Vielerorts ist derzeit von einer Verrechtlichung der IT-Sicherheit oder dem neuen Cybersicherheitsrecht der Europäischen Union zu lesen. Insbesondere die NIS-2-Richtlinie und der Cyber Resilience Act sind in aller Munde und lösen zuweilen bei manchen Leitungsorgangen – vermutlich zu Recht – Schweißausbrüche aus. Bereits an dieser Stelle kann man sich aber durchaus fragen: In welchem Rechtsgebiet bewegen wir uns eigentlich? Wer genauer hinschaut fragt sich vielleicht auch: Was ist eigentlich der Unterschied zwischen IT-Sicherheit und Cybersicherheit? Gibt es denn überhaupt einen Unterschied? Und was hat das alles mit Informationssicherheit und Datenschutz zu tun? Im Nachfolgenden Beitrag sollen die unterschiedlichen Begrifflichkeiten einmal genauer betrachtet werden.
Was ist was?
Im Wesentlichen lassen sich fünf zentrale Begriffe unterscheiden: Informationssicherheit, IT-Sicherheit, Cybersicherheit sowie Datenschutz und Datensicherheit.
Die Informationssicherheit kann und sollte hierbei als genereller Oberbegriff verstanden werden. Mit Blick ins Gesetz bietet § 2 Abs. 2 Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz – BSIG) Hilfe. Hiernach ist unter Sicherheit in der Informationstechnik (im Sinne des BSIG) die Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit, Integrität oder Vertraulichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen in informationstechnischen Systemen, Komponenten oder Prozessen oder bei der Anwendung von informationstechnischen Systemen, Komponenten oder Prozessen zu verstehen.
Zur Beschreibung und Abgrenzung der Informationssicherheit ist mittlerweile weitgehend der Ansatz verbreitet, die Näherung durch eine Beschreibung anhand generischer Schutzziele, zu denen in aller erster Linie die Vertraulichkeit, die Integrität und die Verfügbarkeit zu zählen sind, vorzunehmen. Die Informationssicherheit befasst sich demnach mit der Sicherheit von in Daten enthaltenen Informationen vor unbefugter Offenlegung, Übermittlung, Veränderung und/oder Zerstörung – unabhängig davon, ob die in den Daten enthaltenen Informationen einen Personenbezug aufweisen und ob die Informationen digital oder analog verarbeitet werden. Die Informationssicherheit findet daher gleichwohl Anwendung für das betriebliche bzw. dienstliche Gedankengut der Beschäftigten einer Institution.
Weiterhin bestehen bei der Informationssicherheit in Abgrenzung zu den Begriffen des Datenschutzes und der Datensicherheit sowie der IT-Sicherheit und Cybersicherheit einige Überschneidungen, denen wir nun nachgehen wollen.
Die IT-Sicherheit speziell adressiert die Sicherheit von IT-Systemen. Von einem normativen Ansatzpunkt umfasst IT-Sicherheit den Schutz von Daten in Information- und Kommunikationssystemen vor Verlust oder Zerstörung, verursacht durch vorsätzliche oder nicht vorsätzliche Handlungen von Unbefugten. IT-Sicherheit und Informationssicherheit können einander bedingen, soweit eine digitale Datenverarbeitung erfolgt. Die rechtlichen Verpflichtungen zur Herstellung bzw. Aufrechterhaltung von IT-Sicherheit sind mittlerweile vielfältig. Hinsichtlich bestimmter Produkte oder Sektoren ergeben sich die einzuhaltenden IT-Sicherheitspflichten aus verschiedenen nationalen und internationalen spezialgesetzlichen Regelungen, z.B. §§ 165-169 Telekommunikationsgesetz, § 327 Abs. 3 Nr. 2 Bürgerliches Gesetzbuch, § 11 Energiewirtschaftsgesetz, § 44b Atomgesetz, … .
Unter Cybersicherheit bzw. Cybersecurity kann generell die Sicherheit von Informations- und Datenverarbeitungen im digitalen und vernetzten Raum verstanden werden. Die Unterscheidung zwischen IT-Sicherheit und Cybersicherheit ist insbesondere vor dem Hintergrund der immer weiter voranschreitenden Digitalisierung und Vernetzung nicht immer trennscharf möglich. In der breiten Öffentlichkeit hat sich insbesondere diese Begrifflichkeit zu einer Art Oberbegriff entwickelt, um die allgemeine Sicherheit von Informations- und Kommunikationstechniken zu umschreiben.
Eine gesetzliche Definition liefert unter Umständen Art. 2 Nr. 1 Cybersecurity Act. Danach bezeichnet Cybersicherheit alle Tätigkeiten, die notwendig sind, um Netz- und Informationssysteme, die Nutzer solcher Systeme und andere von Cyberbedrohungen betroffene Personen zu schützen. Weitere gesetzliche Anknüpfungspunkte sind die eingangs bereits erwähnte NIS-2-Richtlinie sowie der Cyber Resilience Act. In diesem Atemzug kann zudem der Digital Resilience Act genannt werden.
