Datenschutz und Informationssicherheit werden in der Praxis oft verwechselt oder gar gleichgesetzt. Dabei besteht zwischen beiden Begriffen ein klarer, aber enger Zusammenhang: Datenschutz ist eine Teilmenge der Informationssicherheit.
Warum das so ist, lässt sich rechtlich wie auch organisatorisch präzise begründen.

1. Informationssicherheit als übergeordneter Rahmen

Informationssicherheit umfasst sämtliche Maßnahmen, die dazu dienen, Informationen in jeglicher Form zu schützen – unabhängig davon, ob sie personenbezogen sind oder nicht. Ziel ist es, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sicherzustellen.
Diese sogenannten Schutzziele der Informationssicherheit sind in internationalen Normen wie der ISO/IEC 27001 und den BSI-Standards 200-1 ff. definiert. Sie gelten für alle Arten von Daten – von Konstruktionsplänen über Quellcodes bis hin zu Kundendaten.

Ein Unternehmen, das Informationssicherheit ernst nimmt, betreibt also ein umfassendes Schutzmanagement für seine gesamte Daten- und Systemlandschaft. Dazu zählen technische, organisatorische und prozessuale Maßnahmen wie Zugriffsbeschränkungen, Netzwerksicherheit, Verschlüsselung, Notfallmanagement und Sensibilisierung der Mitarbeiter.

2. Datenschutz als spezieller Anwendungsfall

Der Datenschutz hingegen bezieht sich ausschließlich auf personenbezogene Daten, also auf Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO).
Sein Ziel ist es, die Grundrechte und Grundfreiheiten natürlicher Personen zu schützen, insbesondere das Recht auf informationelle Selbstbestimmung (Art. 1 Abs. 1 i.V.m. Art. 2 Abs. 1 GG, Art. 8 EU-Grundrechtecharta).

Damit greift der Datenschutz dort, wo personenbezogene Daten betroffen sind. Er setzt voraus, dass grundlegende Prinzipien eingehalten werden, etwa:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz (Art. 5 Abs. 1 lit. a DSGVO)
  • Zweckbindung und Datenminimierung (Art. 5 Abs. 1 lit. b u. c DSGVO)
  • Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f DSGVO)
  • Rechenschaftspflicht des Verantwortlichen (Art. 5 Abs. 2 DSGVO)

Diese Prinzipien können nur erfüllt werden, wenn angemessene technische und organisatorische Maßnahmen (Art. 32 DSGVO) getroffen werden – und genau hier schließt sich der Kreis zur Informationssicherheit.

3. Warum Datenschutz ohne Informationssicherheit nicht funktioniert

Wer personenbezogene Daten nicht angemessen schützt, verletzt zugleich datenschutzrechtliche Pflichten. Die DSGVO schreibt in Art. 32 explizit vor, dass Verantwortliche ein dem Risiko angemessenes Schutzniveau gewährleisten müssen – durch Maßnahmen wie Pseudonymisierung, Verschlüsselung, Zugangskontrollen und Wiederherstellbarkeit nach Vorfällen.

Diese Sicherheitsmaßnahmen stammen aus dem Werkzeugkasten der Informationssicherheit. Datenschutz kann also nur dann wirksam sein, wenn Informationssicherheit etabliert ist.
Anders formuliert: Informationssicherheit ist die technische und organisatorische Voraussetzung, Datenschutz das rechtliche und ethische Ziel.

4. Beispiel aus der Praxis

Ein Unternehmen betreibt ein CRM-System, in dem Kundendaten verarbeitet werden.

  • Wird dieses System vor unbefugtem Zugriff geschützt,
  • werden Backups regelmäßig erstellt,
  • werden Daten verschlüsselt übertragen und gespeichert,

dann handelt es sich um Maßnahmen der Informationssicherheit, die zugleich die Anforderungen des Datenschutzes erfüllen.
Doch wenn dasselbe Unternehmen zusätzlich Prozesse zur Einwilligung, Zweckbindung und Löschung personenbezogener Daten etabliert, wird aus Informationssicherheit konkreter Datenschutz.

5. Fazit

Datenschutz ist also kein isoliertes Rechtsgebiet, sondern ein spezialisierter Teilbereich der Informationssicherheit mit menschenrechtlichem Bezug.
Während die Informationssicherheit den Schutz aller Informationen verfolgt, konzentriert sich der Datenschutz auf den Schutz personenbezogener Daten und deren rechtmäßige Verarbeitung.
Oder, um es prägnant zu formulieren:

Informationssicherheit schützt Informationen. Datenschutz schützt Menschen.

Für Unternehmen bedeutet das: Ein wirksames Datenschutzmanagement kann nicht ohne gelebte Informationssicherheit bestehen. Beide Bereiche müssen integrativ gedacht und gemeinsam umgesetzt werden – idealerweise im Rahmen eines Informationssicherheits-Managementsystems (ISMS) nach ISO/IEC 27001, ergänzt um die datenschutzspezifischen Anforderungen der ISO/IEC 27701 und der DSGVO.

Quellen:
Bundesamt für Sicherheit in der Informationstechnik (BSI). (2023). IT-Grundschutz-Kompendium 2023. Bonn: BSI.
Europäische Union. (2016). Datenschutz-Grundverordnung (EU) 2016/679. Amtsblatt L 119.
ISO/IEC 27001:2022. Information security, cybersecurity and privacy protection — Information security management systems — Requirements. International Organization for Standardization.
ISO/IEC 27701:2019. Extension to ISO/IEC 27001 for privacy information management. International Organization for Standardization.
Hornung, G. (2021). Datenschutzrecht – Grundlagen und Praxis. München: C.H. Beck.