Datenschutz vs. Datensicherheit

Juni 24, 2019 Sicherheit und Compliance, MOVEit

In diesem Artikel werden wir uns an den amerikanischen Sprachgebrauch halten - denken Sie aber daran, dass die Terminologie verwirrend sein kann, wenn Sie weltweit tätig sind.

Datenschutz und Datensicherheit sind sehr eng miteinander verbunden, so sehr, dass die Nutzer sie oft als Synonyme betrachten. Die Unterscheidung zwischen Datenschutz und Datensicherheit ist jedoch von grundlegender Bedeutung, um zu verstehen, wie das eine das andere ergänzt. Datenschutzprobleme treten überall dort auf, wo persönlich identifizierbare Informationen gesammelt, gespeichert oder verwendet werden.

Die Unterscheidung: Datenschutz versus Datensicherheit

Kurz gesagt, geht es beim Datenschutz darum, Daten vor unbefugtem Zugriff zu schützen. Beim Datenschutz geht es um den autorisierten Zugriff - wer ihn hat und wer ihn definiert. Man kann es auch so sehen: Datenschutz ist im Wesentlichen ein technisches Thema, während der Datenschutz ein rechtliches Thema ist.

Diese Unterscheidungen sind wichtig, weil sie tief mit den übergreifenden Themen Datenschutz und Cybersicherheit verwoben sind, die beide in Unternehmen, Politik und Kultur eine große Rolle spielen. Für Branchen, die Compliance-Standards einhalten müssen, haben die Datenschutzgesetze entscheidende rechtliche Auswirkungen. Und die Sicherstellung des Datenschutzes muss nicht unbedingt jeden geforderten Compliance-Standard einhalten.

Wenn Worte eine Rolle spielen

Nur um die Dinge noch komplizierter zu machen, laut der Storage Networking Industry Association (SNIA) werden die Gesetze und Vorschriften, die "die Verwaltung personenbezogener Daten" abdecken, in der Regel unter "Datenschutzrichtlinie" in den Vereinigten Staaten und unter "Schutzrichtlinie" in der EU und anderswo zusammengefasst. 

Die Allgemeine Datenschutzverordnung (GDPR) der Europäischen Union, eine Aufsichtsbehörde, die am 25. Mai 2018 in Kraft treten wird, verlangt von den Unternehmen, die "personenbezogenen Daten und die Privatsphäre von EU-Bürgern bei Transaktionen innerhalb der EU" zu schützen. Das Datenschutzrecht der GDPR hat jedoch eine ganz andere Auffassung von persönlichen Identifikationsdaten als das der USA. Die Einhaltung der GDPR erfordert, dass Unternehmen für Cookies das gleiche Datenschutzniveau anwenden wie für gespeicherte personenbezogene Daten, z. B. Sozialversicherungsnummern.

Datenschutz und Sicherheit: Das eine sorgt nicht für das andere

Beim Vergleich von Datenschutz und Datensicherheit ist es wichtig zu verstehen, dass der Datenschutz nur dann gewährleistet werden kann, wenn die personenbezogenen Daten durch Technologie geschützt sind. Wenn jemand personenbezogene Daten stehlen kann, ist der Datenschutz nicht gewährleistet, was Sie dem Risiko des Identitätsdiebstahls und anderer Verletzungen der persönlichen Sicherheit aussetzt. Das Gegenteil ist jedoch nicht immer der Fall: Personenbezogene Daten können geschützt werden, ohne dass ihr Schutz gewährleistet ist.

Wie das? Wenn Sie Ihre Kreditkarte bei einem Dienstanbieter durchziehen, tun Sie zwei Dinge. Zum einen vertrauen Sie dem Dienstanbieter und dem Zahlungssystem den Schutz Ihrer persönlichen Daten an - unter anderem, um sicherzustellen, dass zwielichtige Cyberkriminelle und andere Dritte nicht ohne Ihre Zustimmung auf Ihre Kreditinformationen zugreifen können. Sie vertrauen aber auch darauf, dass sie Ihren Datenschutz respektieren und die Informationen nicht missbrauchen, obwohl Sie sie ihnen zur Verfügung gestellt haben.

Der Punkt ist, dass Technologie allein den Schutz personenbezogener Daten nicht gewährleisten kann. Die meisten Datenschutzprotokolle sind immer noch anfällig für autorisierte Personen, die auf die Daten zugreifen könnten. Die Belastung dieser befugten Personen ist in erster Linie eine Frage des Datenschutzrechts und nicht der Technologie.

Von der Technologie zum Vertrauen

Technologie ist immer noch in den Datenschutz involviert, gerade weil die autorisierten Benutzer der Technologie eine Verantwortung gegenüber dem Datenschutzgesetz haben. Der Ethikkodex des Open Web Application Security Project (OWASP) fordert Sicherheitsspezialisten auf, "eine angemessene Vertraulichkeit von proprietären oder anderweitig sensiblen Informationen zu wahren, die im Rahmen beruflicher Aktivitäten auftreten".

Kurz gesagt, keine noch so große Anzahl technologischer Sicherheitsvorkehrungen kann die zentrale Rolle des Vertrauens bei der Gewährleistung des Datenschutzes beseitigen.

All dies gilt doppelt für diejenigen, die an Dateiübertragungen beteiligt sind. Daten durchlaufen die Webknoten als Äquivalent zu altmodischen Postkarten. Jeder Server, der ein Paket verarbeitet, kann die Nachricht (letztlich einfache binäre Bits!) sowie die weiterleitende IP-Adresse lesen. Auf einer sehr grundlegenden Ebene gibt es keinen Datenschutz und nicht viel Sicherheit für alles, was über das offene Web gesendet wird.

Lösungen für den Datenschutz

Der einzige Schutz, auf den sich personenbezogene Daten bei der Übertragung (nicht in einem Geldtransporter) verlassen können, ist die Verschlüsselung, so dass ein unbefugter Dritter die Daten zwar sehen, aber nicht lesen oder sammeln kann. Und viele Datenschutzbeauftragte in der Gemeinschaft der Sicherheitsexperten für die Dateiübertragung würden Ihnen sagen, dass dies ein Sicherheitsrisiko für die Privatsphäre darstellt. Sie birgt das Risiko einer Sicherheitsverletzung, die Sie und Ihre personenbezogenen Daten in die Gefahr eines Identitätsdiebstahls bringen könnte.

Bei der Ende-zu-Ende-Verschlüsselung können jedoch nur die "autorisierten Benutzer" (Sie und der Empfänger) mit bekannten IP-Adressen durch das Privacy Shield gelangen und Zugriff auf die Daten erhalten. Das ist ungefähr so weit, wie die Dienste der Technologie Ihnen bieten können, wenn es um Datenschutz vs. Datenschutz geht. Der Rest liegt bei Ihnen.