Datensicherheit

Begriff und Einordnung

Datensicherheit bezeichnet den Schutz von Daten vor Verlust, unbefugter Kenntnisnahme, Veränderung oder Nichtverfügbarkeit. Ziel ist es, Vertraulichkeit, Integrität und Verfügbarkeit von Daten zu wahren. Der Begriff umfasst alle Datenarten, also sowohl personenbezogene als auch nicht-personenbezogene Informationen, und ist ein zentraler Bestandteil rechtlicher Anforderungen an Organisationen, öffentliche Stellen und Unternehmen.

Im rechtlichen Kontext bildet Datensicherheit zusammen mit organisatorischen Strukturen und vertraglichen Regelungen die Grundlage für rechtskonformes Datenmanagement. Sie dient dem Schutz der Rechte von betroffenen Personen, der Funktionsfähigkeit von Prozessen und der Sicherung wirtschaftlicher Interessen wie Geschäftsgeheimnissen.

Abgrenzung zu Datenschutz

Unterschiedliche Schutzziele

Datenschutz schützt die Privatsphäre und die Rechte betroffener Personen bei der Verarbeitung personenbezogener Daten. Datensicherheit hingegen zielt auf die technische und organisatorische Absicherung von Datenbeständen und Systemen, unabhängig davon, ob es sich um personenbezogene oder sonstige Daten handelt.

Wechselwirkung

Wirksamer Datenschutz ist ohne Datensicherheit nicht erreichbar. Rechtliche Vorgaben zum Datenschutz enthalten daher Anforderungen an Datensicherheit. Umgekehrt kann Datensicherheit auch außerhalb personenbezogener Daten relevant sein, etwa beim Schutz von Betriebs- und Geschäftsgeheimnissen oder im Bereich kritischer Infrastrukturen.

Rechtlicher Rahmen

Europäische Ebene

Die europäische Datenschutz-Grundordnung schafft einen einheitlichen Rahmen für den Schutz personenbezogener Daten und verlangt angemessene technische und organisatorische Maßnahmen. Daneben legen sektorale EU-Regelwerke, etwa zur Netz- und Informationssicherheit oder zur digitalen Betriebsresilienz im Finanzsektor, branchenspezifische Pflichten fest. Diese Anforderungen wirken sich unmittelbar auf die Gestaltung von Datensicherheitsmaßnahmen aus.

Nationale Ebene

Nationale Datenschutzgesetze ergänzen den europäischen Rahmen. Hinzu kommen bereichsspezifische Vorgaben, etwa für Telemedien, Telekommunikation, Gesundheitswesen, Energieversorgung oder Verkehr. Je nach Sektor bestehen zusätzlich anerkannte Standards, Verwaltungsvorschriften und aufsichtsbehördliche Orientierungshilfen, die die Auslegung und praktische Umsetzung der Datensicherheit prägen.

Branchenspezifische Anforderungen

Für kritische Infrastrukturen, öffentliche Stellen, Finanz- und Gesundheitswesen sowie andere regulierte Branchen gelten weitergehende Sicherheitsanforderungen. Diese betreffen unter anderem Risikomanagement, Vorfallsbehandlung, Berichtswege und Prüfungen durch Aufsichtsstellen.

Standards und Referenzrahmen

International anerkannte Normen zur Informationssicherheit, etwa die ISO/IEC 27000-Reihe, dienen als Referenz für Aufbau, Betrieb und kontinuierliche Verbesserung von Sicherheitsmanagementsystemen. Sie werden in der Praxis häufig als Maßstab herangezogen, um Angemessenheit und Sorgfalt zu beurteilen.

Grundprinzipien der Datensicherheit

Vertraulichkeit, Integrität, Verfügbarkeit

Diese drei Schutzziele bilden den Kern der Datensicherheit: Vertraulichkeit verhindert unbefugte Offenlegung, Integrität sichert Unverfälschtheit und Vollständigkeit, Verfügbarkeit gewährleistet rechtzeitigen und zuverlässigen Zugriff für Berechtigte.

Risikoorientierung und Stand der Technik

Datensicherheit folgt einem risikobasierten Ansatz. Maßstab ist, welche Risiken typischerweise mit der Verarbeitung verbunden sind und welche Maßnahmen nach dem Stand der Technik als geeignet gelten. Der Schutzbedarf der Daten und die potenziellen Auswirkungen bestimmen Tiefe und Breite der zu treffenden Vorkehrungen.

Verhältnismäßigkeit und Zukunftsbezug

Die Maßnahmen müssen zur Gefahrensituation passen und regelmäßig überprüft sowie fortentwickelt werden. Technologischer Wandel, neue Bedrohungen und geänderte Verarbeitungsprozesse können Anpassungen erforderlich machen.

