Portfolio
Daten bestimmen heute mehr denn je über Geld und Macht. Wer seine Kunden besser kennt, kann mehr an sie verkaufen. Wer die Sorgen und Bedürfnisse der Bevölkerung kennt, überzeugt mehr Wähler. Daten sind so wertvoll wie nie zuvor.
Deswegen liegt es in der Verantwortung von Kommunen, kirchlichen Einrichtungen und Unternehmen, die persönlichen Daten zu schützen und sorgsam mit ihnen umzugehen. Doch nicht jedem, der mit Daten zu tun hat, sind die Zuständigkeiten und Begrifflichkeiten klar. Nicht nur die persönlichen Daten müssen geschützt werden. Datenschutz und Datensicherheit sind zwei völlig unterschiedliche Begriffe mit verschiedenen Ausprägungen. Die ITEBO-Unternehmensgruppe verfügt über Expertise für beides und unterstützt Kommunen sowie Unternehmen schon seit vielen Jahren dabei, dies entsprechend zu gewährleisten.
Das Recht auf informationelle Selbstbestimmung als Grundlage des Datenschutzes
Welche Wichtigkeit Daten haben, rückt immer stärker in das Bewusstsein von Einzelpersonen. Doch schon vor vierzig Jahren, also noch weit vor der Verbreitung des Internets, wurde dieses Thema politisch kontrovers behandelt. Debatten um den damaligen Zensus führten schließlich dazu, dass der Bundesgerichtshof 1983 sein sogenanntes Volkszählungsurteil erließ.
Dieses sollte verhindern, dass gesammelte Daten zu einem Persönlichkeitsprofil zusammenfließen könnten. Die Bedenken damals richteten sich jedoch vor allem auf Einschüchterungseffekte bei abweichendem Verhalten. Um zu verhindern, dass die eigenen Daten gegen Menschen verwendet werden können, etablierte das Bundesverfassungsgericht das Grundrecht auf informationelle Selbstbestimmung und gliederte es an das allgemeine Persönlichkeitsrecht an. Noch heute gilt es als die wichtigste Grundlage für den Datenschutz. Durch dieses Gesetz benötigt selbst der Staat eine rechtliche Grundlage, um Daten erheben und verarbeiten zu dürfen.
Verantwortliche dürfen Daten nur in einem Ausmaß und auf eine Weise verarbeiten, für die sie eine Rechtsgrundlage haben. Verstoßen sie gegen die geltenden datenschutzrechtlichen Gesetze, verhängen Aufsichtsbehörden unter Umständen Bußgelder. Alle rechtlichen Vorgaben, die das Recht der Person auf informationelle Selbstbestimmung absichern sollen, fallen unter den Datenschutz. Dieser hat sich in den letzten Jahrzehnten auch durch die neuen Anforderungen des Internets noch einmal deutlich weiterentwickelt. Außerdem wurde er auf EU-Ebene harmonisiert.
Datenverarbeitende Instanzen in der Pflicht: Rechte schützen und Daten sichern
Für Unternehmen und Kommunen bedeuten die Maßgaben des Datenschutzes auch, dass sie sich mit der Sicherheit der Daten auseinandersetzen müssen. Doch Datenschutz beinhaltet dabei nicht den Schutz der Daten, sondern vielmehr den Schutz der Rechte natürlicher Personen. Den Schutz aller Daten bezeichnen hingegen viele IT-Expertinnen und -Experten als „Datensicherheit“.
Die ITEBO-Unternehmensgruppe spricht in diesen Fällen allerdings seltener von der Datensicherheit, sondern lieber von der Informationssicherheit. Denn diese umfasst sämtliche Informationen eines Unternehmens, einer kirchlichen Einrichtung oder einer Verwaltung und nicht nur Daten. Dieser Begriff ist durchaus eng mit dem Datenschutz verknüpft. Schließlich ist die Informationssicherheit aufgrund des Datenschutzes unabdingbar: Wer Daten von Personen erhebt, muss dafür Sorge tragen, dass sie nicht in die Hände von Unbefugten gelangen. Bei der Informationssicherheit geht es jedoch nicht exklusiv um den Datenschutz. Stattdessen möchten Unternehmen oder Kommunen die Sicherheit ihrer Daten und Informationen erreichen.
Diese müssen nicht auf Personen bezogen sein, sondern können beispielsweise auch Forschungsdaten, betriebswirtschaftliche Informationen oder andere Erkenntnisse enthalten. Solche Informationen sollte ein Unternehmen jedoch genauso vor dem unberechtigten Zugriff Dritter schützen wie die Daten einer Person. Datensicherheit könnte also ohne Datenschutz existieren, Datenschutz jedoch nicht ohne Datensicherheit.
