Verschlüsselung

Wenn Sie alles richtig machen, erhöhen Sie mit einer Verschlüsselung nach dem Stand der Technik die Sicherheit der Verarbeitung von personenbezogenen Daten enorm.

Mit einer Verschlüsselung erfüllen Sie außerdem das Schutzziel der Vertraulichkeit. Das liegt daran, dass Sie den Zugriff Unbefugter auf personenbezogene Daten durch Verschlüsselung verhindern. Genau so, wie es DSGVO und Datenschutz im allgemeinen den Verantwortlichen vorgeben.

Der Begriff der Verschlüsselung taucht in der DSGVO und dem BDSG an einigen stellen explizit auf.

Zwar ist das nicht so häufig wie man meinen könnte wenn man Beträge von Behörden, oder Fachartikel liest, aber der Begriff ist da.

Zunächst eine kurze Anmerkung: Verschlüsselung ist keine neue Idee oder Erfindung der DSGVO. Schon das nicht mehr gültige alte Bundesdatenschutzgesetz (BDSG alt) erwähnt in der Anlage zu § 9 Satz 1 BDSG die Verwendung eines Verschlüsselungsverfahrens nach dem Stand der Technik für die Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle und Weitergabekontrolle. Durch eine dem Stand der Technik entsprechende Verschlüsselung verhindern Sie damals wie heute die Kenntnisnahme Unbefugter. Darum geht es bei der Vertraulichkeit.
Lesen Sie den §9 BDSG alt und die dazugehörige Anlage ruhig mal durch – bloß weil das BDSG (alt) nicht mehr gültig ist, bedeutet das nicht grundsätzlich einen falschen Inhalt.

Der Begriff Verschlüsselung taucht in der DSGVO an drei Stellen, und in den dazugehörigen Erwägungsgründen einmal auf.
Erwägungsgrund 83 beschreibt „Zur Aufrechterhaltung der Sicherheit und zur Vorbeugung gegen eine gegen diese Verordnung verstoßende Verarbeitung sollte der Verantwortliche oder der Auftragsverarbeiter die mit der Verarbeitung verbundenen Risiken ermitteln und Maßnahmen zu ihrer Eindämmung, wie etwa eine Verschlüsselung, treffen.“

In Art. 6 Abs. 4 lit. e) DSGVO in dem es um die Rechtsgrundlagen der Verarbeitungen von personenbezogen Daten geht, stellt die Verschlüsselung eine mögliche Voraussetzung als geeignete Garantie für eine Zweckänderung dar. Auch hier verringert die Verschlüsselung das Risiko.

Nach Art. 32 DSGVO zur Sicherheit der Verarbeitung kann die Verschlüsselung eine geeignete Maßnahme für mehr Sicherheit bei der Verarbeitung personenbezogener Daten sein.

Zu guter Letzt bildet eine ausreichende Verschlüsselung personenbezogener Daten nach Art. 34 DSGVO eine Ausnahme bei der Benachrichtigung betroffener Personen im Rahmen einer Datenpanne. Nämlich dann, wenn eine Verletzung der Vertraulichkeit ausgeschlossen ist, also Unbefugte (wegen der Verschlüsselung) keine Kenntnis von personenbezogenen Daten nehmen können.

Der Begriff der Verschlüsselung taucht auch im BDSG (neu) weiterhin auf. Fünf mal um genau zu sein.
Nach § 22 Abs. 2. Nr. 7. und § 48 BDSG (neu) ist die Verschlüsselung personenbezogener Daten eine Maßnahme, die zur Wahrung der Interessen betroffener Personen beitragen kann.

Besonders § 64 Abs. 2 zu den Anforderungen an die Sicherheit der Datenverarbeitung ist hier interessant, da Nr. 1. noch einmal erklärt, dass dadurch u.a. zur Vertraulichkeit beigetragen wird. Am Ende des Absatzes heißt es noch, dass die Maßnahmen insbesondere durch eine dem Stand der Technik entsprechenden Verschlüsselung erreicht werden können.
Auch der § 66 BDSG (neu) nimmt Bezug auf die Benachrichtigungspflichten gegenüber Betroffenen bei Datenpannen.

