Blog - Dinotronic

Datenschutz vs. Informationssicherheit: Zwei Seiten einer Medaille?

Geschrieben von Michael Freuler | Apr 17, 2023 5:30:00 AM

Datenschutz vs. Informationssicherheit – Fragen Sie sich jetzt, warum wir das gegeneinander stellen? Häufig werden diese Begriffe synonym verwendet, doch tatsächlich gibt es feine Unterschiede. In diesem Beitrag wollen wir Ihnen diese Konflikte aber auch die gemeinsamen Schwerpunkte näher bringen und erklären, warum Datenschutz und Informationssicherheit so relevant für grosse aber vor allem auch kleine und mittelständische Unternehmen sind.

Datenschutz und Informationssicherheit – die Grundlagen

Datenschutz bezieht sich auf den Schutz von personenbezogenen Daten, um sicherzustellen, dass diese nur für den vorgesehenen Zweck verwendet werden und vor Missbrauch oder unbefugtem Zugriff geschützt sind. Es ist somit eine wichtige Voraussetzung für den Schutz der Privatsphäre und der Persönlichkeitsrechte von Individuen und gewährleistet das Recht auf Selbstbestimmung. 

Informationssicherheit schützt Informationen im Allgemeinen, einschliesslich personenbezogener Daten, um sicherzustellen, dass Sie vor Bedrohungen wie Hacking, Malware, Phishing und anderen Angriffen auf IT-Systeme gesichert sind. Ziel ist es, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten, um Geschäftsprozesse und -entscheidungen zu unterstützen und das Risiko von Datenverlust oder -beschädigung zu minimieren.

Wo liegen die Gemeinsamkeiten und Unterschiede?

Datenschutz und Informationssicherheit überschneiden sich oft, was eine klare Abgrenzung schwierig macht. Der Datenschutz konzentriert sich auf den Schutz personenbezogener Daten und die Vertraulichkeit dieser Daten, während die Informationssicherheit darauf abzielt, alle Daten und Systeme im Unternehmen vor unbefugtem Zugriff, Manipulation oder Verlust zu schützen. Dies führt manchmal zu Konflikten zwischen beiden Konzepten, insbesondere bei personenbezogenen Daten. Organisationen müssen nicht nur gesetzliche Anforderungen erfüllen, sondern auch ihre Daten vor Wettbewerbern schützen. Daher müssen sie eine individuelle Strategie für den Schutz ihrer Daten entwickeln. Trotz dieser Unterschiede haben beide Konzepte das Ziel, sicherzustellen, dass Daten vor Missbrauch oder unbefugtem Zugriff sicher sind.

Relevanz für KMUs und Kunden in der Schweiz

In der heutigen digitalen Welt sind Datenschutz und Informationssicherheit für alle Organisationen von grosser Bedeutung. Insbesondere in einer Zeit, in der Cyberattacken auf Firmen in der Schweiz immer mehr zunehmen. Vor allem für KMUs, die oft über begrenzte Ressourcen verfügen, sind solche Angriffe eine erhebliche Bedrohung. Daher ist es für Schweizer Unternehmen unerlässlich, geeignete Massnahmen zum Schutz ihrer Daten und Systeme zu ergreifen, um das Vertrauen ihrer Kunden und Geschäftspartner zu stärken und die Gefahr von Cyberattacken zu minimieren.
 
Eine Möglichkeit für KMUs, ihre Informationssicherheit zu verbessern und ihre Kompetenz im Umgang mit Datenschutzthemen zu demonstrieren, ist die Erlangung einer ISO 27001-Zertifizierung. Diese Zertifizierung bescheinigt, dass das Unternehmen die internationalen Standards für Informationssicherheitsmanagement erfüllt und geeignete Massnahmen zum Schutz seiner Daten und Systeme umsetzt. Eine ISO 27001-Zertifizierung kann dazu beitragen, das Vertrauen von Kunden und Geschäftspartnern zu stärken und die Gefährdung durch Cyber Attacken zu reduzieren.
 
Bestmögliche Datenschutz- und Informationssicherheit zeichnet sich durch eine Kombination aus intelligenten und modernen Technologien sowie klar strukturierten Prozessen und einer guten Vorbereitung aus. Als Unternehmen muss man sich der Bedrohungslage möglicher Angriffe bewusst sein und darauf vorbereiten, um gezielt und schnell einzugreifen. Dies gelingt am besten mit einem klaren, eingespielten Notfallkonzept für Cyber Attacken. Wie ein solches Konzept aussehen kann, erklären wir Ihnen in diesem Blogbeitrag.