Rollen, Verantwortlichkeiten und Zuständigkeiten

Organisation und Leitung

Die Leitungsebene trägt Verantwortung für die Einrichtung einer geeigneten Governance-Struktur. Dazu gehören klare Zuständigkeiten, Ressourcen und Überwachung der Wirksamkeit getroffener Maßnahmen. In vielen Organisationen ist eine unabhängige Kontrollfunktion vorgesehen.

Verantwortlicher, Auftragsverarbeitung und gemeinsame Verantwortung

Wer über Zwecke und Mittel einer Datenverarbeitung entscheidet, ist für die Datensicherheit verantwortlich. Werden Dienstleister eingebunden, sind Sicherheitsanforderungen vertraglich und organisatorisch abzusichern. Bei gemeinsamer Verantwortung sind abgestimmte Regelungen zu Zuständigkeiten, Informationsflüssen und Überwachung erforderlich.

Beschäftigte und Vertraulichkeit

Personen, die mit Daten umgehen, sind an Vertraulichkeit und Weisungen gebunden. Schulungs- und Sensibilisierungsmaßnahmen werden rechtlich als Bestandteil eines wirksamen Sicherheitsniveaus betrachtet.

Organisatorischer Rahmen und Dokumentation

Technische und organisatorische Maßnahmen

Technische und organisatorische Maßnahmen dienen der Umsetzung der Schutzziele. Dazu zählen etwa Zugriffsbeschränkungen, Rechte- und Rollenkonzepte, Protokollierung, physische Sicherungen, Ausfallvorsorge und Verfahren zur Wiederherstellung. Welche Maßnahmen angemessen sind, hängt vom Risiko- und Schutzbedarf ab.

Governance, Richtlinien und Nachweis

Rechtliche Anforderungen umfassen die Dokumentation von Vorgaben, Prozessen und Verantwortlichkeiten sowie die Nachweisführung zur Wirksamkeit. Interne und externe Prüfungen können Teil dieser Nachweisführung sein.

Datenpannen und Meldungen

Bei sicherheitsrelevanten Vorfällen bestehen je nach Datenart und Sektor Melde- und Benachrichtigungspflichten gegenüber Aufsichtsstellen und gegebenenfalls betroffenen Personen. Auch interne Prozesse zur Erkennung, Bewertung und Behandlung von Vorfällen sind rechtlich relevant.

Datenkategorien und Schutzbedarf

Personenbezogene Daten

Für personenbezogene Daten gelten besondere rechtliche Anforderungen. Der Schutzbedarf steigt, wenn die Verarbeitung ein erhöhtes Risiko für Rechte und Freiheiten der betroffenen Personen mit sich bringt.

Besondere Schutzbedarfe

Für Daten mit erhöhtem Sensitivitätsgrad, etwa Gesundheitsinformationen, Kontodaten oder Sicherheitsarchitekturen, werden gesteigerte Sicherheitsniveaus erwartet. Gleiches gilt für Daten, deren Offenlegung erhebliche Nachteile verursachen kann.

Nicht-personenbezogene Daten und Geheimnisse

Auch nicht-personenbezogene Informationen können rechtlich schutzwürdig sein, insbesondere Betriebs- und Geschäftsgeheimnisse. Der rechtliche Schutz knüpft an angemessene Geheimhaltungs- und Sicherheitsmaßnahmen an.

Datenübermittlungen und internationale Bezüge

Grenzüberschreitende Verarbeitung

Werden Daten in Staaten außerhalb des europäischen Rechtsraums übermittelt oder dort verarbeitet, sind zusätzliche rechtliche Anforderungen zu beachten. Diese betreffen Angemessenheit des Schutzniveaus, vertragliche Absicherungen und ergänzende Sicherheitsmaßnahmen.

Cloud- und Outsourcing-Konstellationen

Beim Einsatz externer Dienstleister sind rechtliche Vorgaben zur Auftragsverarbeitung, zur Auswahl und Überwachung von Dienstleistern sowie zu Subunternehmerketten maßgeblich. Kontroll- und Auskunftsrechte spielen dabei eine zentrale Rolle.

Kontroll- und Aufsichtssystem

Datenschutzaufsicht

Unabhängige Aufsichtsbehörden überwachen die Einhaltung datenschutzrechtlicher Anforderungen, einschließlich Datensicherheit. Sie verfügen über Untersuchungs- und Anordnungsbefugnisse.

Branchenaufsicht

In regulierten Sektoren bestehen zusätzliche Aufsichtsinstitutionen, die Sicherheitsanforderungen festlegen und deren Umsetzung überwachen. Dies kann regelmäßige Berichte, Prüfungen und Maßnahmenkataloge umfassen.

