Datenschutz vs. Informationssicherheit, ergibt das Sinn?

Offene Berechtigungen, KI-Tools mit Kundendaten oder gemeinsam genutzte Accounts – Datenschutz- oder Informationssicherheitproblem? Vielleicht ist genau diese Trennung längst das eigentliche Problem. Warum beide Bereiche für uns nur gemeinsam betrachtet werden sollten, zeigen wir in diesem Beitrag.

Insert password

Zwei Bereiche, die künstlich getrennt werden?

Datenschutz wird in der Praxis noch immer häufig als Gegenpol zur Informationssicherheit verstanden. Dieser Eindruck begegnet uns regelmäßig in Unternehmen und führt nicht selten zu Unsicherheiten. Entscheidend ist jedoch weniger, woher diese Trennung historisch kommt, sondern ob sie heute überhaupt noch sinnvoll ist.

In Unternehmen greifen zahlreiche Prozesse, Systeme und Entscheidungen ineinander, damit der tägliche Betrieb funktioniert. Gerade deshalb können im Arbeitsalltag Situationen entstehen, in denen ein SharePoint-Ordner irrtümlich für unbefugte Personen zugänglich gemacht wird, ein Account von mehreren Personen genutzt wird, ein KI-Tool mit Daten eines Geschäftspartners in Berührung kommt oder ein Laptop verloren geht.

Diese Beispiele sind weder spektakulär noch theoretisch. Sie sollten nicht passieren, sind aber in der Praxis durchaus realistisch.

Doch handelt es sich dabei jetzt um ein Datenschutzproblem oder um ein Informationssicherheitsproblem?

 

Warum werden die beiden isoliert betrachtet?

Genau in dieser vermeintlichen Trennung liegt häufig die eigentliche Herausforderung. Unsere Erfahrung zeigt, dass Datenschutz und Informationssicherheit in vielen Unternehmen noch immer getrennt betrachtet werden.

Datenschutz wird dabei oft vor allem juristisch verstanden: mit Richtlinien, Dokumentation, Nachweispflichten und dem Ziel regulatorischer Compliance. Informationssicherheit wird hingegen häufig technisch eingeordnet: mit Controls, Firewalls, Systemen, Zugriffskonzepten und weiteren Schutzmaßnahmen.

Dadurch entsteht schnell der Eindruck, beide Bereiche hätten unterschiedliche Verantwortlichkeiten, eigene Sprachen und voneinander getrennte Ziele.

Tatsächlich verfolgen beide Bereiche eigene Schutzinteressen. Im Datenschutz stehen nicht primär Systeme im Mittelpunkt, sondern Menschen, personenbezogene Daten, sowie die Rechte und Freiheiten von Betroffenen. Es geht um Daten, die sich auf einen Menschen beziehen, beispielsweise Gesundheitsdaten, Beschäftigtendaten, Standortdaten, Aufnahmen oder Informationen, aus denen Profile und Kategorien über Personen gebildet werden können.

 

Datenschutz beschäftigt sich daher unter anderem mit Fragen wie:

  • Welche Daten dürfen verarbeitet werden?
  • Zu welchem Zweck erfolgt die Verarbeitung?
  • Ist die Verarbeitung notwendig und verhältnismäßig?
  • Welche Grenzen gelten für die Nutzung?

Die Informationssicherheit betrachtet dagegen die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und Systemen. Dafür kommen Maßnahmen wie Zugriffskontrollen, Authentifizierung, Logging, Backups, Patchmanagement sowie Rollen- und Berechtigungskonzepte zum Einsatz. Informationssicherheit beschäftigt sich also mit der tatsächlichen Umsetzung von Schutzmaßnahmen.

Vereinfacht gesagt:

Datenschutz beantwortet die Frage, was geschützt werden soll.
Informationssicherheit beantwortet die Frage, wie geschützt werden soll.

 

Was passiert wenn beide Bereiche nicht zusammenarbeiten?

In der Praxis zeigt sich die fehlende Verzahnung konkret, zum Beispiel durch:

  • perfekte Datenschutzerklärung, aber offene Berechtigungen,
  • Löschkonzept, aber keine technische Umsetzung,
  • TOM-Dokumentation, aber keine Wirksamkeitsprüfung,
  • Richtlinien, aber gleichzeitig Schatten-IT.

