Der externe Datenschutzbeauftragte in Ihrem Unternehmen.
Mit der IT-Sicherheit sollen die Ziele Informationssicherheit und Datenschutz erreicht werden. Eine der Schnittstellen zwischen Datenschutz und Datensicherheit bildet § 9 BDSG und die dazugehörige Anlage. Dort werden rechtliche Aspekte des Datenschutzes mit technischen der Sicherheit verknüpft. Die in der Anlage geforderten Sicherungsmaßnahmen sind dabei sehr offen formuliert, um so losgelöst von einem bestimmten Stand der Technik gelten zu können.
Datenschutz durch Datensicherheit
Datenschutz ist deshalb nicht unabhängig von der IT-Sicherheit zu betrachten, da auf technischen Geräten personenbezogene Daten abgelegt und gespeichert werden. Ein hohes Maß an technischer Sicherheit kann deshalb auch einen hohen Schutz persönlicher Daten bedeuten. Durch die in der Anlage zu § 9 BDSG geforderten Kontrollmaßnahmen soll dieser Schutz erreicht werden.
Auch nach Auffassung des Bundesbeauftragten für den Datenschutz sind:
„IT-Sicherheit und Datenschutz keine Gegensätze, sondern Partner. IT-Sicherheit ist häufig eine Grundvoraussetzung für datenschutzfreundliche Verfahren. Gesetzliche Ver- oder Gebote reichen hier nicht aus. Der Datenschutz muss vielmehr bereits beim Systemdesign berücksichtigt werden.“
Die Verknüpfung von Datenschutz und Datensicherheit wird gerade im Hinblick auf neue Technologien wie die elektronische Gesundheitskarte oder den elektronischen Personalausweis deutlich. Aber auch beim Schutz der elektronischen Identität wird die Überschneidung der beiden Bereiche deutlich: Nur wenn ein hohes Maß an Sicherheit der technischen Maßnahmen gewährleistet wird, ist auch der Schutz der damit zusammenhängenden Daten – wie etwa Bankdaten – möglich. Gleiches gilt für Ablagen, Archivierungen und „persönliche“ Ordner – ein Schutz personenbezogener Daten lässt sich nur durch den Einsatz von technischen und organisatorischen Mitteln erreichen.
Aber auch aus Sicht der IT-Sicherheit kommt es zu Überschneidungen mit dem Datenschutz. So sind zum Beispiel bei Feststellungen des Schutzbedarfs, wie sie im Rahmen von Datenträgervernichtungen notwendig sind, besondere personenbezogene Daten nach § 3 Ab. 9 BDSG mit einzubeziehen.
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Der konkrete Begriff der IT-Sicherheit wird durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einem Gesetz definiert.
Danach bedeutet die Sicherheit in der Informationstechnik die Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit, Unversehrtheit oder Vertraulichkeit von Informationen betreffen durch Sicherheitsvorkehrungen in informationstechnischen Systemen oder Komponenten oder bei der Anwendung von informationstechnischen Systemen oder Komponenten.
Der Begriff der Vertraulichkeit bedeutet, dass Daten nur von autorisierten Benutzern gelesen bzw. verändert werden dürfen, was sowohl beim Zugriff auf gespeicherte Daten als auch während der Datenübertragung gilt.
Die Integrität soll gewährleisten, dass Daten nicht unbemerkt verändert werden können bzw. dass alle Änderungen nachvollzogen werden können.
Der Begriff der Verfügbarkeit beschreibt das Ziel, dass der Zugriff auf Daten innerhalb eines bestimmten Zeitrahmens gewährleistet sein muss bzw. dass komplette Systemausfälle verhindert werden.
Das BSI stellt für die Gewährleistung einer höchstmöglichen Sicherheitsstufe zahlreiche Werkzeuge zur Verfügung. Dazu gehören unter anderem die BSI-Standards zum Informationssicherheitsmanagement, die IT-Grundschutz-Kataloge und das GSTOOL sowie die ISO 27001-Zertifizierung auf Basis von IT-Grundschutz, die sowohl eine Prüfung des Informationssicherheitsmanagements als auch der konkreten Sicherheitsmaßnahmen auf Basis von IT-Grundschutz umfasst. Die IT-Grundschutz-Kataloge des BSI sind inzwischen zum umfassendsten Standardwerk zur IT-Sicherheit geworden und dienen sowohl Behörden als auch Unternehmen als Grundlage für die Umsetzung der Informationssicherheit in ihren Informationsverbünden.
Aber auch für Bürgerinnen und Bürger bietet das BSI Hilfestellungen und spricht bei festgestellten Sicherheitslücken einzelner Produkte Warnungen aus.