{"id":181,"date":"2021-01-11T10:29:08","date_gmt":"2021-01-11T10:29:08","guid":{"rendered":"https:\/\/publicsector.ch\/datenschutz-versus-informationssicherheit-was-braucht-unsere-organisation-181"},"modified":"2024-04-29T09:36:10","modified_gmt":"2024-04-29T09:36:10","slug":"datenschutz-versus-informationssicherheit-was-braucht-unsere-organisation-181","status":"publish","type":"post","link":"https:\/\/publicsector.ch\/en\/datenschutz-versus-informationssicherheit-was-braucht-unsere-organisation-181\/","title":{"rendered":"Datenschutz versus Informationssicherheit \u2013 was braucht unsere Organisation?"},"content":{"rendered":"

Stetig zunehmende Anforderungen<\/h3>\n

Heutzutage kann es sich keine Organisation leisten, den Datenschutz zu ignorieren. Die gesetzlichen Anforderungen nehmen kontinuierlich zu und seit 2018 hat sich mit der Europ\u00e4ischen Datenschutzgrundverordnung (DSGVO\/GDPR) ein neuer Goldstandard etabliert, der auch im Bewusstsein der B\u00fcrgerinnen und B\u00fcrger angekommen ist und von Organisationen mehr verlangt als bisher. Dies f\u00fchrt dazu, dass sich Organisationen gesamtheitlich auf den Datenschutz ausrichten m\u00fcssen. Dies wiederum erfordert das Definieren von Prozessen und das Zuordnen von Verantwortlichkeiten; Anforderungen, die auch vor den Schweizerischen Datenschutzgesetzen (Bund und kantonale Gesetze) nicht Halt gemacht haben.<\/p>\n

Gleichzeitig aber h\u00e4ufen sich, durch Pandemie und Homeoffice verst\u00e4rkt, Berichte \u00fcber IT-Sicherheitsl\u00fccken, Cyberattacken und die Notwendigkeit eines firmen- oder organisationsweiten Informationssicherheitsmanagementsystems (\u00abISMS\u00bb).<\/p>\n

DSMS vs. ISMS<\/h3>\n

Worin liegt aber der Unterschied zwischen einem Datenschutz-Managementsystem (\u00abDSMS\u00bb) und einem ISMS? Und wie geht eine Organisation vor, um zu entscheiden, was sie braucht? Ziel der Informationssicherheit ist der Schutz aller f\u00fcr eine Organisation relevanten Informationen vor unberechtigtem Zugriff, Verlust oder unbefugter Ver\u00e4nderung. Ziele sind mitunter die Vertraulichkeit, die Integrit\u00e4t und die Verf\u00fcgbarkeit \u2013 oder in der englischen Terminologie der relevanten ISO-Norm 27001: Confidentiality, Integrity, Availability (C, I, A). Der Datenschutz ist dagegen zugleich enger und weiter als die Informationssicherheit. Enger deswegen, weil er nur Personendaten sch\u00fctzt, also Daten, die sich auf eine bestimmte oder bestimmbare Person beziehen. Weiter ist der Datenschutz deshalb, weil es um mehr als nur die Sicherheit von Personendaten geht. Nebst der Einhaltung grundlegender Prinzipien wie Verh\u00e4ltnism\u00e4ssigkeit, Zweckbindung, Transparenz, Richtigkeit, Rechtm\u00e4ssigkeit und Sicherheit enthalten Datenschutzgesetze meist eine Serie konkreter Pflichten wie etwa Informationspflichten an die betroffene Person, data breach notifications<\/em> an die zust\u00e4ndige Beh\u00f6rde oder das Vornehmen von Datenschutz-Folgenabsch\u00e4tzungen. Die Informationssicherheit sch\u00fctzt den Informationsbestand einer Organisation als solchen, mit einem besonderen Fokus auf Gesch\u00e4fts- oder Amtsgeheimnisse. Der Datenschutz hingegen bezweckt prim\u00e4r den Schutz von Privatsph\u00e4re und Pers\u00f6nlichkeitsrechten betroffener Personen, wenn Daten \u00fcber sie bearbeitet werden. Beide Themen \u00fcberschneiden sich in der Sicherheit von Personendaten<\/em>:<\/p>\n

\"\"
Lesbarkeit ist relativ.<\/figcaption><\/figure>\n

Wie gelangen wir zu einem Entscheid?<\/h3>\n

Wo sollte eine Organisation nun ihre Priorit\u00e4ten legen? Folgende Fragen k\u00f6nnen dabei Leitplanken geben:<\/p>\n

    \n
  • Was schreibt das Gesetz vor?<\/li>\n<\/ul>\n

    F\u00fcr eine \u00f6ffentliche Organisation ist Ausgangspunkt aller \u00dcberlegungen das Gesetz: Besteht ein Gesetz, das gewisse Pflichten enth\u00e4lt, so muss dieses umgesetzt werden. Der Handlungsspielraum reduziert sich vom \u00abob\u00bb der Umsetzung auf das \u00abwie\u00bb. Zumindest in der Schweiz und in Europa bestehen im Datenschutz \u00fcberall Gesetze \u2013 diese unterscheiden sich aber sowohl in ihrer Strenge als auch im Risiko von Sanktionen, wenn der Datenschutz nicht eingehalten wird.<\/p>\n

      \n
    • Haben wir eine andere Verpflichtung, etwa aus einem Vertrag, ein ISMS einzuf\u00fchren (oder eine Zertifizierung zu erlangen) oder gewisse Datenschutzstandards nachzuweisen?<\/li>\n<\/ul>\n

