Für Organisationen, die Daten sammeln oder verwalten — und Einzelpersonen, die sie besitzen — sollten private Daten und die Sicherheit dieser Daten nicht auf die leichte Schulter genommen werden. Sie sind Hauptanliegen beim Schutz grundlegend sensibler Informationen wie Identitäten, Finanzen und Gesundheitsakten. Ohne sie hätten Cyberkriminelle und andere böswillige Akteure Zugang zu erstaunlichen Mengen potenziell schädlicher Daten. Allerdings erkennt oder versteht nicht jeder den Unterschied zwischen Datenschutz und Sicherheit. Infolgedessen werden die Begriffe oft falsch verwendet oder als dasselbe verwechselt.
Also, was sind Datenschutz und Sicherheit?
Datenschutz vs. Sicherheit
Der Unterschied zwischen Datenschutz und Sicherheit hängt davon ab, welche Daten geschützt werden, wie sie geschützt werden, vor wem sie geschützt werden und wer für diesen Schutz verantwortlich ist. Bei Sicherheit geht es darum, Daten vor böswilligen Bedrohungen zu schützen, während es beim Datenschutz darum geht, Daten verantwortungsbewusst zu nutzen.
Offensichtlich geht es bei der Datensicherheit um die Sicherung sensibler Daten. Wo sich Datenschutz und Sicherheit zu unterscheiden beginnen, liegt darin, vor wem oder was sie Daten schützen. Die Datensicherheit konzentriert sich in erster Linie darauf, den unbefugten Zugriff auf Daten durch Verstöße oder Lecks zu verhindern, unabhängig davon, wer die unbefugte Partei ist. Um dies zu erreichen, verwenden Organisationen Tools und Technologien wie Firewalls, Benutzerauthentifizierung, Netzwerkbeschränkungen und interne Sicherheitspraktiken, um einen solchen Zugriff abzuschrecken. Dazu gehören auch Sicherheitstechnologien wie Tokenisierung und Verschlüsselung, um Daten weiter zu schützen, indem sie unlesbar gemacht werden — was im Falle eines Verstoßes verhindern kann, dass Cyberkriminelle potenziell große Mengen sensibler Daten preisgeben.Beim Datenschutz geht es jedoch darum, sicherzustellen, dass die sensiblen Daten, die eine Organisation verarbeitet, speichert oder überträgt, konform und mit Zustimmung des Eigentümers dieser sensiblen Daten aufgenommen werden. Dies bedeutet, dass Einzelpersonen im Voraus darüber informiert werden, welche Arten von Daten zu welchem Zweck gesammelt und mit wem geteilt werden. Sobald diese Transparenz gewährleistet ist, muss eine Person den Nutzungsbedingungen zustimmen, damit die Organisation, die Daten aufnimmt, diese im Einklang mit den angegebenen Zwecken verwenden kann.
Beim Datenschutz geht es also weniger darum, Daten vor böswilligen Bedrohungen zu schützen, als darum, sie verantwortungsbewusst und nach den Wünschen von Kunden und Nutzern zu nutzen, um zu verhindern, dass sie in falsche Hände geraten. Dies bedeutet jedoch nicht, dass es nicht auch Sicherheitsmaßnahmen enthalten kann, um sicherzustellen, dass die Privatsphäre geschützt ist. Zum Beispiel sind Bemühungen, die Verknüpfung sensibler Daten mit ihrer betroffenen Person oder natürlichen Person zu verhindern — wie die Anonymisierung personenbezogener Daten, die Verschleierung oder die Speicherung an verschiedenen Orten, um die Wahrscheinlichkeit einer erneuten Identifizierung zu verringern – andere gängige Datenschutzbestimmungen.Zu oft werden die Begriffe Sicherheit und Datenschutz synonym verwendet, aber Sie können sehen, dass sie in der Tat unterschiedlich sind — wenn auch manchmal schwer zu unterscheiden. Während Sicherheitskontrollen erfüllt werden können, ohne auch Datenschutzüberlegungen zu erfüllen, Datenschutzbedenken können nicht ohne den Einsatz wirksamer Sicherheitspraktiken angegangen werden. Mit anderen Worten, Datenschutz schränkt den Zugriff ein, während Sicherheit der Prozess oder die Anwendung zur Einschränkung dieses Zugriffs ist. Anders ausgedrückt: Sicherheit schützt Daten und Privatsphäre schützt die Identität.
Datenschutz und Sicherheit in der Praxis
Schauen wir uns ein hypothetisches Beispiel dieser Konzepte an. Wenn Sie eine mobile Anwendung auf Ihr Smartphone herunterladen, werden Sie wahrscheinlich mit einer Datenschutzvereinbarung aufgefordert, der Sie zustimmen müssen, bevor die Installation beginnt. Von dort aus fordert die App möglicherweise auch den Zugriff auf bestimmte auf Ihrem Telefon gespeicherte Informationen an, z. B. Ihre Kontakte, Standortdaten oder Fotos. Sobald Sie sich entschieden haben, der App diese Berechtigungen zu erteilen, ist sie für die Sicherung Ihrer Daten und den Schutz der Privatsphäre dieser Daten verantwortlich — was nicht immer der Fall ist.Wenn sich beispielsweise der Entwickler dieser App umdrehte und die Informationen, die Sie ihm gegeben haben, ohne Ihre Erlaubnis an Dritte oder Marketingunternehmen verkaufte, wäre dies eine Verletzung Ihrer Privatsphäre. Wenn der App-Hersteller einen Verstoß erleiden und Ihre Informationen Cyberkriminellen aussetzen würde, wäre dies eine weitere Verletzung Ihrer Privatsphäre, aber auch ein Sicherheitsfehler. In beiden Fällen hat der Entwickler Ihre Privatsphäre nicht geschützt.
