Was genau versteht man im Datenschutz unter Vertraulichkeit?

Author Image Tobias Struebing | 25. April 2022 | 0 Kommentare

Sicher ist Ihnen der Begriff „Vertraulichkeit“ mehr als bekannt, vielleicht sogar aus dem Bereich IT und IT-Sicherheit. Doch bedeutet Vertraulichkeit im Datenschutz auch das, was Sie sich darunter vorstellen? Gerade Alltagsbegriffe können schnell zu Unschärfen oder Missverständnissen führen.

Einmal ganz im Vertrauen gesagt

Vielleicht wundern Sie sich über die Frage, was man denn genau unter Vertraulichkeit im Datenschutz versteht. Offensichtlich geht es im Datenschutz in vielen Fällen darum, Vertrauliches zu schützen, nämlich die personenbezogenen Daten, die nicht jeder sehen, lesen und kennen darf.

Ein gutes Beispiel sind Gesundheitsdaten, die kein Dritter kennen soll. Sie gehen nur Sie, Ihre Ärztin oder Ihren Arzt oder die Krankenversicherung etwas an, aber sicherlich nicht einen Pharma-Hersteller oder den Betreiber einer Drogeriekette.

Datenschutz und Vertraulichkeit hängen tatsächlich eng zusammen. Doch Datenschutz ist mehr als Vertraulichkeit. So müssen personenbezogene Daten nicht nur vertraulich, sondern auch verfügbar sein, sie dürfen nicht manipuliert werden, und die Dienste, mit denen die personenbezogenen Daten verarbeitet werden, müssen vor Ausfällen und Störungen geschützt sein.

Was aber bedeutet nun genau die Vertraulichkeit im Datenschutz?

Es geht um Verschwiegenheit und Zugangsschutz

Zum einen gehört es zur Vertraulichkeit im Datenschutz, dass die Beschäftigten und die beauftragten Dienstleister, die personenbezogene Daten verarbeiten, keine personenbezogenen Daten an unbefugte Dritte verraten, also verschwiegen sind. Das gilt auch für die Datenschutzbeauftragten selbst.

Dann darf niemand die zu schützenden Daten unerlaubt oder ungewollt offenlegen. Unbefugte Dritte dürfen keinen Zugang zu und Zugriff auf die Daten haben. Um das zu erreichen, fordert der Datenschutz geeignete technische und organisatorische Schutzmaßnahmen. Dazu gehört vor allem eine Verschlüsselung, die dem aktuellen Stand der Technik entspricht, also nicht veraltet ist.

Die IT hat ein etwas anderes Bild von Vertraulichkeit

Vielleicht arbeiten Sie in der IT oder IT-Sicherheit, oder Sie wissen einfach, dass auch die IT-Sicherheit das sogenannte Schutzziel Vertraulichkeit besitzt. Tatsächlich nutzt die IT-Sicherheit ähnliche oder sogar die gleichen Schutzmaßnahmen wie der Datenschutz, insbesondere die Verschlüsselung.

Ist deshalb Vertraulichkeit in Datenschutz und IT-Sicherheit wirklich das Gleiche? Nicht ganz, denn der Datenschutz will personenbezogene Daten schützen, die IT-Sicherheit generell Daten mit entsprechendem Schutzbedarf.

Dabei müssen personenbezogene Daten wie die Daten eines IT-Nutzers aus Sicht der IT nicht zwingend einen hohen Bedarf an Vertraulichkeit haben. Es kann der IT-Sicherheit um einen anderen Schutzbedarf gehen.

Dem Datenschutz aber geht es immer um die Daten, die personenbezogen sind, also zu einer Person gehören, oder die personenbeziehbar sind, sich also auf eine bestimmte Person beziehen lassen. Solche Daten dürfen nicht ungewollt oder unerlaubt offengelegt werden, wie in dem Eingangsbeispiel die Gesundheitsdaten. Sie dürfen nicht einfach einem Händler übergeben werden, der diese Daten für ein passendes Angebot an frei verkäuflichen Medikamenten nutzen möchte.

Vertraulichkeit ist deshalb ein Kernthema für den Datenschutz, mit gewissen Unterschieden zur Sicht der IT oder auch zur Alltagssicht.

Ist Ihnen Vertraulichkeit im Datenschutz ein Begriff? Machen Sie den Test!

Frage: Vertraulichkeit, Verschwiegenheit und Datenschutz sind eigentlich identisch. Stimmt das?

  1. Nein, Vertraulichkeit ist zentral für den Datenschutz. Aber es geht auch um andere Datenschutz-Prinzipien, die zu wahren sind.
  2. Ja, es geht immer darum, Geheimnisse zu wahren.

Lösung: Die Antwort 1. ist richtig. Die Datenschutz-Grundverordnung (DSGVO) nennt mehrere Grundsätze für die Verarbeitung personenbezogener Daten. Vertraulichkeit gehört dazu, ist aber nicht alles im Datenschutz. Geheimnisse wie zum Beispiel Geschäftsgeheimnisse müssen keinen Personenbezug haben und unterliegen dann nicht dem Datenschutz. Zudem müssen personenbezogene Daten nicht geheim sein, um schutzbedürftig zu sein. Auch personenbezogene Daten, die nicht geheim sind, dürfen beispielsweise nicht zweckentfremdet werden.

Frage: Sorgt die IT für Vertraulichkeit, stimmt auch der Datenschutz. Ist das so richtig?

  1. Ja, IT-Sicherheit sorgt für die Vertraulichkeit, die der Datenschutz braucht.
  2. Nein, IT-Sicherheit und Datenschutz haben unterschiedliche Ziele. Die IT-Sicherheit schützt nicht automatisch personenbezogene Daten.

Lösung: Die Antwort 2. ist richtig. IT-Sicherheit soll Systeme und Daten schützen, die für den IT-Betrieb wichtig sind oder die anderweitig geschäftsrelevant sind. Für den Datenschutz geht es darum, die Vertraulichkeit personenbezogener und personenbeziehbarer Daten sicherzustellen. Es kann deshalb sein, dass die IT-Sicherheit umfangreich Nutzerdaten analysiert, um Attacken zu erkennen, während der Datenschutz versucht, möglichst den Personenbezug bei den Analysen zu vermeiden.

Gepostet in

Hinterlassen Sie einen Kommentar