Datenschutz vs. Datensicherheit vs. Datensicherung – IT-Berufe-Podcast #157

26. Oktober 2020 00:39:25 6 Comments
Datenschutz vs. Datensicherheit vs. Datensicherung

Um den Unterschied zwischen Datenschutz, Datensicherheit und Datensicherung geht es in der einhundertsiebenundfünfzigsten Episode des IT-Berufe-Podcasts.

Podcast: Play in new window | Download (Duration: 39:25 — 18.1MB)

Abonnieren: Apple Podcasts | Spotify | RSS

Probeabo bei Audible (Affiliate)

Datenschutz vs. Datensicherheit vs. Datensicherung

In dieser Episode werden die drei Begriffe zunächst oberflächlich erläutert und abgegrenzt. Über jedes einzelne Thema kann man aber noch im Detail sprechen und Prüflinge müssen sich auch intensiv damit auseinandersetzen.

Die Begriffe klingen zwar sehr ähnlich, sind aber klar voneinander abzugrenzen und insb. in Prüfungen sauber auseinanderzuhalten. In der Novellierung der IT-Berufe im Jahr 2018 wurden die Begriffe Datenschutz und Datensicherheit explizit in den Ausbildungsrahmenplan mit aufgenommen. Und auch in der Neuordnung 2020 gehören sie zum festen Bestandteil der Berufsausbildung in den IT-Berufen.

Datenschutz

  • Datenschutz ist der Schutz personenbezogener Daten natürlicher Personen vor Missbrauch durch Dritte.
  • Personenbezogene Daten sind laut DSGVO „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person […] beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind“. Beispiele: Name, Adresse, IP-Adresse, Bankdaten, Gesundheitsdaten, Standortdaten.
  • Das Recht auf informationelle Selbstbestimmung sichert jedem Bürger das Recht zu, über die Verwendung seiner Daten selbst zu bestimmen.

Das sogenannte Recht auf informationelle Selbstbestimmung wurde vom Bundesverfassungsgericht im Volkszählungsurteil von 1983 aus dem Grundgesetz abgeleitet. Dort heißt es:

Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit, soweit er nicht die Rechte anderer verletzt und nicht gegen die verfassungsmäßige Ordnung oder das Sittengesetz verstößt. (Grundgesetz, Artikel 2, Satz 1)

Warum ist das wichtig? Menschen sollen in ihrer persönlichen Freiheit nicht eingeschränkt werden. Sie würden sich aber ggfs. anders verhalten, wenn anderen Menschen (zu) persönliche Daten über sie bekannt wären, wie z.B. Krankheiten oder sexuelle Vorlieben. Außerdem würden viele Menschen sich einschränken, wenn sie befürchten müssten, dass ihr Verhalten protokolliert würde.

Das Grundgesetz gewährleistet jeder Bürgerin und jedem Bürger das Recht, über Verwendung und Preisgabe seiner persönlichen Daten zu bestimmen (Grundrecht auf informationelle Selbstbestimmung). Geschützt werden also nicht Daten, sondern die Freiheit der Menschen, selbst zu entscheiden, wer was wann und bei welcher Gelegenheit über sie weiß. (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit)

Die EU formuliert es noch deutlicher:

Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten. (Grundrechtecharta der EU, Artikel 8, Satz 1)

Seit 2018 gilt die DSGVO, die europaweit strenge Richtlinien zum Datenschutz und auch empfindliche Strafen bei Verstößen definiert.

Prüfungs- und praxisrelevante Inhalte

  • Obige Definitionen, insb. personenbezogene Daten
  • Begründung und Verständnis, warum Datenschutz wichtig ist
  • Kernaussagen der DSGVO
    • Betroffenenrechte: Auskunftsrecht, Berichtigung, Löschung, Datenübertragbarkeit, Widerspruchsrecht
    • Pflichten von datenverarbeitenden Unternehmen, „goldene Regeln“ des Datenschutzes: Rechtmäßigkeit, Einwilligung, Zweckbindung, Erforderlichkeit, Transparenz, Datensicherheit, Kontrolle
  • ggfs. Berücksichtigung des Datenschutzes beim eigenen Abschlussprojekt

