Bestimmt ist Ihnen der Begriff „Vertraulichkeit“ geläufig, vielleicht bringen Sie ihn gar mit IT und IT-Sicherheit in Verbindung.
Doch ist Vertraulichkeit im Datenschutz auch wirklich das, was Sie darunter verstehen?
Ganz im Vertrauen
Die Frage mag Ihnen komisch erscheinen, was man denn im Datenschutz genau unter Vertraulichkeit versteht. Offensichtlich geht es in vielen Datenschutz-Fällen darum, Vertrauliches zu schützen: personenbezogene Daten, die nicht jeder sehen, lesen und kennen darf.
Ein gutes Beispiel hierfür sind Gesundheitsdaten. Kein Dritter soll sie kennen. Sie gehen nur Sie, die Ärzte oder die Krankenversicherung etwas an. Doch sicherlich nicht einen Pharma-Konzern oder den Betreiber einer Drogeriekette.
Tatsächlich sind Datenschutz und Vertraulichkeit eng miteinander verbunden. Doch Datenschutz ist mehr als Vertraulichkeit: So müssen personenbezogene Daten
- nicht nur vertraulich sein
- sondern auch verfügbar,
- sie dürfen nicht manipuliert werden,
- und die Dienste, mit denen die personenbezogenen Daten verarbeitet werden, müssen vor Ausfällen und Störungen geschützt sein.
Was aber bedeutet nun genau die Vertraulichkeit im Datenschutz?
Verschwiegenheit und Zugangsschutz als Leitgedanken
Die Verschwiegenheit spielt eine zentrale Rolle in der Vertraulichkeit im Datenschutz. Beschäftigte und beauftragte Dienstleister, die personenbezogene Daten verarbeiten, dürfen keine personenbezogenen Daten an unbefugte Dritte verraten – Sie müssen also verschwiegen. Das gilt auch für die Datenschutzbeauftragten selbst.
Des Weiteren darf niemand die zu schützenden Daten unerlaubt oder ungewollt offenlegen – das Prinzip des Zugangsschutzes. Unbefugte Dritte dürfen keinen Zugang zu und Zugriff auf die Daten haben. Um das zu gewährleisten, fordert der Datenschutz geeignete technische und organisatorische Schutzmaßnahmen. Dazu gehört vor allem eine Verschlüsselung, die dem aktuellen Stand der Technik entspricht.
Vertraulichkeit in der IT
Vielleicht wissen Sie, dass auch die IT-Sicherheit das sogenannte Schutzziel der Vertraulichkeit besitzt. Tatsächlich bedient sich die IT-Sicherheit ähnlichen oder sogar gleichen Schutzmaßnahmen wie der Datenschutz, insbesondere im Rahmen der Verschlüsselung.
Doch Vertraulichkeit in Datenschutz und IT-Sicherheit sind nicht ganz das Gleiche. Denn der Datenschutz will personenbezogene Daten schützen, die IT-Sicherheit generell Daten mit entsprechendem Schutzbedarf.
Aus Sicht der IT müssen personenbezogene Daten wie die Daten eines IT-Nutzers nicht zwingend einen hohen Bedarf an Vertraulichkeit haben. Die IT-Sicherheit kann einen anderen Schutzbedarf sehen.
Dem Datenschutz aber geht es immer um die Daten, die personenbezogen sind. Das heißt, die Daten gehören zu einer Person oder sind personenbeziehbar, lassen sich also auf eine bestimmte Person beziehen. Solche Daten dürfen weder ungewollt noch unerlaubt offengelegt werden, wie die eingangs erwähnten Gesundheitsdaten. Sie dürfen nicht einfach in die Hände eines Händlers übergehen, der diese Daten für ein passendes Angebot an frei verkäuflichen Medikamenten nutzen möchte.
Vertraulichkeit ist deshalb zentraler Bestandteil im Datenschutz, mit gewissen Unterschieden zur Sicht der IT oder auch zur Alltagssicht.
Wissen Sie, was Vertraulichkeit im Datenschutz bedeutet? Testen Sie Ihr Wissen!
Frage: Vertraulichkeit, Verschwiegenheit und Datenschutz sind eigentlich identisch. Stimmt das?
- Ja, es geht immer darum, Geheimnisse zu hüten.
- Nein, Vertraulichkeit ist zentral für den Datenschutz. Aber es geht auch um andere Datenschutz-Prinzipien, die es zu wahren gilt.
Lösung: Die Antwort 2. ist richtig. Die DSGVO nennt mehrere Grundsätze für die Verarbeitung personenbezogener Daten. Vertraulichkeit gehört mit dazu, ist aber nicht alles im Datenschutz. Geheimnisse wie zum Beispiel Geschäftsgeheimnisse müssen keinen Personenbezug haben; sie unterliegen dann nicht dem Datenschutz. Zudem müssen personenbezogene Daten nicht geheim sein, um geschützt zu werden. Auch dürfen personenbezogene Daten, die nicht geheim sind, nicht zweckentfremdet werden.
Frage: Sorgt die IT für Vertraulichkeit, ist auch der Datenschutz konform. Stimmt das?
- Nein, denn IT-Sicherheit und Datenschutz haben unterschiedliche Ziele. Die IT-Sicherheit schützt nicht automatisch personenbezogene Daten.
- Ja, IT-Sicherheit sorgt für die Vertraulichkeit, die der Datenschutz braucht.
Lösung: Die Antwort 1. ist richtig. IT-Sicherheit soll Systeme und Daten schützen, die für den IT-Betrieb wichtig oder die anderweitig geschäftsrelevant sind. Im Datenschutz steht im Fokus, die Vertraulichkeit personenbezogener und personenbeziehbarer Daten sicherzustellen. Es kann deshalb vorkommen, dass die IT-Sicherheit umfangreich Nutzerdaten analysiert, um Gefahren zu erkennen, während der Datenschutz versucht, den Personenbezug bei den Analysen bestmöglich zu vermeiden.