Datenschutz und Informationssicherheit als zwei Seiten einer Medaille

Datenschutz ist ohne gute Informationssicherheit nicht möglich. Das Scharnier beider Seiten der Medaille sind die Technisch-Organisatorischen Maßnahmen (TOM). Diese zahlen sowohl als Privacy by Design als auch als Privacy by Default ein. Weitere Parallelen in beiden Sphären sind Risiken, Speicherung und Governance. Risiken werden bei der Informationssicherheit im Risikomanagement und im Datenschutz in der Datenschutz-Folgenabschätzung (DSFA) behandelt, Informationen unterliegen Aufbewahrungsfristen. Sind Informationen allerdings gleichzeitig personenbezogene Daten, so unterliegen sie Löschfristen – zusammen bilden sie einen zumeist unauflösbaren Widerspruch.

Beide Seiten müssen eine Mindest-Governance zu ihrer Behandlung einführen: Kontrollfunktion (ISB respektive DSB), Priorisierung durch das Management, ausreichende Ressourcenausstattung in Personal, Technik und Zeit. Es liegt daher nahe, beide Themen in Managementsystemen zu organisieren: Informationssicherheits- und Datenschutz-Managementsystem (ISMS und DSMS). Ein ISMS sollte gemäß ISO-27001 Standard aufgebaut werden, ein DSMS gerade nicht gemäß ISO-27701 Standard. Bei Datenschutz empfiehlt sich der geradlinige Ansatz gemäß der DSGVO. Beide Sphären bleiben in Bewegung und bieten Raum für neue überraschende Lösungen.