Sie sind Anwalt?
Herr Rechtsanwalt Marc Oliver Giel

Veröffentlicht von:

Rechtsanwalt Marc Oliver Giel
Zum Profil

IT-Sicherheit und Datenschutz: Best Buddys?

  • 3 Minuten Lesezeit

Was hat IT-Sicherheit mit Unternehmensdatenschutz zu tun? Habe ich bereits alles im Datenschutz erledigt, wenn meine IT-Sicherheit auf einem guten Stand ist? Diese und weitere Fragen werden durch diesen Artikel beantwortet.

Um dieses Video anzuzeigen, lassen Sie bitte die Verwendung von Cookies zu.

Was ist IT-Sicherheit?

Beim Stichwort IT-Sicherheit denken viele sofort an Begriffe wie Virenschutz, Firewall oder Backup. Dies ist richtig, allerdings nicht vollständig. Informationssicherheit dient dem Schutz vor Gefahren bzw. Bedrohungen, der Vermeidung von wirtschaftlichen Schäden und der Minimierung von Risiken. Die wesentlichen 3 Ziele der IT-Sicherheit sind:

  1. Vertraulichkeit
  2. Integrität
  3. Verfügbarkeit

Darüber hinaus gibt es weitere sog. “Schutzziele”. Bilden wir ein Beispiel für die 3 oben genannten Ziele:

Vertraulichkeit hat zum Ziel, dass niemand unbefugtes die Daten einsehen, verändern, löschen oder kopieren kann.

Integrität hat zum Ziel, dass Daten nicht absichtlich oder unabsichtlich verfälscht werden können.

Verfügbarkeit hat zum Ziel, dass Sie auf die Daten immer zugreifen können, und zwar unter allen Umständen und Gegebenheiten.

Was ist Unternehmensdatenschutz?

Beim Datenschutz geht es um den Schutz personenbezogener Daten, also um Daten, die direkt oder indirekt zu einer natürlichen Person führen.  

Datenschutz ist gesetzlich geregelt durch nationale Gesetze (z. B. das Bundesdatenschutzgesetz BDSG) und europäische Richtlinien und Verordnungen (z. B. die Datenschutzgrundverordnung DSGVO). Für Unternehmen ergeben sich hieraus eine Vielzahl von gesetzlichen Verpflichtungen. Wenn ein Unternehmen dies alles umgesetzt hat, ist es “datenschutz-compliant”.

Wie hängt das eine mit dem anderen zusammen?

Ganz vereinfacht ausgedrückt ist es zuerst nötig, sich um den Unternehmensdatenschutz zu kümmern. Denn aus diesem ergeben sich die notwendigen Maßnahmen für die IT-Sicherheit.

Unternehmen, die zuerst in die IT-Sicherheit investieren, führen den 2. Schritt vor dem 1. aus. Dies kann gutgehen, muss aber nicht.

Ein Beispiel zum Thema E-Mail 

Vergleichen wir zwei kleine Unternehmen miteinander. Eine Bäckerei und eine Hausarztpraxis. Die Bäckerei möchte künftig Bestellungen von Kunden per E-Mail annehmen und abwickeln. Nach Eingang der Bestellwünsche sollen Bestell- und Auftragsbestätigungen versendet werden.

Die Hausarztpraxis möchte die Untersuchungsergebnisse an die Patienten künftig per E-Mail versenden.

Beide Unternehmen fragen sich, ob und welche Maßnahmen rund um die Versendung von E-Mails umgesetzt werden müssen.

Wenn wir nur die IT-Sicherheit betrachten, könnten beide Unternehmen eine E-Mail-Voll-Verschlüsselung einsetzen. Aber die Frage ist: Bedarf es dieser Maßnahme wirklich?

Deshalb kümmern wir uns zuerst um den Datenschutz und klären dort, welche personenbezogene Daten per E-Mail versendet werden und welches Schutzniveau hier vorliegt. Bei den Bestelldaten in der Bäckerei wird der Datenschutz zum Ergebnis kommen, dass hier lediglich schwach bis mittel-sensible Daten vorliegen. Es reicht also aus, die normale Transportverschlüsselung von E-Mails zu nutzen.

Bei den Untersuchungsergebnissen der Patienten handelt es sich jedoch um hoch sensible Gesundheitsdaten. Diese dürfen unter keinen Umständen unverschlüsselt per E-Mail versendet werden. Allerdings reicht eine Transportverschlüsselung nicht aus. Hier bedarf es einer kompletten Inhaltsverschlüsselung (sog. End-to-End-Verschlüsselung).

Ihre Checkliste im Unternehmen

  1. Ermitteln Sie im Rahmen Ihrer Datenschutz-Compliance die Schutzbedürftigkeit der personenbezogenen Daten.
  2. Anschließend kann Art. 32 DSGVO zur Anwendung kommen. Sie führen eine Risikoabschätzung durch und wählen dann geeignete technische und organisatorische Maßnahmen aus.
  3. Diese werden schließlich als IT-Sicherheit im Unternehmen umgesetzt und implementiert. Am besten mit fachlicher Betreuung, damit Sie Investitionen nicht doppelt tätigen.

Als TÜV-zertifizierter Datenschutzbeauftragter steht Ihnen 

Marc Oliver Giel

gerne für ein erstes Kennenlernen zur Verfügung. Buchen Sie gleich Ihren unverbindlichen Telefontermin.

Kennen Sie schon meine anderen Beiträge zum Datenschutz?

Folgende Artikel sind auf anwalt.de bereits erschienen:

  1. Wann benötige ich einen Datenschutzbeauftragten?
  2. Cookies auf Webseiten - Alles gut oder teurer Spaß?
  3. Datenschutzhinweis - Reicht der auf der Website?
  4. Externe Dienstleister - Besonderheiten im Datenschutz
  5. Datenübermittlung in Drittländer: Gute Idee oder "no-go"?
  6. Schulung der Beschäftigten - Muss das sein?
  7. Bußgeld für Datenschutzverstoß - zahlen oder kämpfen?
  8. Datenschutz-Doku - warum so unbeliebt?
Foto(s): http://kurznach12.de/
Rechtstipp aus dem Rechtsgebiet

Artikel teilen:

Sie haben Fragen? Jetzt Kontakt aufnehmen!

Bild Herr Rechtsanwalt Marc Oliver Giel
Rechtsanwalt Marc Oliver Giel

Weitere Rechtstipps von Rechtsanwalt Marc Oliver Giel

  • Datenschutz mit Software - alles easy?
    Haben Sie schon einmal daran gedacht, den Datenschutz bei Ihnen im Unternehmen per Software zu managen? Gute Idee! Nur wer die Wahl hat, hat die Qual. Was nimmt man am besten? Cloud oder ... Weiterlesen
  • Datenschutz-Doku: Warum so unbeliebt?
    In den letzten 5 Jahren meiner Tätigkeit als Datenschutzbeauftragter habe ich noch kein Unternehmen angetroffen, das mit voller Freude seine Datenschutzdoku erstellt. Warum eigentlich nicht? ... Weiterlesen
  • Bußgeld für Datenschutzverstoß - zahlen oder kämpfen?
    Wenn der "böse Brief" von der Aufsichtsbehörde für den Datenschutz kommt und ein Bußgeld bezahlt werden soll, liegen die Nerven meist blank. Dieser Beitrag klärt, was zu tun ist. Das Drama kündigt ... Weiterlesen
Alle Rechtstipps von Rechtsanwalt Marc Oliver Giel

Beiträge zum Thema

Ihre Spezialisten