WICHTIG: Alles, was ab § 45 BDSG (neu) steht, ist nur für öffentlichen Stellen relevant. Trotzdem schadet ein Blick nicht – vielleicht trägt er zum Verständnis bei. Im Prinzip sind diese Absätze aber mit denen in der DSGVO vergleichbar.

Sinn und Zweck des Verschlüsselns ist es, den Schutz der personenbezogenen Daten die Sie in ihrem Unternehmen tagtäglich verarbeiten zu erhöhen oder zu gewährleisten.

Wie im zitierten Erwägungsgrund 83 der DSGVO ist die Verschlüsselung eine Maßnahme zur Eindämmung von Risiken.

Wenn nur Befugte den Schlüssel zur Entschlüsselung haben, bedeutet das auch, dass Unbefugte keinen Zugriff haben. Unbefugte sind übrigens alle, die die entsprechenden Daten nichts angehen.

Nebenbei verringern Sie durch eine wirksame Verschlüsselung von personenbezogenen Daten das Risiko von Datenpannen, Schadensersatzansprüchen oder Bußgeldern für Ihr Unternehmen. Wenn nämlich durch die Verschlüsselung das Schutzziel der Vertraulichkeit auch bei unbeabsichtigtem Verlust gewährleistet bleibt, geht der Punkt an Sie.

Die Antwort auf die Frage wann und wo Sie verschlüsseln sollen ist einfach:

1. Immer wenn Sie personenbezogene Daten transportieren oder weitergeben. Denn auf ihrer „Reise“ sind die Risiken für personenbezogene Daten immer höher.
2. Überall wo Sie Zugriffe von Dritten nicht (ausreichend) ausschließen oder kontrollieren können.

Beispiele:

• Emailversand
• Kommunikation zwischen Browser und Webserver (z.B. Formulardaten für Login Bereiche, E-Mail Newsletter, Bewerbungsportale, Dateiup- / download, Banking, usw.)
• Backups oder Datensicherungen auf mobilen Datenträgern (mobile Festplatte, USB Stick)
• Daten auf mobilen Geräten wie Smartphones, Tablets, Notebooks, usw.
• Übertragung in die, und Speicherung in der Cloud

Es gibt zwei wesentliche Unterscheidungen der Verschlüsselung.

Die Transportverschlüsselung sichert die Daten vor fremde Kenntnisnahme auf dem Weg, bzw. bei der Übertragung.
Hier bieten sich Protokolle wie SSL/TLS oder VPN Verbindungen an.

Bei der Ende zu Ende Verschlüsselung können nur Sender und Empfänger die (verschlüsselten) Daten lesen.

Wenn Sie Daten für sich selbst in einer Cloud speichern sind Sie gleichzeitig auch Empfänger. Wichtig ist, dass weder der Cloudanbieter, noch andere Ihren Schlüssel kennen / haben.

Wie Verschlüsselung funktioniert zeigt dieser Wikipedia Artikel wohl am besten. https://de.wikipedia.org/wiki/Verschl%C3%BCsselung

Kennen sollten Sie die Begriffe „symmetrische Verschlüsselung“ in der beide Verschlüsselungspartner über den gleichen Schlüssel verfügen müssen, und asymmetrischen Verschlüsselungsverfahren, in der es zwei Schlüssel, einen zur Ver-, einen zur Entschlüsselung gibt.

Wer den Schlüssel kennt oder hat, kann auf die personenbezogenen Daten zugreifen. Passen Sie daher auf den Schlüssel besonders gut auf.

Ein Verlust des Schlüssels ist wie ein Datenverlust. Damit ist die Verfügbarkeit nicht mehr gewährleistet.