Datensicherheit

  • Datensicherheit umfasst alle technischen und organisatorischen Maßnahmen, die dem Schutz von Daten dienen. Dabei handelt es sich nicht nur um personenbezogene Daten. Die Datensicherheit verfolgt die grundlegenden Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit der Daten.
  • Vertraulichkeit der Daten bedeutet, dass nur befugte Personen auf die Daten zugreifen können.
  • Integrität soll die Unversehrtheit der Daten sicherstellen und insb. Manipulation verhindern bzw. vor technischen Defekten schützen.
  • Verfügbarkeit stellt sicher, dass die Daten auch wirklich verwendet werden können, wenn Bedarf besteht.

Bei der Datensicherheit geht es in erster Linie darum, technische Mängel und unerlaubten Zugriff Dritter auf die Daten zu verhindern. Hierzu gibt es eine Reihe technischer Maßnahmen wie z.B. Berechtigungskonzepte, Verschlüsselung und elektronische Signaturen, aber auch organisatorische, wie z.B. Gebäudesicherung oder Zutrittskontrollen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt das sogenannte IT-Grundschutz-Kompendium heraus, das in Deutschland quasi die „Bibel“ der Datensicherheit bzw. Informationssicherheit darstellt. Viele Unternehmen halten sich an die dortigen Vorgaben z.B. zur Komplexität von Passwörtern oder zu verwendenden Verschlüsselungs- oder Hashalgorithmen.

Abgrenzung zum Datenschutz: Datensicherheit umfasst mehr Daten (nicht nur personenbezogene). Datenschutz umfasst mehr Maßnahmen (nicht nur technische).

Prüfungs- und praxisrelevante Inhalte

  • Schutzziele: Vertraulichkeit, Integrität, Verfügbarkeit
  • Technische und organisatorische Maßnahmen (TOM): Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle, Trennung von Daten unterschiedlicher Zwecke
  • konkrete Bedrohungsszenarien und mögliche Gegenmaßnahmen, z.B. SQL-Injection, DDoS, Man-in-the-Middle, Trojaner, Viren, RAID, VPN, (a)symmetrische Verschlüsselung
  • Authentifizierung vs. Authorisierung
  • IT-Grundschutz des BSI
  • Zertifizierungen wie z.B. ISO 27001 und Systeme wie ISMS

Datensicherung

Datensicherung ist quasi das deutsche Wort für Backup und behandelt das Sichern und Wiederherstellen von Daten auf Sicherungsmedien wie Magnetbändern, externen Festplatten oder der Cloud. Es geht hierbei um den Schutz vor Datenverlust. Die Datensicherung ist daher ein Teil der Datensicherheit, der sich um das Schutzziel Verfügbarkeit kümmert.

  • Datenverlust kann durch technische Defekte (z.B. Erschütterung, Überspannung, Stromausfall) verursacht werden, aber auch durch böswillige Aktionen von Mitarbeitern oder externen Angreifern.
  • Bei der Datensicherung müssen geeignete Sicherungsmedien ausgewählt und sinnvolle Verfahren für die Identifikation schützenswerter Daten und die konkrete Sicherung inkl. Wiederherstellungsszenarien angewendet werden.
  • Dabei sind verschiedene Kriterien wie Sicherungs- und Wiederherstellungsdauer, Kosten und Langlebigkeit der Medien und zu sichernde Datenmengen zu berücksichtigen.
  • Bei der Bewertung der zu schützenden Daten müssen Kriterien wie ihr Wert für das Unternehmen bzw. den Besitzer, die Änderungshäufigkeit oder gesetzliche Anforderungen berücksichtigt werden.
  • Aber auch die Verschlüsselung der Daten kann nötig sein, wenn Medien extern aufbewahrt werden (z.B. in einer Bank), und auch die Kompression der Daten ist von Interesse, um Speicherplatz zu sparen.

Prüfungs- und praxisrelevante Inhalte

  • Backup-Medien wie Bänder, CDs, Cloud unterscheiden und auswählen
  • Backup-Arten: inkrementell/differentiell/Vollsicherung, Großvater/Vater/Sohn, hot/cold
  • Identifikation schützenswerter Daten: maschinell/manuell wiederherstellbar, unersetzlich
  • mögliche Gründe für Datenverluste und Gegenmaßnahmen

Literaturempfehlungen

Diese beiden „klassischen“ Romane passen gut zum Oberthema Datenschutz.

