European Data Protection Supervisor
Der Europäische Datenschutzbeauftragte

Informationssicherheit

Informationssicherheit

Was Sie über Informationssicherheit wissen sollten

Jedes Unternehmen ist bei seiner täglichen Arbeit auf die Nutzung von Informationen angewiesen. Aus diesem Grund müssen Unternehmen sicherstellen, dass ihre Datenbestände, d. h. Datensätze, die einen Wert für sie besitzen, etwa Mitarbeiterdatensätze, Analyseberichte, Finanzdaten, Betriebsgeheimnisse, Verträge usw., auf geeignete Weise geschützt sind.

Dies ist ein zentrales Anliegen in einem spezifischen Bereich, der als Informationssicherheit bezeichnet wird. Informationssicherheit bezieht sich auf die Mittel und Wege zum Schutz von gedruckten, elektronischen oder anderen vertraulichen, privaten und sensiblen Informationen oder Daten vor unberechtigtem Zugriff oder Gebrauch, vor Missbrauch, Offenlegung, Vernichtung, Veränderung oder Störung. (1)

Informationssicherheit ist eine schwierige Aufgabe, da die meisten Unternehmen mit einer in ständigem Wandel befindlichen Landschaft konfrontiert sind, die sich auf ihr Geschäft auswirkt: Marktentwicklung, technologische Fortschritte, Erkennung neuer Sicherheitslücken und Schwachstellen, ein sich veränderndes Rechtssystem usw.

Der Begriff Informationssicherheitsrisikomanagement (ISRM) bezeichnet den spezifischen Prozess, der diejenigen, die für Informationssicherheit zuständig sind, dabei unterstützt, mit den Unsicherheiten umzugehen, die sich mit der Zeit auf die Sicherheit der Informationen ihres Unternehmens auswirken könnten, und der angibt, wie innerhalb der Grenzen ihres Arbeitsumfelds auf diese Unsicherheiten am besten reagiert werden kann. ISRM umfasst aber auch eine Analyse der Risiken, mit denen Unternehmen konfrontiert sind, sowie die Festlegung geeigneter Sicherheitsmaßnahmen zur Bewältigung dieser Risiken.

(1) https://www.sans.org/information-security/    


Welches sind die wichtigsten Datenschutzfragen?

Datensicherheit – Datenbestände umfassen oft persönliche Informationen (auch als personenbezogene Daten bezeichnet). Sicherheit ist einer der wichtigsten Faktoren für den Datenschutz. Um ein angemessenes Schutzniveau sicherzustellen, müssen Unternehmen einen Risikomanagementprozess einführen, mit dem die mit der Verarbeitung personenbezogener Daten verbundenen Sicherheitsrisiken bewertet werden. In der Folge müssen sie Sicherheitsmaßnahmen zur Behebung der ermittelten Risiken umsetzen. Diese Maßnahmen können auch Maßnahmen organisatorischer (z. B. Richtlinien, Verfahren usw.) oder technischer (z. B. Implementierung von Antivirus-Software, Sicherungskopien) Natur umfassen.

Rechenschaftspflicht – Unternehmen müssen sicherstellen, dass ihre Sicherheitskontrollen zum Schutz ihrer Daten im Laufe der Zeit wirksam bleiben und die vorhandenen Gefahren abwehren. Eine regelmäßige Überwachung, bei der auch die Anforderungen eines Unternehmens, seine Verarbeitungsprozesse und Sicherheitsinstrumente analysiert werden, ist die effizienteste Möglichkeit, um zu gewährleisten, dass die Informationssicherheit eines Unternehmens unter Kontrolle bleibt und weiterhin ihren Zweck erfüllt. Mithilfe dieser Analysen können Unternehmen in die Sicherheitsinstrumente investieren, die am besten für sie geeignet sind, und eine solche Investition auch begründen.

Für den Umgang mit personenbezogenen Daten muss aber auch den potenziellen Auswirkungen auf die betroffenen Personen Rechnung getragen werden. So kann beispielsweise eine gefährdete Datensicherheit bei Gesundheitsdaten oder Strafregistereinträgen eine Person erheblich beeinträchtigen und daher entsprechend wirkungsvolle und tief greifende Maßnahmen zur Verringerung der damit verbundenen Risiken erforderlich machen.


Weitere Informationen

Der EDSB hat hierzu Leitlinien erlassen:

Guidance on Security Measures for Personal Data Processing - Article 22 of Regulation 45/2001 (Leitlinien zu Sicherheitsmaßnahmen für die Verarbeitung personenbezogener Daten - Artikel 22 der Verordnung 45/2001 (nur EN))