Datenschutz und Sicherheit vs. Compliance
Nun, da Sie ein grundlegendes Verständnis für den Unterschied zwischen Datenschutz und Sicherheit haben, schauen wir uns ein paar gemeinsame Vorschriften an, die Richtlinien für die Aufrechterhaltung jeder und wie sie die Datenschutzlandschaft bilden.Der Payment Card Industry Data Security Standard (PCI DSS) ist ein Regelwerk zum Schutz sensibler Zahlungskarteninformationen und Karteninhaberdaten. Obwohl es in erster Linie um die Standardisierung der Sicherheitskontrollen für die Verarbeitung, Speicherung und Übermittlung von Zahlungsdaten geht, umfasst es auch Maßnahmen für personenbezogene Daten, die häufig mit Zahlungen verbunden sind, wie Namen und Adressen. Sie gilt für Banken, Händler, Dritte und alle anderen Unternehmen, die Karteninhaberdaten der wichtigsten Zahlungskartenmarken verarbeiten.
Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union ist ein internationaler Standard zum Schutz der Privatsphäre von EU-Bürgern. Dieses Gesetz legt wichtige Begriffe und Definitionen dafür fest, wessen Daten geschützt werden sollen (betroffene Personen), welche Arten von Daten damit verbunden sind (personenbezogene Daten) und wie diese Daten verwaltet und gesichert werden sollen. Jede Einrichtung, die Daten von EU-Bürgern erhebt, unterliegt dieser Verordnung.
Der California Consumer Privacy Act (CCPA) ist das Referenzgesetz der Vereinigten Staaten, das regelt, wie Organisationen die Daten kalifornischer Bürger und ihrer Haushalte verarbeiten dürfen. Ähnlich wie die DSGVO dokumentiert sie, welche Daten geschützt sind und welche Anforderungen an den Schutz dieser Daten gestellt werden. Alle Organisationen, die mit Daten von Kaliforniern umgehen, müssen sich an dieses Gesetz halten.Der Health Insurance Portability and Accountability Act (HIPAA) befasst sich mit dem Schutz der sensiblen Gesundheitsinformationen von Patienten in den USA.Diese Verordnung ist besonders komplex wegen der großen Menge und Vielfalt der verfügbaren Gesundheitsdaten — alles vom Geburtsdatum eines Patienten bis zu seinen verschriebenen Medikamenten und Röntgenstrahlen. Es existiert auch in physischen und digitalen Formen, die unterschiedlich geschützt werden müssen, was die Sicherung privater Gesundheitsinformationen mit einem „One Size fits all“ -Ansatz unmöglich macht.Obwohl es wichtig ist, die Anforderungen jeder für Ihr Unternehmen relevanten Verordnung zu erfüllen, um Bußgelder und andere kostspielige Strafen zu vermeiden, ist es auch erwähnenswert, dass die Erfüllung von Mindesteinhaltungspflichten nicht immer zu angemessenen Sicherheits- oder Datenschutzmaßnahmen führt. Durch die Priorisierung der Implementierung wirksamer Datenschutz— und Sicherheitskontrollen — anstatt nur die gesetzlichen Mindestanforderungen zu erfüllen – werden Unternehmen häufig dieselben Verpflichtungen übertreffen und gleichzeitig ihre Sicherheitslage verbessern und sich besser positionieren, um zukünftige Vorschriften zu antizipieren. Die Tokenisierung bietet eine effektive Methode, um genau das zu tun.
Tokenisierung für Datenschutz und Sicherheit
Eines der einzigartigen Dinge an der Tokenisierung — und eine ihrer größten Stärken — ist das Potenzial, sowohl Datenschutz- als auch Sicherheitsbedenken zu befriedigen. Durch seine Fähigkeit, Informationen zu pseudonymisieren, kann die Tokenisierung als Sicherheitsfehler fungieren, um sensible Daten im Falle eines Verstoßes zu schützen und die im verletzten System gespeicherten Daten für Cyberkriminelle unlesbar zu machen. Tatsächlich desensibilisiert die Pseudonymisierung Daten, indem sie sie deidentifiziert und verhindert, dass sie in ihre ursprüngliche, sensible Form zurückversetzt werden.Da durch die Tokenisierung sensible Daten aus internen Systemen entfernt werden, kann das Risiko eines Datendiebstahls praktisch ausgeschlossen werden, was es zu einem besonders nützlichen Instrument zur Risikominderung und Compliance sowohl im Hinblick auf den Datenschutz als auch auf die Sicherheit macht. Selbst wenn die zum Schutz des Datenschutzes eingerichteten Sicherheitssysteme kompromittiert werden, ist die Privatsphäre dieser sensiblen Informationen nicht gefährdet.Weitere Informationen zur Tokenisierung und wie sie sowohl Sicherheits- als auch Datenschutzbedenken erfüllt, finden Sie in unserem Ebook „So wählen Sie eine Tokenisierungslösung“ unten.