Cybersicherheit und Datenschutz endlich als Erfolgsfaktor verstehen
Cybersicherheit und Datenschutz sind wie Geschwister: Oft ziehen sie an einem Strang, manchmal sind ihre Interessen unterschiedlich, aber am Ende sind sie doch aus einem Holz geschnitzt. Selbst ihr Image ist ähnlich und oft zu Unrecht negativ besetzt. Es wird in Kategorien wie Aufwand, Kosten und Risiken gedacht – und dabei völlig vergessen, dass Cybersicherheit wie Datenschutz darüber hinaus essenzielle Vertrauensanker für die Digitalisierung sind. Höchste Zeit für einen Perspektivwechsel.
Cybersicherheit und Datenschutz – wir streiten fast nie
Die Schutzziele von Cybersicherheit und Datenschutz zahlen aufeinander ein und sind oftmals sogar gleich. Denn der Schutz personenbezogener Daten setzt auch die Sicherheit der Datenverarbeitung voraus. Datensicherheit ist damit integraler Bestandteil des Datenschutzes. Sie schützt zum Beispiel IT-Systeme, insbesondere Hardware, Software und – auch sonstige nicht-personenbezogene Daten vor der Gefahr des Verlustes, der Zerstörung oder des Missbrauchs durch Unbefugte. Mit dieser Zielrichtung erfasst die Datensicherheit auch ganz analoge Aspekte, etwa den Zutrittsschutz von Server-Räumen oder papierbasierter Aktenräumen. Verantwortliche und Auftragsverarbeiter müssen geeignete technische und organisatorische Maßnahmen treffen, um diese Ziele zu erreichen. Geeignetheit bedeutet, dass der Schutzaufwand und das Risiko bei der Auswahl der technischen und organisatorischen Maßnahmen in einem angemessenen Verhältnis stehen müssen. So sieht es die Datenschutzgrundverordnung explizit vor. Bestimmte Maßnahmen wie die Pseudonymisierung oder Verschlüsselung werden sogar namentlich im Gesetz als Schutzmechanismen genannt. Insgesamt geht es also darum, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste sicherzustellen beziehungsweise nach einem Zwischenfall wieder herzustellen.
In seltenen Fällen können die Interessen von Datensicherheit und Datenschutz auch gegeneinander stehen. Etwa, wenn personenbezogene Daten für eine Analyse von Cyberangriffen länger aufbewahrt werden sollen, als es aus Sicht des Datenschutzes angebracht wäre. Hier kann es – wie in jeder Familie – schon einmal zu Spannungsverhältnissen kommen, die einen sachgerechten Ausgleich erfordern.
Cybersicherheit – von Anfang an und immer wieder
Wie gesagt: Datensicherheit ist eine Voraussetzung für effektiven Datenschutz. Es gilt eine einfache Gleichung: Ohne IT-Sicherheit (und übrigens auch ohne Datenschutz) kein Vertrauen. Und ohne Vertrauen keine Nutzung von digitalen Diensten. IT-Sicherheit ist damit, wie der Datenschutz auch, ein wichtiger Erfolgsfaktor für die Digitalisierung. Wer „Security-by-design“ von Anfang an bei der Entwicklung von Produkten und Services mitberücksichtigt, ist gut beraten. Denn nachträglich wird es oftmals schwierig und (dann tatsächlich) aufwändig, grobe Defizite oder Fehler in der IT-Sicherheitsarchitektur wieder zu korrigieren. Dies ist vor allem der Fall, wenn hierdurch grundlegende Anpassungen am Systemdesign erforderlich würden.
Im Datenschutz ist diese proaktive, aus meiner Sicht sehr kluge Technikgestaltung konzeptionell bereits lange etabliert. Daher ist es kein Wunder, dass die DSGVO auch hierzu Aussagen trifft: Es geht darum, bereits in der Entwicklungsphase die datenschutzrechtlichen Implikationen mitzudenken und zu überlegen, wie datenschutzrechtliche Risiken bereits in diesem frühen Entwicklungsstadium bestmöglich reduziert werden können. Cybersicherheit ist aber wie der Datenschutz sicher keine einmalige Angelegenheit, die man zu Beginn abschließend klärt und dann zu den Akten legen kann. Es ist vielmehr eine fortwährende Aufgabe für den gesamten Lebenszyklus von Produkten und Dienstleistungen in der digitalen Welt.
