Compliance-Lexikon · Grundbegriff
Confidentiality
[ˌkɒnfɪˌdenʃiˈælɪti] · auch: Vertraulichkeit, Geheimhaltung
Confidentiality bezeichnet die Eigenschaft, dass Informationen nur autorisierten Personen, Systemen oder Prozessen zugaenglich sind – als erstes Element der CIA-Triad und Grundlage fuer Datenschutz, Betriebsgeheimnisschutz und regulatorische Compliance.
Warum Confidentiality ein Compliance-Kernbegriff ist
Confidentiality ist das intuitivste Schutzziel – und gleichzeitig das am haeufigsten verletzt. Datenpannen, unberechtigte Zugriffsrechte, unverschluesselte Uebertragungen: Alle fuehren zu Vertraulichkeitsverletzungen mit Bussgeld- und Haftungsrisiko. DSGVO, NIS-2 und das Geschaeftsgeheimnisgesetz verlangen aktive Massnahmen zum Vertraulichkeitsschutz – und deren Nachweis.
Wo Confidentiality gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| ISO 27001:2022 | A.5.12 / A.8.3 | Klassifizierung und Handhabung von Informationen: Vertraulichkeitsstufen definieren und Schutzmassnahmen ableiten. |
| DSGVO | Art. 5 Abs. 1f | Integritaet und Vertraulichkeit als Datenschutzgrundsatz: Personenbezogene Daten muessen vor unbefugtem Zugriff geschuetzt sein. |
| NIS-2 / BSIG | § 30 Abs. 2b | Vertraulichkeit sensibler Informationen als technische Schutzmassnahme fuer wesentliche Einrichtungen. |
| DORA | Art. 9 | Vertraulichkeit von IKT-Daten bei Verarbeitung, Speicherung und Uebertragung als Mindestanforderung. |
| GeschGehG | vollstaendig | Gesetz zum Schutz von Geschaeftsgeheimnissen: Vertraulichkeitsmassnahmen als Voraussetzung fuer rechtlichen Schutz von Trade Secrets. |
BAM-Objektreferenz
Haeufige Audit-Fehler
- Zu breite Zugriffsrechte – Least-Privilege-Prinzip nicht umgesetzt
- Daten klassifiziert, aber Schutzmassnahmen nicht an Klassifizierung angepasst
- E-Mails mit vertraulichen Daten unverschluesselt versendet
- Kein Verfahren zur Rueckgabe oder Vernichtung vertraulicher Daten bei Vertragsende
Vertraulichkeit durch Schichtung
Vertraulichkeitsschutz wird nicht durch eine einzelne Massnahme erreicht, sondern durch ein Schichtenmodell: Klassifizierung (was ist vertraulich?), Zugriffskontrolle (wer darf zugreifen?), Verschluesselung (Schutz bei Uebertragung und Speicherung), Protokollierung (wer hat zugegriffen?), physischer Schutz (wer kann auf das Medium zugreifen?). Jede Schicht allein ist unzureichend – erst die Kombination ergibt wirksamen Vertraulichkeitsschutz. Das ist der praktische Ausdruck des Defense-in-Depth-Prinzips fuer das Schutzziel Vertraulichkeit.
Geschaeftsgeheimnisse und rechtlicher Schutz
Das Gesetz zum Schutz von Geschaeftsgeheimnissen (GeschGehG, Umsetzung der EU-Richtlinie 2016/943) schuetzt vertrauliche Geschaeftsinformationen – aber nur dann, wenn der Inhaber angemessene Geheimhaltungsmassnahmen getroffen hat. Wer seine Geschaeftsgeheimnisse rechtlich schutzen will, muss nachweisen koennen, dass er Vertraulichkeit aktiv implementiert hat. Ohne diese Massnahmen gibt es keinen rechtlichen Schutz – auch wenn die Information objektiv wertvoll ist.
Naechste Ebene
Confidentiality in der Praxis: Zugriffskontrolle, Verschluesselung und Evidence
Wie Vertraulichkeit operativ umgesetzt und im Audit nachgewiesen wird.