In der Informationssicherheit dreht sich alles um die drei Schutzziele: Vertraulichkeit, Integrität und Verfügbarkeit (international als CIA bekannt). In der Datenschutzwelt nennt die DSGVO in Artikel 5 den Grundsatz "Integrität und Vertraulichkeit". Zwei der drei Wörter sind identisch, und genau dort entsteht Verwirrung. Sie sind keine Synonyme: Geltungsbereich und Zweck unterscheiden sich. Wer den Unterschied kennt, erklärt Sicherheit und Datenschutz sauberer.
Was sind die Schutzziele (CIA)?
Die Schutzziele bilden das Fundament der Informationssicherheit. Sie beschreiben die drei Eigenschaften, die du für alle Informationen und Systeme schützen willst, nicht nur für personenbezogene Daten:
- Vertraulichkeit: nur Befugte haben Zugriff. Eine Datenpanne oder ein zu weit geteilter Ordner verletzt die Vertraulichkeit.
- Integrität: die Information ist richtig und vollständig und wird nicht unbefugt verändert. Ein gefälschter Betrag oder ein manipuliertes Logfile verletzt die Integrität.
- Verfügbarkeit: Informationen und Systeme sind nutzbar, wenn sie gebraucht werden. Ransomware oder ein Ausfall verletzt die Verfügbarkeit.
Was sagt die DSGVO zu Integrität und Vertraulichkeit?
Die DSGVO nennt in Artikel 5 sechs Grundsätze für die Verarbeitung personenbezogener Daten. Der sechste lautet "Integrität und Vertraulichkeit": personenbezogene Daten müssen mit geeigneten technischen und organisatorischen Maßnahmen gegen unbefugte Verarbeitung, Verlust oder Schädigung geschützt werden.
Wichtig: Dieser Grundsatz betrifft ausschließlich personenbezogene Daten, nicht alle Unternehmensinformationen. Und er steht neben anderen DSGVO-Grundsätzen wie Zweckbindung, Datenminimierung und Richtigkeit. Diese Richtigkeit ähnelt der Integrität, ist in der DSGVO jedoch ein eigener Grundsatz.
Die Kernunterschiede auf einen Blick
Dieselben Wörter, aber achte auf Geltungsbereich und Zweck:
- Geltungsbereich: die Schutzziele gelten für alle Informationen und Systeme; der DSGVO-Grundsatz nur für personenbezogene Daten.
- Zweck: die Schutzziele schützen vor allem die Organisation und ihre Kontinuität; die DSGVO schützt vor allem die Rechte und Freiheiten von Personen.
- Verfügbarkeit: ein vollwertiger Teil der Schutzziele, aber kein eigener DSGVO-Grundsatz. Die DSGVO berührt Verfügbarkeit nur indirekt über die Forderung geeigneter Maßnahmen.
- Integrität: bei den Schutzzielen bedeutet das richtig und unverändert; in der DSGVO fällt 'richtig und aktuell' unter den eigenen Grundsatz Richtigkeit, während 'gegen unbefugte Veränderung geschützt' unter Integrität und Vertraulichkeit fällt.
- Vertraulichkeit: hier überschneiden sich beide Rahmen am stärksten: nur Befugte dürfen zugreifen.
Wo es in der Praxis verwirrend wird
Die meiste Verwirrung entsteht, weil personenbezogene Daten eine Teilmenge aller Informationen sind. Eine Kundendatenbank fällt sowohl unter die Schutzziele (sie ist Unternehmensinformation) als auch unter die DSGVO (es sind personenbezogene Daten). Ein Leck verletzt dann zugleich die Vertraulichkeit im Sinne der Schutzziele und den DSGVO-Grundsatz.
Es hilft, sich zu merken: die Schutzziele sind deine breite Sicherheitsbrille für alles, und die DSGVO legt darauf eine zusätzliche, strengere Schicht für den Sonderfall personenbezogener Daten. Sie widersprechen sich nicht; die DSGVO ist spezifischer und fügt Betroffenenrechte hinzu.
So verankerst du das in deinem Awareness-Programm
Dieser Unterschied eignet sich ideal für den Anfang deines Programms, weil er die übrige Sicherheits- und Datenschutzcontent ordnet. Danach verstehen Menschen besser, warum eine Datenpanne zwei Gesichter hat: ein Sicherheitsvorfall und eine Datenschutzfrage.
- Führe zuerst die Schutzziele als gemeinsame Sprache für das ganze Unternehmen ein und positioniere die DSGVO danach als strengere Schicht für personenbezogene Daten.
- Nutze ein erkennbares Beispiel, etwa eine geleakte Kundendatenbank, und zeige, wie es sowohl die Schutzziele als auch die DSGVO berührt.
- Stimme dich mit Security und Compliance ab, damit dieselben Begriffe gleich verwendet werden.
- Willst du das in einen durchgehenden Lernpfad verankern? Sieh dir die Datenschutz-Kurse in unserem Kurskatalog an.
Verwandte Artikel
- Datenschutz und Privatsphäre: DSGVO-Essentials für Mitarbeitende
- Was ist die DSGVO? Die Grundlagen in verständlicher Sprache
FAQ
Wofür stehen die Schutzziele (CIA)?
CIA steht für Confidentiality, Integrity und Availability, auf Deutsch Vertraulichkeit, Integrität und Verfügbarkeit, die drei Kerneigenschaften, die die Informationssicherheit schützt. Sie gelten für alle Informationen und Systeme, nicht nur für personenbezogene Daten.
Ist der DSGVO-Grundsatz dasselbe wie die Schutzziele?
Nein. Die DSGVO nennt 'Integrität und Vertraulichkeit' als Grundsatz für personenbezogene Daten in Artikel 5, doch das ist enger als die Schutzziele. Verfügbarkeit ist kein eigener DSGVO-Grundsatz, und die DSGVO gilt nur für personenbezogene Daten, während die Schutzziele alle Informationen abdecken.
Steckt Verfügbarkeit auch in der DSGVO?
Nicht als eigener Grundsatz. Verfügbarkeit ist ein vollwertiger Teil der Schutzziele, doch die DSGVO nennt sie nur indirekt über die Forderung geeigneter technischer und organisatorischer Maßnahmen. In der Schutzziel-Brille ist Verfügbarkeit daher prominenter.
Warum ist Integrität in der DSGVO verwirrend?
Weil die DSGVO zwei Dinge unterscheidet, die bei den Schutzzielen unter Integrität fallen: 'richtig und aktuell' steht unter dem eigenen Grundsatz Richtigkeit, während 'gegen unbefugte Veränderung geschützt' unter Integrität und Vertraulichkeit fällt. Bei den Schutzzielen steckt all das unter Integrität.
Widersprechen sich DSGVO und Schutzziele?
Nein. Sie ergänzen einander. Die Schutzziele sind dein breiter Sicherheitsrahmen für alle Informationen; die DSGVO legt darauf eine strengere Schicht für personenbezogene Daten, inklusive Betroffenenrechte. Ein gutes Programm kann beide zugleich bedienen.