Die Herausforderungen

Im Bereich Datenschutz und Informationssicherheit gibt es zahlreiche Herausforderungen, insbesondere im Hinblick auf Cyberangriffe. Es gibt viele verschiedene Arten von Angriffen, die gefährlich werden können. Die 6 grössten Cyber-Risiken für Schweizer KMU sind:

  1. Risikofaktor Mensch und Social Engineering 

  2. Phishing und Malvertising auf sozialen Medien 

  3. Malware und Ransomware

  4. Lücken in der Endpunktsicherheit 

  5. Lücken in der Cloud Security 

  6. Zero Day Exploits 

Wer trägt die Verantwortung und wer haftet?

In Organisationen gibt es in der Regel zwei Stellen, die für Datenschutz und Informationssicherheit verantwortlich sind: der Chief Information Security Officer (CISO) oder Informationssicherheitsbeauftragte (ISB) und der Datenschutzbeauftragte. Der CISO/ISB kümmert sich um die Datensicherheit im Unternehmen und setzt technische und organisatorische Massnahmen um. Der Datenschutzbeauftragte überwacht die Einhaltung der Datenschutzvorschriften, berät das Business und fungiert als Ansprechpartner für Behörden und betroffene Personen.

Ein Vergleich der beiden Verantwortlichen mit Ihren jeweiligen Aufgabenbereichen lässt sich in folgender Tabelle darstellen:

Aufgabe/Verantwortlichkeit  CISO/ISB Datenschutz-beauftragter
Entwickeln und Implementieren von Sicherheits- und Datenschutzrichtlinien
Durchführen von Risikoanalysen und Sicherheits- und Datenschutz-Audits
Überwachung von Sicherheits- und Datenschutzverletzungen
Schulung von Mitarbeitenden zu Sicherheits- und Datenschutzrichtlinien
Identifizieren und Beheben von Sicherheits- und Datenschutzproblemen
Einhaltung von regulatorischen Anforderungen (z.B. DSGVO)
Berichterstattung an die Geschäftsleitung über Sicherheits- und Datenschutzbedrohungen
Durchführung von technischen Sicherheits- und Datenschutzmassnahmen (z.B. Firewalls, Verschlüsselung)  
Beratung von Geschäftseinheiten bei der Umsetzung von Sicherheits- und Datenschutzmassnahmen  
Ansprechperson für externe Sicherheits- und Datenschutzfragen (z.B. Kunden, Behörden)  
Überwachung von IT-Systemen auf Sicherheitsbedrohungen  
 

Die Haftung wird in Artikel 55 des Bundesgesetzes über die Änderung des Schweizerischen Zivilgesetzbuches (Fünfter Teil: Obligationenrecht; OR; SR 220) geregelt. Bei einer Verletzung des Datenschutzgesetzes (DSG) können der Geschäftsführer und der Verwaltungsrat persönlich haftbar gemacht werden, wobei die Haftung auf CHF 250'000 beschränkt ist. Der Verwaltungsrat trägt bei allen von ihm zu treffenden Entscheiden die Verantwortung für die Einhaltung des Datenschutzgesetzes und alle an der Datenbearbeitung beteiligten Personen sind auf ihre datenschutzrechtlichen Pflichten hinzuweisen. Für Unternehmen, die nicht dem Bundesgesetz über den Datenschutz unterstehen, finden sich spezifische Haftungsregelungen in den kantonalen Datenschutzgesetzen.

nDSG, DSGVO und ISG: Gesetzliche Anforderungen und Rahmenbedingungen

In der heutigen digitalen Welt sind Unternehmen mit einer Fülle von gesetzlichen Anforderungen und Rahmenbedingungen konfrontiert, die den Umgang mit personenbezogenen Daten und die Informationssicherheit betreffen. Zwei wichtige Gesetze in diesem Bereich sind das revidierte Schweizer Datenschutzgesetz (nDSG) und die EU-Datenschutz-Grundverordnung (DSGVO). Diese definieren die Regeln für die Verarbeitung personenbezogener Daten und stellen sicher, dass Organisationen Massnahmen ergreifen, um die Vertraulichkeit, Integrität und Verfügbarkeit von Daten zu gewährleisten.
 