Cybersicherheit und Datenschutz müssen Chefsache und Erfolgsfaktor werden
Ohne starken Datenschutz und ein hohes Maß an Cybersicherheit steigen die Risiken massiv an. Denn nicht ausreichend geschützte IT-Systeme sind lohnende Ziele für Missbrauch und Kriminalität. Es ist deshalb kurzsichtig und brandgefährlich, Cybersicherheit allein als lästigen Kostenfaktor zu betrachten. Um es anschaulich zu machen: Wenn Produktionsabläufe digitalisiert werden, ist man gut beraten, die genutzten IT-Systeme vorbildlich zu schützen. Sonst stehen die Fabrikbänder im Falle von digitaler Sabotage schlicht still. Für Unternehmungen ist das – neben den finanziellen Folgen – meistens auch mit erheblichen Reputationsschäden verbunden. Gleiches gilt für Datenpannen, die außerdem eine Reihe rechtlicher Sanktionsmöglichkeiten nach sich ziehen können. Cybersicherheit und Datenschutz sind deshalb auch aus dieser Perspektive wichtige Erfolgsfaktoren für die Digitalisierung. Denn erleidet ein Produkt oder eine Dienstleistung erst einmal einen solchen Imageschaden, dann wird es schwierig, hier wieder Boden gut zu machen.
IT-Sicherheit und Datenschutz müssen auch wegen dieser substanziellen Bedeutung Chefsache werden. Wir sollten die Chancen einer sicheren, datenschutzkonformen Digitalisierung für die deutsche und europäische Digitalwirtschaft nutzen. Hiervon sind wir leider noch zu weit entfernt. Cybersicherheit und Datenschutz werden leider oft negativ kommentiert. Die offenkundigen Vorteile werden nur selten in den Blick genommen.
Gerade der Datenschutz wird in steter Regelmäßigkeit als angebliche „Bremse“ für Innovationen gebrandmarkt. Es hält sich hartnäckig das Märchen, der er sei maßgeblich schuld daran, dass Deutschland keine funktionierenden digitalen Antworten auf die Pandemie gefunden habe. Das ist schlicht Unsinn und zeugt wahlweise von völliger Unkenntnis oder gefährlichen Hintergedanken. Mir ist kein Fall, keine seitens Gesundheitsministerium oder Robert Koch Institut geplante Funktionalität bekannt, bei der der Datenschutz dazu geführt hat, dass eine sinnvolle Technologie nicht realisiert werden konnte oder nur zeitlich verzögert wurde.
Vor allem mit Blick auf den gewaltigen Digitalisierungsschub, der sich vor unseren Augen abspielt, ergeben sich vielmehr enorme Wachstumspotenziale für unsere Digitalwirtschaft: Lassen Sie uns ein Höchstmaß an Cybersicherheit und Datenschutz zu unserem globalen Wettbewerbsvorteil ausbauen. Die Welt wartet auf solche Alternativen aus Europa. Wie sollte eine verantwortungsbewusste und sinnvolle technologische Weiterentwicklung denn auch sonst aussehen? Als Europäerinnen und Europäer muss es unser Anspruch sein, nicht nur die Geschwister Datenschutz und Cybersicherheit zusammen zu bringen, sondern die gesamte Familie, zu der auch die Aspekte Innovation und Wettbewerbsfähigkeit gehören.
Für diese gemeinsame Aufgabe wünsche ich uns allen – sei es in der Cybersicherheit, sei es im Datenschutz – bestmöglichen Erfolg.
Prof. Ulrich Kelber
Bundesbeauftragter für den Datenschutz und die Informationssicherheit
