Was das IT-Sicherheitsgesetz für den Datenschutz bedeutet

Das neue IT-Sicherheitsgesetz soll die Datensicherheit erhöhen, es muss aber in Verbindung mit den Datenschutzgesetzen gesehen und beachtet werden.

Dieser Artikel behandelt

Datenschutz

„IT-Sicherheitsgesetz macht Datenschutz zur Firmenpflicht“, solche Schlagzeilen finden Unternehmen in der aktuellen Berichterstattung, nachdem die Bundesregierung das IT-Sicherheitsgesetz im Dezember 2014 beschlossen hat. 

Unternehmen könnten nun einerseits vermuten, Datenschutz sei vorher keine betriebliche Pflicht gewesen. Dem ist natürlich nicht so. Sowohl das Bundesdatenschutzgesetz (BDSG), die bestehende EU-Datenschutzrichtlinie als auch die Landesgesetze zum Datenschutz stellen Verpflichtungen zum Datenschutz für deutsche Unternehmen dar. Die geplante EU-Datenschutz-Grundverordnung soll zu weiteren Vorgaben für Unternehmen führen.

Andererseits ist das Bild von Datenschutz zu kurz gegriffen, wenn IT-Sicherheit im Sinne des IT-Sicherheitsgesetzes mit Datenschutz gleichgesetzt wird. Es lohnt sich also, einen genauen Blick auf das IT-Sicherheitsgesetz und dessen Verhältnis zum Datenschutz zu werfen, um den richtigen Blick auf das so wichtige Thema Datenschutz zu bekommen.

Datenschutz erfordert sichere Infrastrukturen

Zuerst einmal bleibt festzuhalten, dass in der Wirtschaft nicht alle Unternehmen, sondern nur bestimmte Gruppen von dem IT-Sicherheitsgesetz erfasst sind: Genehmigungsinhaber nach dem Atomgesetz, Betreiber von Energieversorgungsnetzen und Energieanlagen, bestimmte Telekommunikationsanbieter, sonstige Betreiber kritischer Infrastrukturen sowie bestimmte Telemedien-Diensteanbieter.

Der Datenschutz erfordert mehr, als in dem IT-Sicherheits-gesetz verlangt wird.

Laut Schätzungen der Bundesregierung wird zum Beispiel die Zahl der meldepflichtigen Betreiber kritischer Infrastrukturen bei maximal 2.000 Betreibern liegen.

Trotzdem können die vom IT-Sicherheitsgesetz vorgesehenen Maßnahmen positive Auswirkungen auf den Datenschutz generell haben. Für den technischen Datenschutz sind sichere Infrastrukturen von grundlegender Bedeutung. 

Wenn also nach IT-Sicherheitsgesetz Betreiber kritischer Infrastrukturen die Einhaltung eines Mindestniveaus an IT-Sicherheit, den Nachweis der Erfüllung durch Sicherheitsaudits, die Einrichtung und Aufrechterhaltung von Verfahren für die Meldung erheblicher IT-Sicherheitsvorfälle an das BSI sowie das Betreiben einer Kontaktstelle auferlegt bekommen, so bietet dies die Möglichkeit, das Niveau der Datensicherheit an entscheidender Stelle zu optimieren.

Wenn zum Beispiel Energieversorger eine unzureichende IT-Sicherheit aufweisen und dadurch Angreifern die Unterbrechung einer zuverlässigen Stromversorgung möglich wird, greifen viele Datensicherheitsmaßnahmen in Unternehmen nicht mehr oder nur noch für eine gewisse Zeit, bis die vorgehaltenen Energiereserven verbraucht sind.

Datenschutz benötigt sichere IT-Produkte

Ein weiterer, positiver Effekt für den Datenschutz durch das IT-Sicherheitsgesetz ist die vorgesehene Befugnis des BSI (Bundesamt für Sicherheit in der Informationstechnik), auf dem Markt befindliche IT-Produkte und IT-Systeme im Hinblick auf ihre IT-Sicherheit zu prüfen, zu bewerten und die Ergebnisse bei Bedarf zu veröffentlichen.

Die steigende Transparenz hinsichtlich der Datensicherheit von IT-Lösungen kann den Anwenderunternehmen nachhaltig helfen, Lösungen mit bekannten Sicherheitslücken nicht einzusetzen beziehungsweise speziell solche Lösungen anzuschaffen, die ihre IT-Sicherheit nachweisen konnten.

Für den Datenschutz wichtig ist es allerdings, bei der Lösungssuche zusätzlich auch auf Datenschutzkriterien zu achten, also auch Datenschutzprinzipien wie Datensparsamkeit einzufordern, im Sinne von Privacy by Design in IT-Lösungen.

Datenschutz geht nicht ohne IT-Notfallmanagement

Mehr als hilfreich für den Datenschutz sind auch die Meldepflichten bei erkannten IT-Sicherheitsvorfällen. So sollen im IT-Sicherheitsgesetz Telekommunikations-Unternehmen unter anderem dazu verpflichtet werden, ihre Kunden zu warnen, wenn ihnen auffällt, dass der Anschluss des Kunden für Angriffe missbraucht wird. Nur durch umgehende Warnungen bei IT-Sicherheitsvorfällen können die Maßnahmen ergriffen werden, die ein IT-Notfallmanagement vorsieht, das zu den wesentlichen Datenschutzmaßnahmen dazu gehört.

Datenschutz bedeutet aber mehr als IT-Sicherheit

Trotz der genannten positiven Auswirkungen des IT-Sicherheitsgesetzes auf den Datenschutz gibt es zahlreiche Kritikpunkte seitens Branchenverbänden wie eco, aber auch von Aufsichtsbehörden für den Datenschutz. Bereits dieser Punkt, dass Datenschützer Nachbesserungen an dem IT-Sicherheitsgesetz gefordert haben, macht deutlich, dass Datenschutz mehr erfordert, als in dem IT-Sicherheitsgesetz verlangt wird.

Ein zentraler Punkt des Datenschutzes ist, dass zum Beispiel Nutzer von IT-Systemen nicht einem generellen Monitoring unterliegen, sondern dass einzelne Nutzer nur im Rahmen von Stichproben oder bei konkretem Verdacht genauer beobachtet werden. 

So schlägt das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) unter anderem vor, für die zu IT-Sicherungsmaßnahmen notwendige personenbezogene Datenverarbeitung hinreichend bestimmte und verhältnismäßige, rechtliche Voraussetzungen (Befugnisgrundlagen) zu schaffen. 

Zudem wird betont, dass es zu den weit verbreiteten Irrtümern gehört, dass IT-Sicherheit den Schutz des Rechts auf informationelle Selbstbestimmung vollständig mit abdecke. Deshalb sollte das IT-Sicherheitsgesetz immer in Verbindung mit den Datenschutzgesetzen betrachtet werden, um die Pflicht zum Datenschutz wirklich umzusetzen. 

Das gilt für alle Betriebe, die vom IT-Sicherheitsgesetz erfasst sind. Aber auch Unternehmen, die nicht von dem IT-Sicherheitsgesetz betroffen sein werden, sollten ihre Sicht auf den Datenschutz prüfen, der mehr ist als IT-Sicherheit.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Januar 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Datenschutz und Datensicherheit

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close