Der Datenschutz setzt sich weniger mit der Frage auseinander, wie Informationen physisch geschützt werden können, sondern konzentriert sich vorrangig auf die Voraussetzungen, die an das grundrechtlich gewährleistete Recht auf informationelle Selbstbestimmung anzulegen sind. Hauptanknüpfungspunkt für das Datenschutzrecht bilden die sogenannten personenbezogenen Daten. Unter dem Begriff personenbezogene Daten sind nach Art. 4 Nr. 1 DS-GVO alle Informationen zu verstehen, die sich auf eine identifizierte oder identifizierbare Person (betroffene Person) beziehen. Hierbei muss es sich nicht zwingend um besonders schützenswerte Daten handeln; dem Datenschutz unterliegen auch Informationen, wie zum Beispiel Namen, IP-Adressen sowie Foto- und Videoaufnahmen.
Wie der Begriff der personenbezogenen Daten zu verstehen bzw. auszulegen ist – auch vor dem Hintergrund aktueller Rechtsprechung haben wir hier bereits näher betrachtet. Zentrale Regelungsmaterien des Datenschutzrechtes sind die Datenschutz-Grundverordnung, das Bundesdatenschutzgesetz (BDSG) sowie die Landesdatenschutzgesetze.
Ein angemessenes Datenschutzniveau setzt stets ebenfalls voraus, dass technische und organisatorische Maßnahmen der Datensicherheit getroffen werden. Mithin adressiert die Datensicherheit in aller erster Linie das Datenschutzrecht soweit der technische und organisatorische Bereich im Mittelpunkt steht. Datensicherheit umfasst die Absicherung gegen unbefugte Offenlegung, Übermittlung, Veränderung und/oder Zerstörung personenbezogener Daten. Gesetzlich verankert ist die Datensicherheit insbesondere in Art. 5 Abs. 1 lit. f), Art. 24, Art. 25 und Art. 32 DS-GVO.
In diesem Zusammenhang ist es auch Gegenstand zahlreicher Diskussionen, dass die in Art. 32 DS-GVO normierte Sicherheit der Verarbeitung aufgrund der Schutzrichtung des Datenschutzrechtes von dem zuvor aufgezeigten Verständnis der IT-Sicherheit zu differenzieren ist. IT-Sicherheit und Datensicherheit bzw. Sicherheit der Verarbeitung sind demnach nicht dasselbe. Eine Unterscheidung der Begrifflichkeiten erscheint zumindest für eine exakte Gesetzesanwendung sowie -auslegung förderlich.
Was bleibt?
Zunächst lässt sich zunächst feststellen, dass alle Begrifflichkeiten – Informationssicherheit, IT-Sicherheit, Cybersicherheit sowie Datenschutz und Datensicherheit – in Gesamtschau für ein Themengebiet stehen, dass aus Staat und Gesellschaft in der heutigen Welt nicht mehr wegzudenken ist. Hierbei ist nach unserer Ansicht Informationssicherheit als Oberbegriff zu verstehen. Gleiches gilt für Das Recht der Informationssicherheit als umfassendes Rechtsgebiet der zuvor näher beleuchteten Teilgebiete.
Unabhängig davon ist die Relevanz der Materie und mithin auch des Rechtsgebeites nicht länger zu vernachlässigen. Zu einschneidend sind die aktuellen Erfahrungen über steigende Angriffszahlen und Sicherheitsrisken wie jüngst aus dem Lagebericht des Bundesamt für Sicherheit in der Informationstechnik für das Jahr 2023 zu entnehmen ist.
Fazit
Die Vielzahl gesetzlicher Regelungen im Bereich des Rechtes der Informationssicherheit verhindern zuweilen eine einheitliche juristische Definition der zentralen Sicherheitsbegriffe. Häufig ergeben sich unterschiedliche Begriffsverständnisse aufgrund von unterschiedlichen individuellem Vorverständnis, Beschreibungen der Gegenstandsbereiche oder aufgrund der Abgrenzung zu anderen Begrifflichkeiten. Weder der Gesetzgeber noch die technische Normung und Standardisierung geben einheitliche Begriffe vor.
Diese Vielschichtigkeit macht es nach unserer Ansicht erforderlich, dass Informationssicherheit ganzheitlich betrachtet wird. Nur die Informationssicherheit als Ganzes kann dafür sorgen, dass aus einem vormals noch „Nice-to-have-Aspekt“ ein konkret und insbesondere verbindliches Rechtsgebiet erwächst. Da die rechtliche Regulierung allerdings nicht ohne eine praxisgerechte Umsetzung auskommt, erfordert das Recht der Informationssicherheit zuweilen den bekannten „Blick über den Tellerrand“.
Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.