Links

Polyglot Clean Code Developer
About the Author
Ausbildungsleiter für Fachinformatiker Anwendungsentwicklung und Systemintegration, IHK-Prüfer und Hochschuldozent für Programmierung und Software-Engineering.

6 comments on “Datenschutz vs. Datensicherheit vs. Datensicherung – IT-Berufe-Podcast #157

  1. k.A. sagt:
    9. Februar 2021 um 10:52:19 Uhr

    Hinweis:
    DSGVO ist 2016 in Kraft getreten, ein häufiges Irrtum.

  2. k.A. sagt:
    9. Februar 2021 um 10:59:15 Uhr

    Ein weiterer Hinweis,

    EU-US Privacy Shield hat in der Datenschutzerklärung nichts verloren. Eine Übermittlung in die USA darf auf diese Grundlage nicht gestützt werden.

  3. Stefan Macke sagt:
    9. Februar 2021 um 21:19:09 Uhr

    Das hast du recht: EU-Datenschutzgrundverordnung I Datenschutz 2021.

  4. Stefan Macke sagt:
    9. Februar 2021 um 21:21:59 Uhr

    Das musste ich gerade selbst recherchieren: EU-US Privacy Shield (Datenschutzschild) | Datenschutz 2021

  5. Kimi Groot sagt:
    3. Mai 2021 um 21:49:29 Uhr

    Hi Stefan,

    laut c´t war das Register in Amsterdam https://www.heise.de/ct/ausgabe/2015-17-Editorial-Nichts-zu-verbergen-2755486.html

    Vielen Dank für alle Podcasts, ich höre die immer wieder!

    Kimi

  6. Stefan Macke sagt:
    4. Mai 2021 um 20:53:01 Uhr

    Hallo Kimi, super, danke für die Ergänzung!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

To create code blocks or other preformatted text, indent by four spaces:

    This will be displayed in a monospaced font. The first four 
    spaces will be stripped off, but all other whitespace
    will be preserved.
    
    Markdown is turned off in code blocks:
     [This is not a link](http://example.com)

To create not a block, but an inline code span, use backticks: 

Here is some inline `code`.

For more help see http://daringfireball.net/projects/markdown/syntax

Wer schreibt hier?

Stefan Macke

Mein Name ist Stefan Macke.

Ich bin Ausbilder und IHK-Prüfer für Anwendungsentwickler und gebe auf dieser Seite mein Wissen rund um die Ausbildung in den IT-Berufen weiter.

* = Affiliate-Link (siehe Werbung auf dieser Seite).

Newsletter

IT-Berufe-Newsletter

Mit meinem IT-Berufe-Newsletter möchte ich dich individuell bei deiner Ausbildung mit meinen E-Mails begleiten. Egal in welchem Ausbildungsjahr du bist oder ob du sogar selbst schon Azubis ausbildest: Ich schicke dir über das Jahr verteilt die jeweils passenden Themen zu deinem aktuellen Ausbildungsstand!

Als Dankeschön bekommst du meine Checklisten für Projektantrag, Projektdokumentation und Projektpräsentation mit über 100 Punkten zur Prüfung auf mögliche Fehler.

Jetzt anmelden!

Der Newsletter enthält Informationen zu meinen Produkten, Angeboten und Aktionen. Hinweise zum Datenschutz, Widerruf, Protokollierung sowie der von der Einwilligung umfassten Erfolgsmessung, bekommst du in meiner Datenschutzerklärung.

Produkte

Vorlage für die Projektdokumentation der IT-Berufe (Microsoft Word und LibreOffice)

Das perfekte Fachgespräch

Das perfekte Fachgespräch

Literaturempfehlungen

Literaturempfehlungen für die IT-Berufe
Egal in welcher Phase deiner Ausbildung du dich befindest, hier findest du passende Empfehlungen für gute Bücher, die dir weiterhelfen.

Unterstütze diese Seite

Amazon-Wunschzettel von Stefan Macke

Spende mir einen Betrag deiner Wahl per PayPal

Werbung