Verschlüsselung

Wenn Sie alles richtig machen, erhöhen Sie mit einer Verschlüsselung nach dem Stand der Technik die Sicherheit der Verarbeitung von personenbezogenen Daten enorm.

Mit einer Verschlüsselung erfüllen Sie außerdem das Schutzziel der Vertraulichkeit. Das liegt daran, dass Sie den Zugriff Unbefugter auf personenbezogene Daten durch Verschlüsselung verhindern. Genau so, wie es DSGVO und Datenschutz im allgemeinen den Verantwortlichen vorgeben.

Das ist Ihnen zu viel Text / zu viel zu lesen?

Sie hätten aber trotzdem gerne die enthaltenen Informationen und Hintergründe?

Fragen Sie uns doch einfach direkt.

Kontakt aufnehmen

Begriff

Der Begriff der Verschlüsselung taucht in der DSGVO und dem BDSG an einigen stellen explizit auf.

Zwar ist das nicht so häufig wie man meinen könnte wenn man Beträge von Behörden, oder Fachartikel liest, aber der Begriff ist da.

Zunächst eine kurze Anmerkung: Verschlüsselung ist keine neue Idee oder Erfindung der DSGVO. Schon das nicht mehr gültige alte Bundesdatenschutzgesetz (BDSG alt) erwähnt in der Anlage zu § 9 Satz 1 BDSG die Verwendung eines Verschlüsselungsverfahrens nach dem Stand der Technik für die Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle und Weitergabekontrolle. Durch eine dem Stand der Technik entsprechende Verschlüsselung verhindern Sie damals wie heute die Kenntnisnahme Unbefugter. Darum geht es bei der Vertraulichkeit.
Lesen Sie den §9 BDSG alt und die dazugehörige Anlage ruhig mal durch – bloß weil das BDSG (alt) nicht mehr gültig ist, bedeutet das nicht grundsätzlich einen falschen Inhalt.

Verschlüsselung in der DSGVO

Der Begriff Verschlüsselung taucht in der DSGVO an drei Stellen, und in den dazugehörigen Erwägungsgründen einmal auf.
Erwägungsgrund 83 beschreibt „Zur Aufrechterhaltung der Sicherheit und zur Vorbeugung gegen eine gegen diese Verordnung verstoßende Verarbeitung sollte der Verantwortliche oder der Auftragsverarbeiter die mit der Verarbeitung verbundenen Risiken ermitteln und Maßnahmen zu ihrer Eindämmung, wie etwa eine Verschlüsselung, treffen.“

In Art. 6 Abs. 4 lit. e) DSGVO in dem es um die Rechtsgrundlagen der Verarbeitungen von personenbezogen Daten geht, stellt die Verschlüsselung eine mögliche Voraussetzung als geeignete Garantie für eine Zweckänderung dar. Auch hier verringert die Verschlüsselung das Risiko.

Nach Art. 32 DSGVO zur Sicherheit der Verarbeitung kann die Verschlüsselung eine geeignete Maßnahme für mehr Sicherheit bei der Verarbeitung personenbezogener Daten sein.

Zu guter Letzt bildet eine ausreichende Verschlüsselung personenbezogener Daten nach Art. 34 DSGVO eine Ausnahme bei der Benachrichtigung betroffener Personen im Rahmen einer Datenpanne. Nämlich dann, wenn eine Verletzung der Vertraulichkeit ausgeschlossen ist, also Unbefugte (wegen der Verschlüsselung) keine Kenntnis von personenbezogenen Daten nehmen können.

Verschlüsselung im BDSG (neu)

Der Begriff der Verschlüsselung taucht auch im BDSG (neu) weiterhin auf. Fünf mal um genau zu sein.
Nach § 22 Abs. 2. Nr. 7. und § 48 BDSG (neu) ist die Verschlüsselung personenbezogener Daten eine Maßnahme, die zur Wahrung der Interessen betroffener Personen beitragen kann.

Besonders § 64 Abs. 2 zu den Anforderungen an die Sicherheit der Datenverarbeitung ist hier interessant, da Nr. 1. noch einmal erklärt, dass dadurch u.a. zur Vertraulichkeit beigetragen wird. Am Ende des Absatzes heißt es noch, dass die Maßnahmen insbesondere durch eine dem Stand der Technik entsprechenden Verschlüsselung erreicht werden können.
Auch der § 66 BDSG (neu) nimmt Bezug auf die Benachrichtigungspflichten gegenüber Betroffenen bei Datenpannen.

WICHTIG: Alles, was ab § 45 BDSG (neu) steht, ist nur für öffentlichen Stellen relevant. Trotzdem schadet ein Blick nicht – vielleicht trägt er zum Verständnis bei. Im Prinzip sind diese Absätze aber mit denen in der DSGVO vergleichbar.

Verschlüsseln: Sinn und Zweck

Sinn und Zweck des Verschlüsselns ist es, den Schutz der personenbezogenen Daten die Sie in ihrem Unternehmen tagtäglich verarbeiten zu erhöhen oder zu gewährleisten.

Wie im zitierten Erwägungsgrund 83 der DSGVO ist die Verschlüsselung eine Maßnahme zur Eindämmung von Risiken.

Wenn nur Befugte den Schlüssel zur Entschlüsselung haben, bedeutet das auch, dass Unbefugte keinen Zugriff haben. Unbefugte sind übrigens alle, die die entsprechenden Daten nichts angehen.

