
Datenschutz und Datensicherheit bedingen einander. Zumindest legen dies alt hergebrachte Grundprinzipien des Datenschutzes nahe. Dennoch werden beide nicht selten isoliert betrachtet und sogar in Opposition gesetzt. Warum dies weder sachgerecht noch zweckdienlich ist, zeigt dieser Beitrag anlässlich des Tags des Datenschutzes.
Nicht erst seit der Einführung der EU Datenschutz-Grundverordnung (DSGVO) ist Datensicherheit wesentlich für den angemessenen Schutz personenbezogener Daten, d.h. Datenschutz. Bereits in den 70er Jahren hat die US-amerikanische Federal Trade Commission (FTC) mit der Statuierung seiner Fair Information Practice Principles (FIPPs) und später in den 80er Jahren die Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) mit ihren Guidelines on the Protection of Privacy and Transborder Flows of Personal Data konstatiert, dass personenbezogenen Daten mit geeigneten Sicherheitsmaßnahmen gegen Risiken des Verlusts, unautorisierten Zugriff, Zerstörung, unbefugte Nutzung, Veränderung und Enthüllung zu schützen sind.
Trotzdem werden Datenschutz und Datensicherheit oftmals getrennt voneinander beurteilt und miteinander in Konkurrenz gesetzt. Dies hängt insbesondere damit zusammen, dass die DSGVO einerseits Datensicherheit beispielsweise in Art. 5 und Art. 32 verlangt, andererseits aber gesetzlich nicht hinreichend privilegiert. Dies führt dazu, dass Datenverarbeitung zum Zweck der Datensicherheit mit allen übrigen Zwecken was etwa die Rechtmäßigkeit der Verarbeitung und die Drittlandsübertragung anbelangt gleichgestellt ist. Dies führt dazu, dass Datenverarbeitungen zum Zweck der Datensicherheit teilweise gesetzlich untersagt sind, weil etwa keine Rechtfertigung nach Art. 6 Abs. 1 DSGVO existiert. Die Bekundung des Gesetzgebers, die Datenverarbeitung zu Zwecken der Informations- und Netzwerksicherheit als legitimes Interesse nach Art. 6 Abs. 1 lit. f DSGVO durch den Erwägungsgrund 49 der DSGVO herauszustellen, ist diesbezüglich nicht weitreichend genug.
Verschärft hat sich diese Lage durch die Rechtsprechung des Europäischen Gerichtshofs (EuGH) in der Rechtssache Schrems II. Durch sie hat der EuGH den Datentransfer in Nicht-EU-Länder unter besondere Bedingungen gestellt. Gestützt auf sie wiederum hat der Europäische Datenschutzausschuss, der Zusammenschluss der nationalen Datenschutzaufsichtsbehörden der EU-Mitgliedstaaten, durch seine Recommendations 1/2020 neue Hürden aufgebaut, die ihrerseits nicht zwischen Datentransfers zum Zweck der Datensicherheit und sonstigen Zwecken differenzieren und zusätzliche Herausforderungen darstellen.
In Zeiten massiv ansteigender und zunehmend ausgefeilter Cyber-Bedrohungen (vgl. CrowdStrike 2021 Global Threat Report), die SecOps in Form von “24×7 follow the sun” unabdingbar machen, verhindert dies teilweise die Gestaltung von Datensicherheit nach dem Stand der Technik, wie sie etwa von der Agentur der Europäischen Union für Cybersicherheit (ENISA) in ihrem Leitfaden zum Stand der Technik empfohlen wird.
Zur Wiederherstellung des Gleichgewichts zwischen Datenschutz und Datensicherheit sowie der Förderung der Zusammenarbeit von Datenschutz- und Datensicherheitsbeauftragten wird von CrowdStrike daher am Tag des Datenschutzes eine Verbesserung der Möglichkeit der Datenverarbeitung zu Zwecken der Datensicherheit als anzustrebendes Ziel formuliert. Orientiert am Privacy by Design Grundprinzip von Full Functionality ‒ Positive Sum, Not Zero Sum von Ann Cavoukian möge sie den Weg dafür ebnen, dass ganzheitlicher Datenschutz nach Maßgabe der DSGVO bei kalkulierbaren Risiko, ohne Einschränkung der Datensicherheit nach dem Stand der Technik gefördert wird und Datenschutz sowie Datensicherheit nebeneinander effektiv erreicht werden können.
Autor: Drew Bagley, VP & Counsel, Privacy & Cyber Policy bei CrowdStrike
Podcast anhören:
Datenschutztag 2022: Datenschutz und Datensicherheit – zwei Seiten einer Medaille
Fachartikel

LIVE WEBINAR: Erkennen und Verwalten von Cyber-Risiken im erweiterten Zulieferer-Netzwerk

Künstliche Intelligenz und Datenethik: Vier Tipps, wie Unternehmen beides in Einklang bringen können

Gemeinsam Cyberbedrohungen den Garaus machen

LIVE WEBINAR: Verschlüsselter und einfacher Datentransfer per E-Mail oder Datenraum

Cybersecurity: Endlich Schluss mit dem Tool-Wahnsinn
Studien

Cybersicherheit: Unternehmen unterschätzen Risiken durch Partner und Lieferanten

IBM „Cost of a Data Breach“- Studie 2022: Verbraucher zahlen den Preis, da die Kosten für Datenschutzverletzungen ein Allzeithoch erreichen

Gestohlene Zugangsdaten sind im Dark Web günstiger als ein Döner

Jedes zweite Fertigungsunternehmen rechnet mit Zunahme von Cyberangriffen – bei weiterhin lückenhafter Cybersicherheit

Hybride Arbeitsmodelle: Firmware-Angriffe nehmen signifikant zu
Whitepaper

Das Erwachen der LNK-Dateien: Cyber-Kriminelle setzen bei Angriffen auf Verknüpfungen

Trellix Threat Labs Report: ein Blick auf die russische Cyber-Kriminalität

Q1 2022 Lage der IT-Sicherheit: 57 % aller Sicherheitsvorfälle gehen auf bekannte Netzwerkschwachstellen zurück

Ransomware-Vorfälle nehmen weiter zu
