Zwei Begriffe, ein Ziel
In fast jedem Projekt, das ich begleite, fällt irgendwann dieser Satz:
“Datenschutz? Das macht bei uns der Jurist. Informationssicherheit? Die IT.”
Und genau hier beginnt das Problem. Ich habe diverse Unternehmen gesehen, die Datenschutz und Informationssicherheit getrennt behandeln – als zwei verschiedene Disziplinen. Der eine denkt in Gesetzen, der andere in Firewalls. Aber keiner schaut auf das Ganze.
Das Ergebnis: Missverständnisse, Konflikte, und am Ende ein Gefühl von Sicherheit, das nur auf dem Papier existiert.
Dabei ist die Wahrheit ganz einfach: Datenschutz schützt die Person. Informationssicherheit schützt die Information.
Und ohne das eine funktioniert das andere nicht.
Zwei Welten, die sich ergänzen und oft ignoriert werden
Datenschutz wird häufig juristisch gedacht: Rechtsgrundlagen, Zweckbindung, Einwilligungen, Verzeichnisse. Informationssicherheit hingegen technisch: Firewalls, Zugriffsrechte, Verschlüsselung, Backups.
Beide Disziplinen verfolgen dasselbe Ziel: Schutz von Informationen und Vertrauen. Doch in der Praxis arbeiten sie oft nebeneinander her oder schlimmer: gegeneinander.
Ein Beispiel aus meiner Beratung: In einem Unternehmen sollte ein neues Monitoring-System eingeführt werden. Die Informationssicherheit forderte umfassende Protokollierung, der Datenschutz widersprach: “Das verstösst gegen das Prinzip der Datenminimierung.” Wochenlange Diskussionen folgten, weil keiner das Gesamtbild sah.
Die Lösung lag im Dialog: Protokollierung ist nötig, um Vorfälle zu erkennen. Aber sie muss so gestaltet werden, dass personenbezogene Daten geschützt bleiben.
Beides ist möglich, wenn man es gemeinsam denkt.
Missverständnisse, die ich immer wieder sehe
In vielen Unternehmen fehlt das Verständnis für die Rollen und Verantwortlichkeiten.
Ein Beispiel: Führungskräfte gehen oft davon aus, dass die IT automatisch für alle Daten verantwortlich ist.
Ich höre regelmässig Sätze wie:
“Das ist doch Sache der IT. Die müssen wissen, wie das geschützt wird.”
Das ist gefährlich, denn es verschiebt Verantwortung. Die IT stellt Systeme bereit, aber die Führungskräfte sind verantwortlich für die Informationen, die sie verarbeiten. Sie entscheiden, welche Daten gesammelt, wie sie genutzt und an wen sie weitergegeben werden. Diese Entscheidungen sind rechtlich und organisatorisch relevant, nicht nur technisch.
Ich habe Unternehmen erlebt, in denen genau dieses Missverständnis zu Datenschutzverletzungen führte. Nicht, weil jemand böse Absicht hatte, sondern weil niemand wusste, wer eigentlich verantwortlich ist.
Warum Führungskräfte beides verstehen müssen
Informationssicherheit ist kein IT-Thema, Datenschutz kein juristisches Nischenthema. Beides sind Führungsthemen.
Führungskräfte müssen verstehen:
- Welche Daten verarbeite ich in meinem Bereich?
- Wo liegen sie?
- Wer hat Zugriff?
- Welche Risiken bestehen bei Verlust oder Missbrauch?
Nur wer diese Fragen beantworten kann, kann Verantwortung übernehmen.
Ich sage oft:
“Führung in der digitalen Welt bedeutet, Verantwortung für Informationen zu tragen, nicht nur für Mitarbeitende oder Budgets.”
Das klingt selbstverständlich, ist es aber nicht.
Warum Unternehmen hier scheitern
Ich sehe regelmässig dieselben Schwachstellen:
- Silodenken: Datenschutz in der Rechtsabteilung, Informationssicherheit in der IT, ohne Abstimmung.
- Fehlende Verantwortlichkeit: Niemand fühlt sich wirklich zuständig.
- Mangelndes Verständnis: Begriffe werden verwechselt oder falsch interpretiert.
- Reaktives Handeln: Datenschutz wird erst bei Vorfällen oder Audits relevant.
Diese Trennung verhindert, dass ein Unternehmen ganzheitlich resilient wird. Es entsteht ein Flickenteppich aus Massnahmen, ohne gemeinsames Zielbild.
Ganzheitlicher Ansatz – die zwei Seiten der Medaille
Ein reifes Unternehmen versteht, dass der Datenschutz und die Informationssicherheit keine Gegensätze sind, sondern komplementär.
So ergänzen sie sich:
| Datenschutz | Informationssicherheit | |
|---|---|---|
| schützt die Person | schützt die Information | |
| fokussiert auf Rechtmässigkeit | fokussiert auf Vertraulichkeit, Integrität, Verfügbarkeit | |
| betrifft personenbezogene Daten | betrifft alle Informationen | |
| ist gesetzlich vorgeschrieben | ist organisatorisch und technisch erforderlich | |
| wird oft reaktiv geprüft | muss proaktiv gelebt werden |
Die Schnittmenge ist Vertrauen, die Grundlage jeder Beziehung zwischen Organisation und Mensch.
Vom Regelwerk zur Kultur
Die besten Regelwerke nützen nichts, wenn sie nicht verstanden werden. Deshalb ist der entscheidende Faktor die Kultur und die entsteht durch Kommunikation und Führung. Führungskräfte müssen den Datenschutz nicht juristisch beherrschen und sie müssen keine technischen Spezialisten sein. Aber sie müssen das Warum verstehen.
Wenn Führungskräfte begreifen, dass Datenschutz Vertrauen schafft und Informationssicherheit dieses Vertrauen schützt, ändert sich alles. Dann wird Datenschutz nicht mehr als Bremse, sondern als Bestandteil verantwortungsvoller Unternehmensführung wahrgenommen.
Wie Unternehmen beides zusammenbringen
Aus meiner Erfahrung funktioniert das Zusammenspiel dann, wenn drei Prinzipien gelebt werden:
- Gemeinsame Governance Datenschutzbeauftragte, IT und Fachbereiche arbeiten in einem abgestimmten Rahmen, klare Rollen, klare Schnittstellen.
- Führung übernimmt Verantwortung Management definiert Werte und Erwartungen. Datenschutz und Informationssicherheit sind Teil der Unternehmenskultur, nicht nur Compliance-Themen.
- Kommunikation in verständlicher Sprache Keine juristischen oder technischen Fachvorträge, sondern klare, menschliche Botschaften.
“Wir schützen Daten, weil sie Menschen gehören und weil das Vertrauen unser grösstes Gut ist.”
Ein Satz, der mehr bewirkt als zehn Paragraphen.
Vertrauen entsteht, wenn Verantwortung gelebt wird
Datenschutz und Informationssicherheit sind zwei Seiten derselben Medaille. Ohne Datenschutz verliert Informationssicherheit ihre ethische Basis. Ohne Informationssicherheit bleibt Datenschutz theoretisch.
Führungskräfte, die beides verstehen und verbinden, schaffen Vertrauen – intern wie extern. Sicherheit ist kein IT-Thema. Datenschutz ist kein Juristenthema. Beides sind Führungsaufgaben.
Denn: Wer Verantwortung für Menschen trägt, trägt auch Verantwortung für ihre Daten.