Nebenbei verringern Sie durch eine wirksame Verschlüsselung von personenbezogenen Daten das Risiko von Datenpannen, Schadensersatzansprüchen oder Bußgeldern für Ihr Unternehmen. Wenn nämlich durch die Verschlüsselung das Schutzziel der Vertraulichkeit auch bei unbeabsichtigtem Verlust gewährleistet bleibt, geht der Punkt an Sie.

Wann und wo verschlüsseln

Die Antwort auf die Frage wann und wo Sie verschlüsseln sollen ist einfach:

  1. Immer wenn Sie personenbezogene Daten transportieren oder weitergeben. Denn auf ihrer „Reise“ sind die Risiken für personenbezogene Daten immer höher.
  2. Überall wo Sie Zugriffe von Dritten nicht (ausreichend) ausschließen oder kontrollieren können.

Beispiele:

  • Emailversand
  • Kommunikation zwischen Browser und Webserver (z.B. Formulardaten für Login Bereiche, E-Mail Newsletter, Bewerbungsportale, Dateiup- / download, Banking, usw.)
  • Backups oder Datensicherungen auf mobilen Datenträgern (mobile Festplatte, USB Stick)
  • Daten auf mobilen Geräten wie Smartphones, Tablets, Notebooks, usw.
  • Übertragung in die, und Speicherung in der Cloud

Es gibt zwei wesentliche Unterscheidungen der Verschlüsselung.

Transportverschlüsselung

Die Transportverschlüsselung sichert die Daten vor fremde Kenntnisnahme auf dem Weg, bzw. bei der Übertragung.
Hier bieten sich Protokolle wie SSL/TLS oder VPN Verbindungen an.

Ende zu Ende Verschlüsselung

Bei der Ende zu Ende Verschlüsselung können nur Sender und Empfänger die (verschlüsselten) Daten lesen.

Wenn Sie Daten für sich selbst in einer Cloud speichern sind Sie gleichzeitig auch Empfänger. Wichtig ist, dass weder der Cloudanbieter, noch andere Ihren Schlüssel kennen / haben.

Funktion

Wie Verschlüsselung funktioniert zeigt dieser Wikipedia Artikel wohl am besten. https://de.wikipedia.org/wiki/Verschl%C3%BCsselung

Kennen sollten Sie die Begriffe „symmetrische Verschlüsselung“ in der beide Verschlüsselungspartner über den gleichen Schlüssel verfügen müssen, und asymmetrischen Verschlüsselungsverfahren, in der es zwei Schlüssel, einen zur Ver-, einen zur Entschlüsselung gibt.

WICHTIG UND DAHER NIE VERGESSEN

Wer den Schlüssel kennt oder hat, kann auf die personenbezogenen Daten zugreifen. Passen Sie daher auf den Schlüssel besonders gut auf.

Ein Verlust des Schlüssels ist wie ein Datenverlust. Damit ist die Verfügbarkeit nicht mehr gewährleistet.

Verschlüsselung zuammengefasst

Die Verschlüsselung personenbezogener Daten ist eine Maßnahme, die Risiken eindämmen oder sogar verhindern kann. Sie hilft dabei die Vertraulichkeit zu gewährleisten.

Bei der Wahl des Verschlüsselungsverfahrens achten Sie einfach auf den Stand der Technik.

Vergessen Sie niemals den Schlüssel!

Immer Up-to-date?

Abonnieren Sie unseren Newsletter!


Brandaktuelle Entwicklungen und Insiderwissen aus den Bereichen Datenschutz, Informationssicherheit und Hinweisgeberschutz liefern wir Ihnen 1x monatlich frei Haus in Ihr Mail-Postfach.


Jetzt für den Newsletter eintragen:

Mit dem Klick auf ‚E-Mail Newsletter abonnieren‘ erklären Sie sich mit dem regelmäßigen Empfang unseres Newsletters mit Informationen zu Datenschutz-, Informationssicherheits- und Compliancethemen sowie mit dessen Analyse durch individuelle Messung, Speicherung und Auswertung von Öffnungsraten und der Klickraten in Empfängerprofilen zu Zwecken der Gestaltung künftiger Newsletter entsprechend den Interessen unserer Leser einverstanden. Die Einwilligung kann mit Wirkung für die Zukunft widerrufen werden. Ausführliche Hinweise erhalten Sie in unseren Datenschutzhinweisen.

Unser Angebot – passgenau für die Anforderungen in Ihrem Unternehmen


Was ist beim Thema Datenschutz und Informationssicherheit in Ihrem Unternehmen wirklich zu tun? Ob Sie Ihren Datenschutz selbst organisieren, vorhandene Strukturen optimieren möchten oder Ihr Datenschutzmanagement auf professionelle Beine stellen wollen – wir sind Ihr Partner!

Gerne prüfen wir Ihren Status quo und erstellen Ihnen daraufhin ein passgenaues Angebot, das die oben genannten Bausteine beinhalten kann.

Unsere Zusammenarbeit gestalten wir nach Ihren Wünschen vor Ort im Raum München oder remote in ganz Deutschland.


DSK360 GmbH
Alpenblickstr. 9
82386 Oberhausen

Nutzen Sie unser Kontaktformular:

Ich freue mich darauf, Sie persönlich kennenzulernen.

Christian Schröder ist GDD Mitglied

Rechtliches

Impressum

Datenschutzhinweise

Grundsätze der Datenverarbeitung

Onlinemeetings mit Zoom

Gola DS-GVO KommentarStellung DatenschutzbeauftragterStellung Datenschutzbeauftragter