kein Auskunftsrecht nach Art. 15 DSGVO gegenüber einem Anwalt der Gegenseite, wenn die Informationen durch das Berufsgeheimnis geschützt sind.
Technische Vertraulichkeit in der IT-Sicherheit
Die IT-Sicherheit basiert auf den drei zentralen Schutzzielen:
Vertraulichkeit – Schutz vor unbefugtem Zugriff
Integrität – Sicherstellung der Datenunveränderlichkeit
Verfügbarkeit – Gewährleistung, dass Daten jederzeit genutzt werden können
Technische Maßnahmen zur Wahrung der Vertraulichkeit
🔐 Verschlüsselung (z. B. Ende-zu-Ende-Verschlüsselung, Transportverschlüsselung)
🔐 Zugriffsmanagement (z. B. Rollen- und Berechtigungskonzepte)
🔐 Netzwerksicherheit (z. B. Firewalls, VPNs, Intrusion Detection Systeme)
🔐 Datenminimierung (z. B. Pseudonymisierung und Anonymisierung)
Quantencomputer: Bedrohung für bestehende Verschlüsselung
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt, dass Quantencomputer in den 2030er Jahren viele heutige Verschlüsselungsverfahren brechen könnten. Unternehmen sollten daher bereits jetzt quantensichere Verschlüsselungstechniken wie Quantum Key Distribution (QKD) in Betracht ziehen.
Fazit
• IT-Sicherheit und Datenschutz verfolgen unterschiedliche Ziele in Bezug auf Vertraulichkeit.
• Datenschutz schützt personenbezogene Daten, während IT-Sicherheit auch andere sensible Informationen umfasst.
• Verschlüsselung, Zugriffsbeschränkungen und organisatorische Maßnahmen sind zentrale Elemente beider Disziplinen.
• Rechtsanwälte müssen keine Auskunft nach Art. 15 DSGVO erteilen, wenn die Daten ihrer Verschwiegenheitspflicht unterliegen.
• Zukünftige Bedrohungen wie Quantencomputer machen eine langfristige Strategie für die Datensicherheit erforderlich.
Vertraulichkeit aus Sicht von IT-Sicherheit und Datenschutz
Die Begriffe Vertraulichkeit und Schutz sensibler Daten haben im Datenschutz und in der IT-Sicherheit unterschiedliche Schwerpunkte:
• IT-Sicherheit schützt in erster Linie Geschäftsgeheimnisse und Systemzugriffe. Dabei kann sie personenbezogene Daten verarbeiten, um Sicherheitsmaßnahmen zu optimieren.
• Datenschutz schützt personenbezogene Daten vor unbefugtem Zugriff und unrechtmäßiger Verarbeitung.
Beispiel: Betriebsgeheimnisse vs. Nutzerüberwachung
Ein Unternehmen könnte Nutzeraktivitäten überwachen, um Betriebsgeheimnisse zu schützen. Während dies aus Sicht der IT-Sicherheit sinnvoll erscheint, könnte dies datenschutzrechtlich problematisch sein, wenn personenbezogene Daten ohne rechtliche Grundlage verarbeitet werden.
Was bedeutet Schutz vor ungewollter oder unerlaubter Offenlegung?
Die Datenschutz-Grundverordnung (DSGVO) fordert, dass personenbezogene Daten vor unbefugtem Zugriff geschützt werden. Aber auch nicht-personenbezogene Daten können als vertraulich eingestuft sein, etwa Geschäftsgeheimnisse oder Forschungsdaten.
Um Vertraulichkeit zu gewährleisten, sind sowohl technische als auch organisatorische Maßnahmen (TOMs) erforderlich, z. B.:
✔ Zugriffsbeschränkungen für vertrauliche Daten
✔ Verschlüsselungstechnologien
✔ Schulung der Mitarbeiter zur Sensibilisierung
Anforderungen des Datenschutzes an Vertraulichkeit
Die DSGVO enthält mehrere Vorgaben zur Vertraulichkeit:
• Art. 32 Abs. 1 DSGVO: Verantwortliche und Auftragsverarbeiter müssen angemessene Maßnahmen ergreifen, um die Sicherheit personenbezogener Daten zu gewährleisten, inkl. Schutz vor unbefugtem Zugriff.
• Art. 28 Abs. 3 DSGVO: Auftragsverarbeiter müssen gewährleisten, dass ihre Mitarbeiter zur Vertraulichkeit verpflichtet wurden.
• Art. 38 Abs. 5 DSGVO: Der Datenschutzbeauftragte muss Geheimhaltung und Vertraulichkeit in Bezug auf seine Aufgaben wahren.
• Art. 76 DSGVO: Der Europäische Datenschutzausschuss kann Beratungen als vertraulich einstufen.
Gibt es ein Auskunftsrecht gegenüber Rechtsanwälten?
Nein. Rechtsanwälte unterliegen der gesetzlichen Verschwiegenheitspflicht (§ 43a Abs. 2 BRAO). Deshalb besteht kein Auskunftsrecht nach Art. 15 DSGVO gegenüber einem Anwalt der Gegenseite, wenn die Informationen durch das Berufsgeheimnis geschützt sind.
Technische Vertraulichkeit in der IT-Sicherheit
Die IT-Sicherheit basiert auf den drei zentralen Schutzzielen:
Vertraulichkeit – Schutz vor unbefugtem Zugriff
Integrität – Sicherstellung der Datenunveränderlichkeit
Verfügbarkeit – Gewährleistung, dass Daten jederzeit genutzt werden können
Technische Maßnahmen zur Wahrung der Vertraulichkeit
🔐 Verschlüsselung (z. B. Ende-zu-Ende-Verschlüsselung, Transportverschlüsselung)
🔐 Zugriffsmanagement (z. B. Rollen- und Berechtigungskonzepte)
🔐 Netzwerksicherheit (z. B. Firewalls, VPNs, Intrusion Detection Systeme)
🔐 Datenminimierung (z. B. Pseudonymisierung und Anonymisierung)
Quantencomputer: Bedrohung für bestehende Verschlüsselung
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt, dass Quantencomputer in den 2030er Jahren viele heutige Verschlüsselungsverfahren brechen könnten. Unternehmen sollten daher bereits jetzt quantensichere Verschlüsselungstechniken wie Quantum Key Distribution (QKD) in Betracht ziehen.
Fazit
• IT-Sicherheit und Datenschutz verfolgen unterschiedliche Ziele in Bezug auf Vertraulichkeit.
• Datenschutz schützt personenbezogene Daten, während IT-Sicherheit auch andere sensible Informationen umfasst.
• Verschlüsselung, Zugriffsbeschränkungen und organisatorische Maßnahmen sind zentrale Elemente beider Disziplinen.
• Rechtsanwälte müssen keine Auskunft nach Art. 15 DSGVO erteilen, wenn die Daten ihrer Verschwiegenheitspflicht unterliegen.
• Zukünftige Bedrohungen wie Quantencomputer machen eine langfristige Strategie für die Datensicherheit erforderlich.
Aktualisiert am: 25/02/2025
Danke!