Informationssicherheits- und Datenschutzexpertin
19 Jun 2026
8 min
.svg)
Informationssicherheit schützt alle Informationen über Vertraulichkeit, Integrität und Verfügbarkeit, Datenschutz schützt ausschließlich personenbezogene Daten und die Rechte der Betroffenen.
Die größte Überschneidung liegt bei den technischen und organisatorischen Maßnahmen: Art. 32 DSGVO verlangt faktisch Informationssicherheit für personenbezogene Daten.
Datenschutz hat ein rechtliches Ziel (Grundrechte), Informationssicherheit ein operatives (Schutz von Werten). Beide brauchen sich gegenseitig, ersetzen sich aber nicht.
Ein ISMS liefert die Maßnahmen-Basis, auf der sich Datenschutzanforderungen nachweisbar erfüllen lassen, idealerweise integriert statt in zwei getrennten Silos.
Datenschutz und Informationssicherheit werden oft synonym verwendet, meinen aber zwei verschiedene Dinge. Informationssicherheit schützt alle Informationen eines Unternehmens, unabhängig davon, ob sie personenbezogen sind. Datenschutz schützt ausschließlich personenbezogene Daten und die Rechte der Menschen, zu denen sie gehören. Die beiden überschneiden sich stark, sind aber nicht dasselbe.
Wer den Unterschied versteht, trifft bessere Entscheidungen darüber, welche Maßnahmen welche Anforderung erfüllen. Dieser Artikel grenzt beide Disziplinen ab, zeigt die Schnittmenge und erklärt, wie sich beide über ein gemeinsames Managementsystem effizient zusammenführen lassen.
Der wichtigste Unterschied liegt im Schutzobjekt. Informationssicherheit schützt jede Art von Information, vom Quellcode über Konstruktionspläne bis zu Kundenlisten, anhand der drei Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit. Datenschutz schützt einen bestimmten Ausschnitt dieser Informationen: personenbezogene Daten. Sein Ziel ist nicht primär die Sicherheit, sondern das Grundrecht auf informationelle Selbstbestimmung.
Datenschutz und Informationssicherheit überschneiden sich bei der Datensicherheit, verfolgen aber unterschiedliche Ziele.
Daraus folgt eine einfache Merkregel: Jeder Datenschutz braucht Informationssicherheit, aber nicht jede Informationssicherheit ist Datenschutz. Ein verschlüsselter Server mit anonymisierten Maschinendaten ist ein Thema der Informationssicherheit, aber nicht des Datenschutzes. Eine Kundendatenbank betrifft beide. Die Verwechslung entsteht, weil beide im Alltag dasselbe Werkzeug nutzen, nämlich Sicherheitsmaßnahmen, aber aus unterschiedlichen Gründen.
| Kriterium | Informationssicherheit | Datenschutz |
|---|---|---|
| Schutzobjekt | Alle Informationen | Nur personenbezogene Daten |
| Ziel | Vertraulichkeit, Integrität, Verfügbarkeit | Schutz der Grundrechte der Betroffenen |
| Rechtsrahmen | ISO 27001, NIS2, vertraglich | DSGVO, BDSG |
| Perspektive | Schutz des Unternehmenswerts | Schutz der betroffenen Person |
Die größte Schnittmenge liegt bei den technischen und organisatorischen Maßnahmen, kurz TOM. Artikel 32 DSGVO verlangt, dass personenbezogene Daten durch ein dem Risiko angemessenes Schutzniveau gesichert werden. Genannt werden unter anderem Verschlüsselung, Vertraulichkeit, Integrität und Verfügbarkeit. Das ist wortwörtlich Informationssicherheit, angewendet auf personenbezogene Daten.
Praktisch heißt das: Wer ein funktionierendes Sicherheitsniveau für seine Systeme aufgebaut hat, hat einen großen Teil der Datenschutzanforderungen an die Datensicherheit bereits erfüllt. Zugriffskonzepte, Verschlüsselung, Backup- und Notfallprozesse zahlen auf beide Ziele gleichzeitig ein.
Art. 32 DSGVO nennt konkret die Pseudonymisierung und Verschlüsselung personenbezogener Daten, die Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme dauerhaft sicherzustellen, die rasche Wiederherstellbarkeit nach einem Zwischenfall sowie ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit. Jeder dieser Punkte ist deckungsgleich mit Anforderungen aus der ISO 27001. Das ist kein Zufall: Der Gesetzgeber hat sich bei der Datensicherheit am etablierten Stand der Technik orientiert, den die Informationssicherheit definiert.
Praxisbeispiel
Ein Unternehmen führt rollenbasierte Zugriffsrechte ein, um Geschäftsgeheimnisse zu schützen. Dieselbe Maßnahme begrenzt automatisch, wer Kundendaten einsehen kann, und erfüllt damit eine zentrale Anforderung aus Art. 32 DSGVO. Eine Maßnahme, zwei Pflichten erfüllt.