Schutzziele der Informationssicherheit: tägliches Brot der ITEBO
Die Informationssicherheit hat verschiedene Schutzziele, mit denen sie den Datenschutz sicherstellen soll. Das erste Ziel ist die Vertraulichkeit. Diese kann die ITEBO-Unternehmensgruppe beispielsweise umsetzen, indem sie strikte Rollen für einzelne Mitarbeiter vergibt. Viele der von uns genutzten Lösungen nutzen sehr dezidierte Zugangsberechtigungen und sichern die Vertraulichkeit so für alle Daten und Personen. Auf diese Weise verhindern Kommunen, kirchliche Einrichtungen und Unternehmen einen unbefugten Zugriff auf Daten: Sachbearbeiterinnen und Sachbearbeiter können dadurch nur die Daten bearbeiten und lesen, die für ihre Arbeit relevant sind.
Ein weiteres Schutzziel ist die Integrität. Sie ist nur gegeben, wenn alle Daten und Systeme korrekt und unverändert funktionieren. Die Integrität geht hingegen verloren, wenn Systeme nicht korrekt arbeiten oder Daten verfälscht werden. Eine Möglichkeit, diese Integrität sicherzustellen, sind deswegen die zahlreichen Fehleranalysen und Testläufe, welche die ITEBO-Mitarbeiterinnen und -Mitarbeiter durchführen, um sicherzugehen, dass Hard- und Software funktionieren. Außerdem ist auch die Verschlüsselung ein unabdingbares Hilfsmittel hierfür, welches die ITEBO-Expertinnen und -Experten alltäglich einsetzen.
Bei der Authentizität handelt es sich um ein weiteres Schutzziel im Rahmen der Informationssicherheit. Diese ist dann gefährdet, wenn Unbefugte Daten versenden. Für kommunale und städtische Verwaltungen hat dieses Thema natürlich eine besondere Wichtigkeit, denn die Dokumente, die sie ausstellen, müssen stets höchsten Ansprüchen an Authentizität genügen. Deswegen ist es für sie auch von besonderer Bedeutung, dass Mitteilungen an und von Bürgerinnen und Bürgern absolut echt, zuverlässig und glaubwürdig sind sowie vom berechtigen Absender stammen. Die ITEBO-Unternehmensgruppe bietet Verwaltungen deswegen diverse Möglichkeiten, mit denen sich Bürgerinnen und Bürger, aber auch Kommunen beim Versenden von Daten authentifizieren können. Die Möglichkeiten beginnen bei qualifizierten elektronischen Signaturen und reichen bis hin zu sicheren Bürgerprofilen im OpenR@thaus.
Das vierte Schutzziel ist die Verfügbarkeit. Daten und Systeme müssen jederzeit von autorisierten Personen genutzt werden können. Dieses Schutzziel ist nicht zuletzt eine der Kernkompetenzen der ITEBO-Rechenzentren. Hier stellen Mitarbeiterinnen und Mitarbeiter Tag und Nacht sicher, dass Server online sind und die Systeme der Kundinnen und Kunden funktionieren.
Deswegen ist es oft nicht förderlich, Datenschutz und Informationssicherheit strikt zu trennen. Im Gegenteil sind es nicht zuletzt die Unterschiede, das Spannungsfeld und die Überschneidungen zwischen diesen beiden Begriffen, durch welche die wichtigsten Entscheidungen getroffen werden. Gemeinsam mit den Kunden arbeitet die ITEBO-Unternehmensgruppe daran, Lösungen zu finden, die sowohl den Anforderungen der Informationssicherheit als auch denen des Datenschutzes genügen. Die ITEBO-Mitarbeitenden unterstützen sie dabei, Spannungen zwischen diesen Anforderungen zu lösen und Synergien zu nutzen.
Datenschutz und Informationssicherheit haben nicht immer das gleiche Ziel
Datenschutz, Datensicherheit und Informationssicherheit: Diese Begrifflichkeiten auseinanderzuhalten, ist nicht immer leicht. Dabei kann es sogar vorkommen, dass sich Datenschutz und Informationssicherheit widersprechen. Will beispielsweise ein Unternehmen den Zeitpunkt und die Dauer tracken, wenn eine Mitarbeiterin oder ein Mitarbeiter sich in ein System eingeloggt hat, dient dies der Datensicherheit. Schließlich lassen sich durch dieses Tracking Schutzziele wie Integrität und Vertraulichkeit besser sicherstellen. Datenschützer könnten dies hingegen kritisch sehen, weil das Speichern dieser Daten durchaus Persönlichkeitsrechte berührt.
Container for the dynamic page
(Will be hidden in the published article)