Die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit sind wohl aktuell noch wichtiger denn je. Diese geben nicht nur Aufschluss darüber, wie weit ein System Informationssicherheit erreicht hat, sonder indem Systeme und damit auch Daten diese Schutzziele erfüllen, besteht ein entsprechender Schutz gegen Angriffe und Einwirkung von außen. Auch der Datenschutz fordert Vertraulichkeit.
Klare Bedeutung
Viele Aspekte und so manche Person in unserem Umfeld hat oder erlangt eine hohe Vertraulichkeit für uns. Aber auch bei einer Vielzahl von Fachausdrücken, welchen wir heute begegnen, sollte dieses ein wesentlicher Bestandteil sein. Aber es besteht ein Risiko, wenn dieses zu Missverständnissen und Fehlern führt, weil die genaue Bedeutung des an sich bekannten Begriffs im jeweiligen speziellen Umfeld unklar ist. Daher sind gerade bei Datenschutzunterweisung auch scheinbar gut bekannte Begriffe verständlich zu erläutern. Vertraulichkeit geht oft mit Diskretion einher und die Zusicherung, dass etwa ein Gespräch „unter uns bleibt“, ist dann die Basis für den mitgeteilten Inhalt. Als organisatorische Maßnahmen ist ein solcher Gesprächskreis daher eher klein zu halten, der Ort geschützt vor Dritten zu wählen und die Lautstärke des Gesprächs anzupassen. Zudem sind die Teilnehmer:innen an die Vertraulichkeit erinnert oder auf diese verpflichtet.
Technische Vertraulichkeit
Für die technische Vertraulichkeit sind neben den organisatorischen Maßnahmen technische Vorkehrungen nötig, wie zum Beispiel die Verschlüsselung. Diese muss natürlich dem Stand der Technik entsprechen. Denn was heute als sichere Verschlüsselung und damit zuverlässige Schutzmaßnahme für die Vertraulichkeit gilt, kann in bald schon als unsicher gelten. Denn bereits 2030 könnten Quantencomputer in der Lage sein, heute bestehende Verschlüsselungsmechanismen zu brechen, so das BSI (Bundesamt für Sicherheit in der Informationstechnik). Dann sind vertrauliche Informationen in Unternehmen, Organisationen und Behörden gefährdet. Aus diesem Grund ist es aus Sicht des BSI wichtig, schon jetzt sensible Daten quantensicher zu verschlüsseln. Das BSI hat ein technisches Positionspapier zur sogenannten Quantum Key Distribution (QKD) veröffentlicht.
Datenschutzbeauftragte
Datenschutzbeauftragte müssen deutlich machen, was genau mit Vertraulichkeit im Kontext Datenschutz gemeint ist. Denn die Datenschutz-Grundverordnung (DSGVO) kennt in diesem Zusammenhang mehrere technisch und organisatorisch Forderungen. Zum einen haben Verantwortliche und Auftragsverarbeiter personenbezogene Daten in einer Weise zu verarbeiten, die durch geeignete technische und organisatorische Maßnahmen eine angemessene Sicherheit der personenbezogenen Daten gewährleistet.
Dazu gehört der Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung („Integrität und Vertraulichkeit“). Daneben besteht die Forderung, dass Auftragsverarbeiter per Vertrag gewährleisten, dass sich die Personen, die zur Verarbeitung der personenbezogenen Daten befugt sind, zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
Zudem sind Datenschutzbeauftragte nach dem Recht der Union oder der Mitgliedstaaten bei der Erfüllung der Aufgaben daran gebunden, die Geheimhaltung oder die Vertraulichkeit zu wahren.
Die DSGVO nutzt den Begriff Vertraulichkeit in verschiedenen Zusammenhängen, gemeint ist aber immer das gleiche. Denn unbefugte Dritte dürfen keinen Zugang zu den Informationen erhalten, die als vertraulich eingestuft sind. Dabei können auch Informationen vertraulich sein, die keinen direkten Bezug zu Personen haben. Um Vertraulichkeit zu erreichen, sind verschiedene Maßnahmen notwendig.
IT-Sicherheit und Datenschutz
Datenschutz und IT-Sicherheit sind im Bezug auf die Vertraulichkeit nicht identisch. Beim Datenschutz handelt es sich um die Sicherheit der Verarbeitung und die IT-Sicherheit nennt die Vertraulichkeit als eines der drei Schutzziele. Da der Datenschutz sieht den Schutz personenbezogener Daten vor und die IT-Sicherheit jedoch den Schutzbedarf der Daten. Macht dieses aber nicht nur am Personenbezug oder an der Personenbeziehbarkeit fest. Dabei haben personenbezogene Daten für die IT-Sicherheit erst einmal keine Sonderstellung, für den Datenschutz sind personenbezogene Daten hingegen der Gegenstand und somit das wesentliche Schutzobjekt.
Also lassen Sie sich gut beraten.