Trotz der Überschneidung decken beide Disziplinen Bereiche ab, die die jeweils andere nicht kennt. Datenschutz umfasst Anforderungen, die nichts mit technischer Sicherheit zu tun haben: eine Rechtsgrundlage für jede Verarbeitung, Betroffenenrechte wie Auskunft und Löschung, Zweckbindung und Datenminimierung. Diese Pflichten lassen sich durch keine noch so gute Verschlüsselung erfüllen.
Umgekehrt schützt Informationssicherheit Werte, die der Datenschutz nicht berührt. Die Verfügbarkeit einer Produktionssteuerung oder die Integrität von Finanzdaten ist sicherheitskritisch, aber kein Datenschutzthema, solange keine personenbezogenen Daten betroffen sind.
| Nur Datenschutz | Schnittmenge (beide) | Nur Informationssicherheit |
|---|---|---|
| Rechtsgrundlage der Verarbeitung | Verschlüsselung | Schutz von Geschäftsgeheimnissen |
| Betroffenenrechte (Auskunft, Löschung) | Zugriffssteuerung | Verfügbarkeit der Produktion |
| Zweckbindung und Datenminimierung | Backup und Notfallplanung | Integrität von Maschinendaten |
| Auftragsverarbeitungsverträge | Risikobewertung | Schutz nicht-personenbezogener Daten |
Wer beide Disziplinen getrennt aufbaut, macht doppelte Arbeit. Risikoanalysen, Maßnahmenkataloge, Schulungen und Dokumentation überschneiden sich erheblich. Sinnvoller ist es, die gemeinsame Basis einmal zu schaffen und dann die jeweils spezifischen Anforderungen oben aufzusetzen.
Besonders sichtbar wird die Synergie bei Awareness-Schulungen. Ob ein Mitarbeiter eine Phishing-Mail erkennt, ist gleichzeitig ein Sicherheits- und ein Datenschutzthema, denn dieselbe Mail kann zu einem Datenleck personenbezogener Daten führen. Eine kombinierte Schulung deckt beide Pflichten ab, statt die Belegschaft zweimal zu binden. Auch bei Audits zahlt sich die gemeinsame Basis aus: Ein integrierter Maßnahmennachweis lässt sich einem Zertifizierungsauditor und einer Aufsichtsbehörde gleichermaßen vorlegen.
Gemeinsame Inventur
Einmal erfassen, welche Informationen und Systeme es gibt, und markieren, welche davon personenbezogene Daten enthalten.
Gemeinsame Maßnahmen-Basis
Die TOM einmal definieren. Sie erfüllen Sicherheits- und Datenschutzanforderungen zugleich.
Spezifische Schichten ergänzen
Datenschutz ergänzt Rechtsgrundlagen und Betroffenenrechte, Informationssicherheit ergänzt den Schutz nicht-personenbezogener Werte.
Der Hebel liegt in der gemeinsamen Risikobewertung. Wer Risiken einmal sauber erfasst und bewertet, kann für jedes Risiko entscheiden, ob es ein Sicherheits-, ein Datenschutz- oder ein doppeltes Thema ist. Getrennte Risikoanalysen dagegen führen zu widersprüchlichen Einstufungen, die im Audit auffallen und Vertrauen kosten.
Die rechtliche Detailabgrenzung zwischen Norm und Verordnung behandeln wir getrennt unter ISO 27001 und Datenschutz. Hier zählt das Prinzip: eine Basis, zwei aufgesetzte Zielbilder.
Ein Informationssicherheitsmanagementsystem, kurz ISMS, ist der natürliche Rahmen, um diese gemeinsame Basis zu organisieren. Es bündelt Risikobewertung, Maßnahmen, Verantwortliche und Kontrollen an einer Stelle. Genau diese Struktur braucht auch der Datenschutz, um die Sicherheit personenbezogener Daten nachweisbar zu belegen.
Wer einen Schritt weiter gehen will, erweitert das ISMS um ein Datenschutzmanagement. Die Norm ISO 27701 setzt dafür direkt auf ISO 27001 auf und ergänzt sie um Datenschutzanforderungen. Wie diese Erweiterung im Detail funktioniert, beschreiben wir unter ISO 27701.
"In der Praxis scheitern Unternehmen selten an der Technik, sondern an der Trennung. Sie führen Datenschutz und Informationssicherheit als zwei Projekte mit zwei Tools und zwei Dokumentationen. Dabei teilen sich beide rund 70 Prozent der Maßnahmen. Wer sie zusammen denkt, halbiert den Aufwand."
Nandini Suresh, Informationssicherheits- und Datenschutzexpertin bei SECJUR
Der Aufbau dieser integrierten Struktur bindet erfahrungsgemäß viel interne Kapazität. Eine Plattform wie das SECJUR Digital Compliance Office senkt diesen Aufwand um bis zu 50 Prozent, weil sie ISMS und Datenschutzmanagement in einem System abbildet und Maßnahmen nur einmal gepflegt werden müssen.