Kooperation und Durchsetzung

Behörden arbeiten grenzüberschreitend zusammen. Bei Verstößen können koordinierte Maßnahmen ergriffen werden, die über den Einzelfall hinaus Wirkung entfalten.

Rechtsfolgen und Haftung

Behördliche Maßnahmen und Sanktionen

Bei unzureichender Datensicherheit drohen aufsichtsbehördliche Maßnahmen bis hin zu erheblichen Geldsanktionen. Die Eingriffsbefugnisse reichen von Anordnungen zur Herstellung rechtmäßiger Zustände bis zu Bußgeldern.

Zivilrechtliche Folgen

Betroffene können Ersatz für materielle und immaterielle Schäden verlangen. Auch vertragliche Haftung gegenüber Geschäftspartnern spielt eine Rolle, etwa bei Pflichtverletzungen im Rahmen der Auftragsverarbeitung.

Straftatbestände und Ordnungswidrigkeiten

Je nach Konstellation können straf- oder ordnungswidrigkeitenrechtliche Vorschriften greifen, insbesondere bei unbefugter Datenverarbeitung, Datenveränderung oder Ausspähen von Daten.

Verhältnis zu IT- und Informationssicherheit

Terminologie

Informationssicherheit beschreibt den umfassenden Schutz von Informationen in allen Formen, Datensicherheit bezieht sich enger auf digitale und analoge Datenbestände. IT-Sicherheit fokussiert auf technische Systeme. Rechtliche Anforderungen an Datensicherheit sind Teil dieses Gesamtsystems.

Managementsysteme und Compliance

Strukturierte Managementsysteme für Informationssicherheit unterstützen die rechtlich geforderte Steuerung, Überwachung und Verbesserung der Datensicherheit. Sie erleichtern zudem die Nachweisführung gegenüber Aufsichtsbehörden und Geschäftspartnern.

Häufig gestellte Fragen

Was bedeutet Datensicherheit im rechtlichen Sinne?

Datensicherheit ist die rechtlich geforderte Absicherung von Daten gegen unbefugten Zugriff, Veränderung, Verlust und Ausfall. Sie umfasst technische und organisatorische Maßnahmen, die dem Risiko und dem Schutzbedarf der Daten angemessen sind.

Worin unterscheidet sich Datensicherheit von Datenschutz aus rechtlicher Sicht?

Datenschutz schützt die Rechte von Personen bei der Verarbeitung personenbezogener Daten. Datensicherheit ist das Mittel, mit dem diese Ziele technisch und organisatorisch erreicht werden, und gilt darüber hinaus auch für nicht-personenbezogene Daten.

Wer trägt die rechtliche Verantwortung für Datensicherheit?

Verantwortlich ist die Stelle, die über Zwecke und Mittel der Datenverarbeitung entscheidet. Bei Einbindung von Dienstleistern verbleibt die Verantwortung, während Pflichten vertraglich und organisatorisch konkretisiert werden.

Welche Rolle spielen Dienstleister rechtlich bei der Datensicherheit?

Dienstleister unterliegen vertraglich geregelten Sicherheitsanforderungen. Es bestehen Pflichten zur Auswahl, Kontrolle und Überwachung sowie zu klaren Regelungen über Subunternehmer und Datenzugriffe.

Gibt es besondere rechtliche Anforderungen für sensible Daten?

Für Daten mit erhöhtem Sensitivitätsgrad werden gesteigerte Sicherheitsniveaus erwartet. Dies betrifft insbesondere Daten, deren Verarbeitung ein erhöhtes Risiko für betroffene Personen oder erhebliche wirtschaftliche Nachteile mit sich bringt.

Wie werden internationale Datenübermittlungen rechtlich abgesichert?

Übermittlungen in Staaten ohne gleichwertiges Schutzniveau erfordern zusätzliche Garantien, etwa geeignete vertragliche Absicherungen und ergänzende Sicherheitsmaßnahmen. Maßgeblich ist die Gewährleistung eines insgesamt angemessenen Schutzes.

Welche Folgen drohen bei Verstößen gegen die Datensicherheit?

Mögliche Folgen sind behördliche Anordnungen, Bußgelder und zivilrechtliche Ansprüche. In schweren Fällen können auch straf- oder ordnungswidrigkeitenrechtliche Vorschriften einschlägig sein.

Welche Bedeutung hat Dokumentation im Zusammenhang mit Datensicherheit?

Dokumentation dient der rechtlich geforderten Nachweisführung. Sie belegt Entscheidungen, Zuständigkeiten, Maßnahmen und deren Wirksamkeit und ist Grundlage für interne und externe Prüfungen.