 

Auf der anderen Seite entstehen genauso problematische Situationen:

  • technisch umfangreiche Datensammlungen ohne definierte Rechtsgrundlage,
  • KI-Systeme mit unverhältnismäßig vielen personenbezogenen Daten,
  • vollständiges Logging mit Datenschutzproblemen,
  • „Wir speichern lieber alles, falls wir es später noch brauchen“.

Datenschutz kann ohne wirksame technische und organisatorische Maßnahmen der Informationssicherheit nicht wirksam umgesetzt werden. Gleichzeitig kann Informationssicherheit ohne Datenschutz wichtige Schutzgüter und rechtliche Grenzen aus dem Blick verlieren. 

Auch die rechtlichen und fachlichen Grundlagen gehen dabei in dieselbe Richtung: Art. 32 DSGVO verlangt ein angemessenes technisches und organisatorisches Schutzniveau, der EDPB betont Datenschutz durch Technikgestaltung, und der BSI IT-Grundschutz versteht Informationssicherheit als ganzheitlichen Ansatz.

Die häufigsten Folgen dieser Trennung sind Doppelarbeit, widersprüchliche Prozesse, Sicherheits- und Datenschutzlücken sowie unklare Verantwortlichkeiten. Genau dadurch entsteht in der Praxis oft das Risiko, dass sich am Ende niemand eindeutig zuständig fühlt. Gerade aktuelle Themen wie KI verstärken diese Herausforderung zusätzlich. Ob automatische Datenanalysen, neue Cloud-Dienste oder der Upload sensibler Informationen in KI-Systeme primär dem Datenschutz oder der Informationssicherheit zuzuordnen sind, lässt sich immer seltener eindeutig beantworten.

Deshalb funktionieren starre “Silos” und getrennte Betrachtungen heute kaum noch. Denn Datenschutz ohne Informationssicherheit bleibt in vielen Fällen reine Theorie und Informationssicherheit ohne Datenschutz erkennt nicht immer das richtige Schutzgut. 

 

Unser Fazit

Für uns ist klar: Datenschutz und Informationssicherheit haben unterschiedliche Perspektiven, aber kein unterschiedliches Gesamtziel. Unternehmen brauchen künftig keine stärkere Abgrenzung zwischen Datenschutz und Informationssicherheit, sondern einen gemeinsamen Blick auf Risiken, Daten, Systeme und Schutzmaßnahmen. Nur so entsteht eine belastbare Grundlage für aktuelle und zukünftige Themen wie KI, Cybersicherheit und Produktsicherheit.

 

Quellen

 

Autor

Markus Vatter, Head of Compliance, 27.05.2026

Andere interessante Artikel

Alle ansehen
Datenschutzkonform mit KI arbeiten
Datenschutzkonform mit KI arbeiten: Leitfaden für Ihr Unternehmen

Künstliche Intelligenz ist in aller Munde und bietet enorme Chancen für Unternehmen, doch ihr Einsatz muss datenschutzkonform erfolgen. 

Unser Leitfaden zeigt, wie Sie KI-Anwendungen rechtssicher auswählen, implementieren und nutzen. Praxisnah, verständlich und mit Fokus auf DSGVO-Konformität.

Laptop, Roboter kommt aus Screen
KI im Unternehmen: Chancen, Risiken und klare Regeln

Künstliche Intelligenz ist längst im Unternehmensalltag angekommen und bietet große Chancen für Effizienz, Produktivität und Entlastung. Gleichzeitig brauchen Unternehmen klare Regeln, technische Schutzmaßnahmen und rechtliche Leitplanken, um KI sicher, verantwortungsvoll und rechtskonform einzusetzen.

Sprechen Sie mit unseren Experten.

Wir beraten Sie gerne und freuen uns auf Ihre Fragen.

To build Software

that people love to use.

+49 (0) 7121 68 08 49-0
mail@bitbasegroup.com
Am Heilbrunnen 47
D-72766 Reutlingen

Berichten Sie uns von Ihren Erfahrungen mit der bbg bitbase group

TopConsultant 2022
kununu
charta der vielfalt
ratiopharm