Datensicherheit
Allgemein versteht man unter Datensicherheit die Vertraulichkeit (nur autorisierte Benutzer haben Zugang zu übertragenen und gespeicherten Daten), die Integrität (Schutz vor beabsichtigten oder unbeabsichtigten Veränderungen), die Verfügbarkeit (Gewährleistung des ständigen Zugriffs auf die Daten) und die Kontrollierbarkeit (Prüfung der Maßnahmen durch Protokollierung). Datensicherheit hat also zum Ziel, beliebige Daten vor Schäden wie Manipulation und Nicht-Verfügbarkeit schützen. Hierzu zählen unter anderem Aspekte wie die pysische Sicherheit, der Schutz vor Fremdzugriffen, der Schutz vor internen Zugriffen, die Verschlüsselung der Kommunikation, die Datensicherung wie auch Updates und Patches.
Im Unterschied zum Datenschutz befasst sich die Datensicherheit mit dem Schutz von Daten, unabhängig davon ob diese einen Personenbezug aufweisen oder nicht. Unter den Begriff Datensicherheit fallen daher grundsätzlich auch Daten, die keinen Personenbezug haben (also auch geheime Konstruktionspläne) sowohl digital als auch auch analog (z.B. auf Papier).
Datensicherheit soll Sicherheitsrisiken begegnen und die Daten vor z.B. Manipulation, Verlust oder unberechtigter Kenntnisnahme schützen. Hier geht es also nicht um die Frage, ob Daten überhaupt erhoben und verarbeitet werden dürfen (das ist eine Frage des Datenschutzes), sondern um die Frage, welche Maßnahmen zum Schutz der Daten erhoben werden müssen. Die Datensicherheit ist im Kontext des Datenschutzes gemäß § 9 BDSG (inkl. Anlage) durch Umsetzung geeigneter technischer und organisatorischer Maßnahmen zu gewährleisten.
Sicherheitsmaßnahmen
Sicherheitsmaßnahmen können beispielsweise durch Verschlüsselungs- bzw. Kryptographieverfahren, Firewalls, Virenscanner, Backups oder Protokollierung getroffen werden.
Informationssicherheit
Weiterhin gibt es den Begriff der Informationssicherheit, der vor allem in den IT-Grundschutzkatalogen des BSI oder in der ISO 27001 zu finden ist und den Schutz von Informationen als Ziel hat. Dabei ist hier ebenfalls unerheblich, ob es sich um digitale oder analoge Informationen handelt und ob diese einen Personenbezug haben. Teilweise wird die Datensicherheit als ein Teil der Informationssicherheit angesehen, da Letzteres umfassender ist.
IT-Sicherheit
Auch die IT-Sicherheit ist ein Teil der Informationssicherheit und bezieht sich auf elektronisch gespeicherte Informationen und IT-Systeme. Dabei wird unter IT-Sicherheit nicht nur der Schutz der technischen Verarbeitung von Informationen verstanden. Vielmehr fällt auch die Funktionssicherheit darunter, also das fehlerfreie Funktionieren und die Zuverlässigkeit der IT-Systeme.
Verpflichtung auf das Datengeheimnis
Nach § 5 BDSG müssen die bei der Datenverarbeitung beschäftigten Personen auf das sog. Datengeheimnis verpflichtet werden. Diese Verpflichtung ist neben der Beachtung von Geschäfts- und Unternehmensgeheimnissen zu befolgen und bezieht sich auf das gesetzliche Verbot des unbefugten Umgangs mit personenbezogenen Daten.
Worum geht es bei der Verpflichtung auf das Datengeheimnis?
In der täglichen Beratungspraxis findet sich häufig ein Missverständnis über die notwendige Verpflichtung auf das Datengeheimnis. Viele Unternehmen sind der Auffassung, dass die Vertraulichkeitsklauseln in Arbeitsverträgen auch die Verpflichtung auf das Datengeheimnis nach § 5 BDSG abdecken oder kennen diese Vorschrift nicht.
Die gesetzliche Regelung des § 5 BDSG lautet:
Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Diese Personen sind, soweit sie bei nicht-öffentlichen Stellen beschäftigt werden, bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort.
Es geht also bei der Verpflichtung auf das Datengeheimnis nicht um die Wahrung von Firmengeheimnissen, sondern um die Verpflichtung jedes einzelnen Beschäftigten zur Beachtung des gesetzlichen Verbots unbefugter Datenerhebung und -verwendung. Personenbezogene Daten umfassen in Unternehmen dabei regelmäßig Mitarbeiter, Kunden- oder auch Lieferantendaten. Amts- oder Berufsgeheimnisse oder die typischen Vertraulichkeitsklauseln in Arbeitsverträgen ergänzen die Regelung des § 5 BDSG, der selbst einen Mindeststandard für den Geheimnisschutz darstellt. Die Verpflichtungserklärung hat die Aufklärung der Arbeitnehmer und die Vermeidung einer unbefugten Datenverarbeitung zum Ziel.
Wer muss auf das Datengeheimnis verpflichtet werden?
Grundsätzlich muss jede mit der Datenverarbeitung beschäftigte Person auf das Datengeheimnis verpflichtet werden. Dafür hat die verantwortliche Stelle, also i.d.R. das Unternehmen, Sorge zu tragen. Der Kreis der auf das Datengeheimnis zu verpflichtenden Personen ist auf Grund der Bedeutung dieser Vorschrift weit auszulegen. Zum Beispiel sind auch Auszubildende, Aushilfen, Praktikanten und sogar freie Mitarbeiter mit einzubeziehen. Die Verpflichtung auf das Datengeheimnis gilt dabei nicht nur für die Dauer des Beschäftigungsverhältnisses, sondern auch darüber hinaus. Bei Systemadministratoren gibt es eine besondere Verpflichtung nach § 88 TKG.
In welcher Form erfolgt die Verpflichtung?
Aus Nachweisgründen, etwa gegenüber Aufsichtsbehörden, ist es wichtig, die Verpflichtung auf das Datengeheimnis von dem Verpflichteten schriftlich bestätigen zu lassen. Wenn die Verpflichtung auf das Datengeheimnis nicht oder nur unzureichend erfolgt ist, kann dies u.U. straf- oder zivilrechtliche Sanktionen sowohl für den Mitarbeiter als auch für den Arbeitgeber zur Folge haben.
Quelle: https://www.datenschutzbeauftragter-info.de/