      Auch ein Vertragspartner kann ein Interesse daran haben, gewisse Standards vorzuschreiben oder deren Einf\u00fchrung bis zu einem vertraglich bestimmten Zeitpunkt zu verlangen. Auch eine vertragliche Pflicht kann das Vorgehen in diesem Thema beeinflussen und vorantreiben.<\/p>\n

        \n
      • Wie sieht die Risikolage aus?<\/li>\n<\/ul>\n

        In ihrer konkreten Ausgestaltung beruhen sowohl der Datenschutz als auch die Informationssicherheit auf Risikoabsch\u00e4tzungen; diese k\u00f6nnen zur Erkenntnis f\u00fchren, dass auch ohne formelle gesetzliche Verpflichtung die Einf\u00fchrung gewisser Prozesse oder Standards sinnvoll sein kann. <\/p>\n

        Bestehen besondere Risiken, denen die Organisation ausgesetzt ist, und wie gross sind die Nachteile, die entstehen, wenn sich ein solches Risiko materialisiert? Im Datenschutz sind nebst Reputationsrisiken zunehmend auch Sanktionen der Aufsichtsbeh\u00f6rden einzukalkulieren. Auch in der Informationssicherheit sind Reputationsrisiken zu beachten, dazu kommen aber auch konkrete politische Erpressbarkeit, Risiken f\u00fcr \u00f6ffentliche G\u00fcter (wie etwa der Verlust von Leben bei einem Cyberangriff auf die IT-Infrastruktur eines \u00f6ffentlichen Spitals oder der Zusammenbruch der Stromversorgung bei einem Angriff auf ein Elektrizit\u00e4tsunternehmen) oder im kommerziellen Kontext wirtschaftliche Nachteile bei der Verletzung von Gesch\u00e4ftsgeheimnissen.<\/p>\n

          \n
        • Welche Ressourcen sind intern vorhanden? In welchem Umfang k\u00f6nnen externe Ressourcen dazugenommen werden?<\/li>\n<\/ul>\n

          Beschr\u00e4nkte Ressourcen personeller oder finanzieller Natur k\u00f6nnen das Vorgehen ebenso beeinflussen und die Organisation dazu verpflichten, den Blick auf das Wesentliche zu legen: Wo drohen uns gr\u00f6ssere Nachteile, wenn wir es nicht implementieren, im Datenschutz oder in der Informationssicherheit? Der Aufbau einer internen Compliance kann dann entsprechend den verf\u00fcgbaren Ressouren organisiert werden (der Einwand, es seien \u00fcberhaupt keine Ressourcen vorhanden, wird aber nat\u00fcrlich einen schweren Stand haben).<\/p>\n

          In jedem Falle: kontinuierlich und interdisziplin\u00e4r<\/h3>\n

          Gest\u00fctzt auf diese Fragenkomplexe kann dann ein vorl\u00e4ufiger Entscheid gef\u00e4llt werden: was soll implementiert werden, bis wann und in welcher Reihenfolge. Entscheidet sich eine Organisation, mit dem Datenschutz zu beginnen und vorerst ein DSMS einzuf\u00fchren, k\u00f6nnen bestimmte Werkzeuge aus dem Bereich ISMS einbezogen werden (so etwa Schutzbedarfsanalysen). Dies kann die sp\u00e4tere Ausweitung auf Aspekte der Informationssicherheit vereinfachen. Nimmt man im Gegensatz die Informationssicherheit zum Ausgangspunkt, so bestehen verschiedene M\u00f6glichkeiten, den Datenschutz in einem zweiten Schritt zu erg\u00e4nzen. Wird etwa die ISO-Norm 27001 f\u00fcr die Informationssicherheit verwendet, kann mithilfe der neueren Norm ISO 27701 ein bestehendes ISMS um den Datenschutz nach DSGVO ausgebaut werden.<\/p>\n

          Ob man mit einem ISMS oder einem DSMS beginnt: In jedem Falle beruht gutes Risikomanagement auf einer kontinuierlichen Evaluation, Anpassung und Verbesserung. Es empfiehlt sich zudem, ein Datenschutz-Management-System unter Einbezug einer Fachperson der Informationssicherheit aufzubauen und umgekehrt. Nebst einer besseren Risikoeinsch\u00e4tzung erlaubt ein solcher interdisziplin\u00e4rer Ansatz eine bessere Implementierung und erleichtert die sp\u00e4tere Erweiterung, wenn das DSMS mit Informationssicherheit erg\u00e4nzt werden soll oder umgekehrt.<\/p>","protected":false},"excerpt":{"rendered":"

          Stetig zunehmende Anforderungen Heutzutage kann es sich keine Organisation leisten, den Datenschutz zu ignorieren. Die gesetzlichen Anforderungen nehmen kontinuierlich zu und seit 2018 hat sich mit der Europ\u00e4ischen Datenschutzgrundverordnung (DSGVO\/GDPR) [\u2026]<\/p>\n","protected":false},"author":7,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[22],"tags":[39,54,92],"class_list":["post-181","post","type-post","status-publish","format-standard","hentry","category-compliance","tag-data-protection","tag-datenschutz","tag-dsms"],"_links":{"self":[{"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/posts\/181","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/users\/7"}],"replies":[{"embeddable":true,"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/comments?post=181"}],"version-history":[{"count":1,"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/posts\/181\/revisions"}],"predecessor-version":[{"id":348465,"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/posts\/181\/revisions\/348465"}],"wp:attachment":[{"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/media?parent=181"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/categories?post=181"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/tags?post=181"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}