In diesem Modul geht es um zwei Dinge, die uns dabei helfen, personenbezogene Daten in unserem Projekt zu schützen:

1. Informationssicherheit (auch IT-Sicherheit): der technische Schutz von Daten.
2. Risikoanalysen: Methoden zur Bestimmung des angemessenen Schutzniveaus personenbezogener Daten.
   

Was hat das eine mit dem anderen zu tun? Wie schon öfter in den vorigen Modulen erwähnt, arbeitet der Datenschutz mit einem sehr starkem Fokus auf den möglichen Risiken der Datenverarbeitung. Hier hilft die Risikoanalyse, um den Schutzbedarf genauer zu definieren. Die IT-Sicherheit kann dann dabei helfen, Risiken oder Schäden der Datenverarbeitung zu reduzieren oder ganz zu vermeiden. 

Teamwork

Für beiden Themen werden Sie in der Regel Unterstützung entsprechender Fachbereiche erhalten: für die Informationssicherheit Ihre IT-Abteilung, für die Risikoanalyse Ihren Datenschutzbeauftragten. Sie müssen diese Themen keinesfalls alleine im Rahmen Ihres Projekts durchführen. Beide Bereiche werden in der Regel organisationsweit von den Verantwortlichen umgesetzt.  Wichtig ist, dass Sie grundlegend wissen, welche Maßnahmen den Datenschutz unterstützen können. Sollte Ihr Projekt Datenverarbeitungen mit einem hohen Risiko enthalten oder besondere Anforderungen an die IT-Sicherheit haben, sollten Sie frühzeitig die genannten Stellen einbeziehen.

Falls Sie in einer kleinen Organisation arbeiten, in der es diese Fachabteilungen nicht gibt, sollten Sie die folgenden Seiten zumindest so aufmerksam durcharbeiten, dass Sie bei Bedarf externe Hilfe zur Unterstützung dazu holen können, da es Verarbeitungen gibt, die ohne Hilfe eines Datenschutzbeauftragten oder juristischer Unterstützung nicht durchgeführt werden sollten.

Quelle: OpenClipart-Vectors auf Pixabay

Definition: Informationssicherheit

Für Laien ist der Unterschied zwischen Datenschutz und Informationssicherheit häufig schwer zu greifen, da sich die Begriffe sehr ähnlich sind. Es geht hier aber um zwei sehr unterschiedliche Dinge:

• Datenschutz bezieht sich ausschließlich auf den Schutz personenbezogener Daten. Das Ziel ist die Einhaltung der Menschenrechte der betroffenen Personen.
  
• Informationssicherheit bezieht sich auf den Schutz von IT-Systemen und der darin verarbeiteten Daten. Hierunter fallen auch Daten, die nicht personenbezogen sind, wie z.B. Ihre Projektdokumentation oder alle anderen Projektunterlagen. Es geht hier mehr um den Schutz von Organisationswissen und geistigem Eigentum. 

In Zeiten der Digitalisierung hat der Datenschutz viele Überschneidungen mit der Informationssicherheit, da viele personenbezogenen Daten digital verarbeitet werden.

Quelle: Clker-Free-Vector-Images auf Pixabay

Definition: Risikoanalyse

Eine Risikoanalyse kann Teil Ihrer Datenschutz-Dokumentation werden und ist ein Beleg dafür, dass Sie sich mit der jeweiligen Verarbeitung auseinandergesetzt und Risiken für die Betroffenen berücksichtigt haben. Für eine Risikoanalyse gibt es verschiedene Formate, die wir Ihnen im Folgenden vorstellen. Dazu gehören unter anderem die Schwellwertanalyse und die Datenschutzfolgenabschätzung. Beides sind jedoch bereits sehr detaillierte Analysen, die in Ihrem Projekt mit hoher Wahrscheinlichkeit nicht notwendig sind.

Quelle: Mohamed Hassan auf Pixabay

Aufgabe

Prüfen Sie, ob die Themen IT-Sicherheit und Risikoanalyse in Ihrer Organisation bereits umgesetzt und dokumentiert sind. Ist eine Dokumentation vorhanden, können Sie diese in Ihrem Projekt verwenden. Falls diese Themen noch nicht umgesetzt sind, sollten Sie sich dringend an die Verantwortlichen wenden und deren Umsetzung ansprechen.