Datenschutz: Begriffsbestimmung

Datenschutz

„Datenschutz“ ist ein rechtlicher Begriff (Datenschutzgesetz - DSG) und bezeichnet nur den Schutz (d. h. den Anspruch auf Geheimhaltung) direkt oder indirekt personenbezogener Daten, soweit ein schutzwürdiges Interesse daran besteht. Unter Personen werden dabei natürliche oder juristische Person bzw. Personengemeinschaften verstanden. Auch „sensible Daten“ ist ein rechtlicher Begriff aus dem DSG, der sich auf eine bestimmte Liste von besonders schutzwürdigen personenbezogenen Daten bezieht.

Allerdings wird in § 14 DSG 2000 auch auf die Datensicherheit eingegangen, denn:

Ohne Datensicherheit kein Datenschutz!

Zuständig: Der/Die Datenschutzbeauftragte der TU Graz, eine Datenschutzrichtlinie fehlt derzeit noch.

Datensicherheit

„Datensicherheit“ (oder auch „Informationssicherheit“) bezeichnet Eigenschaften von informationsverarbeitenden Systemen, die

  • die Vertraulichkeit (Confidentiality),
  • die Unversehrtheit (Integrity) und
  • die Verfügbarkeit (Availability)

(CIA) der Daten/Informationen sicher stellen.

Unterstützt wird das i. Allg. durch eine Infrastruktur, die

  • die Authentisierung (Authentication) von Personen,
  • die Autorisierung (Authorization) von Personen und
  • die Zurechnung (Accounting) von Aktionen zu Personen

(AAA) und die Nachweisbarkeit bzw. Nichtabstreitbarkeit (Non-Repudiation) von Änderungen sicher stellt.

Zuständig: I. Allg. ein/e Informationssicherheitsbeauftragte/r. Eine solche Stelle existiert bisher an der TU Graz nicht bzw. befaßt sich einer der beiden Datenschutzbeauftragten mehr mit dem Thema Datenschutz, der oder die andere mehr mit dem Thema Datensicherheit.
Ansprechstelle für den Bereich Informationssicherheit ist derzeit das CERT der TU Graz, eine IT-Security-Policy ist im ACOnet in Ausarbeitung.

Auch im Bereich Datensicherheit kann es „sensible“ (also besonders schutzwürdige) Daten geben, darunter werden aber i. Allg. Daten verstanden, die z. B. entweder vertraulich oder unternehmenskritisch sind. D. h. der Verlust, die Veröffentlichung oder Veränderung dieser Daten hat zwar keine datenschutzrechtliche Auswirkung, kann aber die Reputation oder die Arbeit der Universität beeinträchtigen.