Datenschutz und Informationssicherheit sind verschiedene Ziele mit einer gemeinsamen Grundlage. Die Sicherheit der Daten ist die Schnittmenge, die rechtlichen und die werteorientierten Anforderungen sind die jeweils eigenen Ränder. Unternehmen, die das verstehen, bauen nicht zwei Systeme, sondern eines mit zwei Sichten.
Mit einer Plattform wie SECJUR lassen sich beide Disziplinen in einem Managementsystem führen, sodass Maßnahmen, Nachweise und Verantwortlichkeiten konsistent bleiben. Das reduziert Doppelarbeit und schließt die Lücken, die entstehen, wenn Sicherheit und Datenschutz aneinander vorbei arbeiten.
Auch die Rollen bleiben dabei getrennt, ohne sich zu widersprechen. Der Datenschutzbeauftragte verantwortet die Rechtmäßigkeit der Verarbeitung, der Informationssicherheitsbeauftragte das Schutzniveau der Systeme. Im integrierten System greifen beide auf dieselben Maßnahmen und Nachweise zu, treffen ihre Entscheidungen aber aus ihrer jeweiligen Perspektive. Genau diese Kombination aus gemeinsamer Datenbasis und getrennter Verantwortung ist es, die im Ernstfall, etwa bei einer Datenpanne, schnelles und rechtssicheres Handeln ermöglicht.
Nandini Suresh ist Compliance Expert bei SECJUR und spezialisiert auf Datenschutz, Cybersecurity und geistiges Eigentum. Bevor sie zu SECJUR kam, war sie unter anderem bei Bird & Bird sowie Lorenz Seidler Gossel tätig und betreute dort internationale Mandate im Marken- und Datenschutzrecht. Durch ihre Erfahrung an der Schnittstelle von Recht, Technologie und Compliance verbindet sie juristische Präzision mit einem tiefen Verständnis für die regulatorischen Anforderungen moderner Unternehmen.
SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.
Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office
Die häufigsten Fragen zum Thema
Informationssicherheit schützt alle Informationen eines Unternehmens über die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit. Datenschutz schützt ausschließlich personenbezogene Daten und die Grundrechte der betroffenen Personen. Informationssicherheit ist die technische Basis, Datenschutz hat zusätzlich rechtliche Anforderungen wie Rechtsgrundlagen und Betroffenenrechte.
Teilweise. Die Datensicherheit, also der Schutz personenbezogener Daten durch technische und organisatorische Maßnahmen nach Art. 32 DSGVO, ist Teil der Informationssicherheit. Andere Datenschutzpflichten wie Zweckbindung, Rechtsgrundlagen und Betroffenenrechte gehören jedoch nicht zur Informationssicherheit.
Artikel 32 DSGVO verlangt ein dem Risiko angemessenes Schutzniveau für personenbezogene Daten. Konkret nennt er Pseudonymisierung und Verschlüsselung, die dauerhafte Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme, die rasche Wiederherstellbarkeit der Datenverfügbarkeit nach einem Zwischenfall sowie ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit. Diese Anforderungen entsprechen dem Stand der Technik, wie ihn die Informationssicherheit definiert.
Ein Informationssicherheitsmanagementsystem (ISMS) bündelt Risikobewertung, Sicherheitsmaßnahmen, Verantwortliche und Kontrollen in einem strukturierten System. Für den Datenschutz ist das relevant, weil Art. 32 DSGVO genau diese Struktur fordert: ein dokumentiertes, geprüftes und nachweislich wirksames Sicherheitsniveau für personenbezogene Daten. Wer ein ISMS betreibt, hat den technisch-organisatorischen Teil des Datenschutzes bereits großteils abgedeckt.
Der effizienteste Weg ist ein gemeinsames Managementsystem: Risikoanalyse, Maßnahmenkatalog und Dokumentation einmal aufsetzen, dann für Informationssicherheit und Datenschutz nutzen. Die Norm ISO 27701 bietet dafür eine formale Erweiterung von ISO 27001. Plattformen wie SECJUR unterstützen diesen integrierten Ansatz, indem sie ISMS und Datenschutzmanagement in einem System abbilden und Doppelarbeit vermeiden.
Die Informationssicherheitsleitlinie ist das oberste Dokument im ISMS. Was hineingehört, wie sie sich von Richtlinien abgrenzt und wie die Geschäftsführung sie verabschiedet.
Überwachungsaudits sind schlanke Routineprüfungen Ihres QMS im 3-Jahres-Zyklus. Erfahren Sie, wann sie stattfinden, wie Auditoren vorgehen und wie Sie sich optimal vorbereiten.
ISO 27001 oder BSI IT-Grundschutz? Vergleich der beiden Ansätze, Zertifizierungswege und eine praxisnahe Zuordnungstabelle.
.svg)
.svg)
.svg){kind=small}