Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Fit für die DSGVO finden Sie jetzt hier
Hintergrund
20. Dezember 2021

Vertraulichkeit: Was heißt das im Datenschutz?

Gratis
Was ist genau unter Vertraulichkeit im Datenschutz zu verstehen?
Bild: iStock.com / Stadtratte
0,00 (0)
Inhalte in diesem Beitrag
Zentrale Datenschutz-Begriffe
Vertraulichkeit ist bekannt als eines der drei zentralen Schutzziele der IT-Sicherheit. Auch der Datenschutz fordert Vertraulichkeit. Doch bedeutet es das gleiche wie in der Informationssicherheit? Passen Maßnahmen der IT-Sicherheit auch im Datenschutz?

Vertraulichkeit ist nicht nur eine Frage der Technik

Vertraulichkeit gehört zu den Begriffen, die jeder aus dem Alltag kennt und die scheinbar keiner weiteren Erklärung bedürfen. Bei der Vielzahl von Fachausdrücken, denen jeder heute begegnet, sind solche Begriffe auf den ersten Blick erfreulich. Auf den zweiten Blick aber stellen sie ein Risiko dar: Sie können zu Missverständnissen und Fehlern führen, wenn sich jemand nicht mit der genauen Bedeutung des an sich bekannten Begriffs im speziellen Umfeld befasst.

So stellen sich vor allem die Beschäftigten außerhalb der IT und der IT-Sicherheit unter Vertraulichkeit mitunter etwas anderes vor, als es die eher technisch geprägten Mitarbeiterinnen und Mitarbeiter tun.

Im Alltag: „Das bleibt unter uns“

Bekanntlich lässt sich unter Vertraulichkeit etwas wie Diskretion verstehen, die Zusicherung, dass etwa ein Gespräch „unter uns bleibt“. Erreichen lässt sich dies durch organisatorische Maßnahmen. Etwa indem der Gesprächskreis klein ist, sich an einem Ort unterhält, an dem sich Dritte nicht aufhalten, die Lautstärke des Gesprächs anpasst und die Teilnehmerinnen und Teilnehmer an die Vertraulichkeit erinnert oder sie auf die Vertraulichkeit verpflichtet.

In der IT: eines der 3 Schutzziele

Wer in der IT beschäftigt ist, denkt dagegen zuerst an eines der drei Schutzziele. Neben der Vertraulichkeit sind das die Integrität und die Verfügbarkeit.

Um die technische Vertraulichkeit zu erreichen, sind neben den organisatorischen Maßnahmen technische Vorkehrungen nötig, allen voran die Verschlüsselung.

Datenschutz fordert Vertraulichkeit auf mehreren Ebenen

Wer als Datenschutzbeauftragte oder Datenschutzbeauftragter über Vertraulichkeit spricht, sollte deutlich machen, was genau gemeint ist. Denn die Datenschutz-Grundverordnung (DSGVO) kennt in diesem Zusammenhang mehrere Forderungen.

  • So fordert sie zum einen: Verantwortliche und Auftragsverarbeiter sollen personenbezogene Daten in einer Weise verarbeiten, die durch geeignete technische und organisatorische Maßnahmen eine angemessene Sicherheit der personenbezogenen Daten gewährleistet. Dazu gehört der Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung („Integrität und Vertraulichkeit“).
  • Neben dieser Vertraulichkeit, verstanden als Schutz vor unerlaubter und ungewollter Offenlegung personenbezogener Daten, findet sich in der DSGVO auch die Forderung, dass der Auftragsverarbeiter per Vertrag gewährleistet, dass sich die Personen, die zur Verarbeitung der personenbezogenen Daten befugt sind, zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

Für die oder den Datenschutzbeauftragten besagt die DSGVO zudem:

  • Der Datenschutzbeauftragte ist nach dem Recht der Union oder der Mitgliedstaaten bei der Erfüllung seiner Aufgabendaran gebunden, die Geheimhaltung oder die Vertraulichkeit zu wahren.

Der Vollständigkeit halber sei gesagt, dass die DSGVO für den Europäischen Datenschutzausschuss einen eigenen Artikel zur Vertraulichkeit (Artikel 76 DSGVO) vorsieht:

  • Die Beratungen des Ausschusses sind gemäß seiner Geschäftsordnung vertraulich, wenn der Ausschuss dies für erforderlich hält.

Es geht immer um den Schutz vor ungewollter und unerlaubter Offenlegung

Offensichtlich nutzt die DSGVO den Begriff also in verschiedenen Zusammenhängen. Gemeint ist aber immer das gleiche: Unbefugte Dritte sollen keinen Zugang zu den Informationen erhalten, die als vertraulich eingestuft sind. Dabei können auch Informationen vertraulich sein, die keinen direkten Bezug zu Personen haben. Um Vertraulichkeit zu erreichen, sind verschiedene Maßnahmen notwendig, die aber im Kern verwandt sind.

IT-Sicherheit und Datenschutz unterscheiden sich bei Vertraulichkeit

Es bleibt die Frage, ob denn die Vertraulichkeit, die der Datenschutz für die Sicherheit der Verarbeitung einfordert, die gleiche ist, die die IT-Sicherheit als eines der drei Schutzziele nennt.

Hier lautet die Antwort: Nur teilweise. Das liegt daran, dass der Datenschutz den Schutz personenbezogener Daten vorsieht, die IT-Sicherheit jedoch den Schutzbedarf der Daten nicht nur am Personenbezug oder an der Personenbeziehbarkeit festmacht.

Wichtig
Die Vertraulichkeit der IT-Sicherheit schließt nicht unbedingt die im Datenschutz ein, auch wenn die personenbezogenen Daten eine Teilmenge der zu schützenden Daten wären. Tatsächlich kann die IT-Sicherheit einen anderen Schutzzweck haben als der Datenschutz. Und die personenbezogenen Daten sind aus reiner Sicht der IT-Sicherheit dann womöglich keine zu schützenden Daten und damit auch nicht vertraulich.

Oliver Schonschek

Oliver Schonschek
Verfasst von
Oliver Schonschek
Oliver Schonschek
Oliver Schonschek ist freiberuflicher News Analyst, Journalist und Kommentator, der sich auf Sicherheit, Datenschutz und Compliance spezialisiert hat. Er schreibt für führende Medien, ist Herausgeber und Autor mehrerer Lehrbücher.
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.