Darüber hinaus gibt es auch das Informationssicherheitsgesetz (ISG), welches Unternehmen dazu verpflichtet, ein angemessenes Informationssicherheits-Management-System (ISMS) zu implementieren, um die Risiken zu minimieren. Als KMU in der Schweiz müssen sie sicherstellen, dass sie alle Anforderungen dieser Gesetze erfüllen, um das Vertrauen ihrer Kunden und Partner zu erhalten und mögliche Geldstrafen oder rechtliche Konsequenzen zu vermeiden.
 
Es ist wichtig zu beachten, dass die Einhaltung nicht nur eine gesetzliche Verpflichtung ist, sondern auch ein wichtiger Bestandteil einer guten Geschäftspraxis. Durch die Umsetzung angemessener Datenschutz- und Informationssicherheitsmassnahmen können Unternehmen ihre Reputation stärken, das Vertrauen der Kunden und Partner gewinnen und somit langfristig erfolgreich sein.

Best Practices für KMU

Es gibt verschiedene Best Practices und Lösungsansätze, die Unternehmen in der Schweiz bei der Handhabung von Datenschutz und Informationssicherheit unterstützen können. Eine Möglichkeit ist die Einführung eines Information Security Management Systems (ISMS) nach dem international anerkannten Standard ISO/IEC 27001 (siehe Absatz «Relevanz für KMUs und Kunden in der Schweiz»). Eine weitere Möglichkeit ist die Schulung der Mitarbeitenden im Umgang mit sensiblen Daten, Tools und der IT Infrastruktur als solche. Viele KMU nutzen die vielfältigen Möglichkeiten der Microsoft Produktpalette, doch muss auch beachtet werden, wie es sich mit Microsoft und Datenschutz verhält. Mehr dazu, wie sicher MS Teams ist, lesen Sie in diesem Blogbeitrag. Auch die regelmässige Durchführung von Sicherheitsaudits und Schwachstellenanalysen kann helfen, Risiken frühzeitig zu erkennen und zu minimieren. Cyber Security muss im Fokus stehen, um eine ganzheitliche Informationssicherheit zu gewährleisten.

Unterschiedlicher Fokus in der Praxis

Wir bei Dinotronic unterstützen KMU aus diversen Branchen in ihrem Datenschutz und der Informationssicherheit. In unseren zahlreichen Referenzen berichten Kunden von ihren Herausforderungen. So ist es beispielsweise für unseren Kunden Swiss Marketing besonders wichtig gewesen, trotz Einsatz der Public Cloud einen hochwertigen Schutz zu erhalten und die Identitäten sowie sehr sensiblen Daten zu sichern. Doch nicht nur für Marketingfachleute ist dies relevant. Haben Sie beispielsweise einen Webshop, so müssen Sie sowohl die Informationssicherheit als auch den Datenschutz einhalten, um ein sicheres und vertrauenswürdiges Einkaufserlebnis für Ihre Kunden zu gewährleisten. Als Betreiber müssen Sie sorgfältig mit den personenbezogenen Daten umgehen – Ihre Kundschaft erwartet nicht weniger von Ihnen. Diese Daten müssen demnach vor unbefugtem Zugriff und Missbrauch geschützt sein und die Vorschriften des Datenschutzes einhalten. Dies beinhaltet beispielsweise die Implementierung von Verschlüsselungs- und Sicherheitsmassnahmen sowie die Einhaltung von Transparenz- und Informationspflichten gegenüber den Kunden. 

Fazit: Schützen Sie Ihre Daten vollumfänglich

Daten sind heutzutage das wertvollste Gut eines Unternehmens, deshalb sind Datenschutz und Informationssicherheit unerlässlich. Die Umsetzung der gesetzlichen Anforderungen kann eine Herausforderung sein, aber mit Best Practices und professioneller Beratung kann jedes Unternehmen seine digitale Zukunft sicher gestalten. Lassen Sie uns Ihnen dabei helfen! 

Mit unseren Managed Services kümmern wir uns um Ihre gesamte IT-Infrastruktur, damit Sie sich auf das Wesentliche konzentrieren können: Ihr Kerngeschäft. Wir übernehmen für Sie das Servermanagement, die Datensicherung und -wiederherstellung sowie das Einspielen von Patches und Updates. Darüber hinaus überwachen wir Ihr Netzwerk rund um die Uhr auf ungewöhnliche Aktivitäten oder Performance-Probleme. So stellen wir sicher, dass Ihre IT stets höchsten Sicherheitsstandards entspricht, und können bei Bedarf sofort proaktiv eingreifen.

Kontaktieren Sie uns jetzt für eine kostenlose und professionelle Beratung.
Vollständigen Beitrag anzeigen