Verschlüsselung von personenbezogenen Daten
Der Begriff Verschlüsselung
Der Begriff der Verschlüsselung taucht in der DSGVO und dem BDSG an einigen Stellen immer wieder explizit auf. Er kommt zwar nicht so häufig in Fachartikeln und Co. vor, aber der Begriff ist bekannt. Verschlüsselung ist jedoch keine neue Idee der DSGVO.
Bereits im mittlerweile nicht mehr gültigen alten Bundesdatenschutzgesetz (BDSG alt) wird die Verwendung eines Verschlüsselungsverfahrens nach dem Stand der Technik für die Zutritts-, Zugangs-, Zugriffs- und Weitergabekontrolle in der Anlage zu § 9 Statz 1 BDSG erwähnt.
Durch eine dem Stand der Technik entsprechenden Verschlüsselung verhindert man damals wie auch heute die Kenntnisnahme Unbefugter. Wenn man also alles richtig macht, erhöht man die Sicherheit der Verarbeitung von personenbezogenen Daten mit Hilfe der Verschlüsselung enorm.
Außerdem erfüllt man zudem das Schutzziel der Vertraulichkeit. Die Vertraulichkeit ist daher gegeben, da man den Zugriff Unbefugter auf personenbezogene Daten durch Verschlüsselung verhindern kann.
Verschlüsselung in der DSGVO
In der DSGVO taucht der Begriff Verschlüsselung insgesamt an drei Stellen, und in den dazugehörigen Erwägungsgründen einem auf. Im Erwägungsgrund 83 wird beschrieben:
Zur Aufrechterhaltung der Sicherheit und zur Vorbeugung gegen eine gegen diese Verordnung verstoßende Verarbeitung sollte der Verantwortliche oder der Auftragsverarbeiter die mit der Verarbeitung verbundenen Risiken ermitteln und Maßnahmen zu ihrer Eindämmung, wie etwa eine Verschlüsselung, treffen.
Die Verschlüsselung stellt in Art. 6 Abs. 4 lit. e) DSGVO, in dem es um die Rechtsgrundlagen der Verarbeitung von personenbezogenen Daten geht, eine mögliche Vorrausetzung als geeignete Garantie für eine Zweckänderung dar. Auch in diesem Fall verringert die Verschlüsselung das Risiko.
Laut Art. 32 DSGVO Sicherheit der Verarbeitung kann die Verschlüsselung eine geeignete Maßnahme für mehr Sicherheit bei der Verarbeitung personenbezogener Daten sein.
Hinzu kommt, dass eine ausreichende Versschlüsselung personenbezogener Daten nach Art. 34 DSGVO eine Ausnahme bei der Benachrichtigung betroffener Personen im Rahmen einer Datenpanne bildet. Nämlich dann, wenn eine Verletzung der Vertraulichkeit ausgeschlossen ist, sprich Unbefugte, aufgrund der Verschlüsselung, keine Kenntnis von personenbezogenen Daten nehmen können.
Verschlüsselung im BDSG neu
Auch im BDSG neu trifft man weiterhin auf den Begriff Verschlüsselung. Um genau zu sein taucht er exakt fünf-Mal im Bundesdatenschutzgesetz auf. Die Verschlüsselung von personenbezogenen Daten ist nach § 22 Abs. 2. Nr. 7 und § 48 BDSG neu eine Maßnahme, welche zur Wahrung der Interessen betroffener Personen beitragen kann.
Sehr interessant ist hier insbesondere der § 64 Abs. 2 zu den Anforderungen an die Sicherheit der Datenverarbeitung, da Nr. 1 noch einmal erklärt, dass dadurch u. a. zur Vertraulichkeit beigetragen wird. Außerdem wird in diesem Absatz noch festgehalten, dass die Maßnahmen insbesondere durch eine dem Stand der Technik entsprechenden Verschlüsselung erreicht werden können.
Auch im § 66 BDSG neu wird Bezug auf die Benachrichtigungspflichten gegenüber Betroffenen bei Datenpannen gesprochen.
Zweck der Verschlüsselung
Zweck der Verschlüsselung ist es, den Schutz der personenbezogenen Daten, die man im Unternehmen tagtäglich verarbeitet, zu erhöhen oder zu gewährleisten.
Wie schon zitiert, ist die Verschlüsselung laut Erwägungsgrund 83 DSGVO eine Maßnahme zur Eindämmung von Risiken. Da nur Befugte die Daten entschlüsseln können, haben Unbefugte keinen Zugriff auf diese Daten. Unter Unbefugten versteht man jeden, den die entsprechenden Daten nichts angehen.
Neben der Verschlüsselung Daten wegen der Unbefugten, verringert eine wirksame Verschlüsselung von personenbezogenen Daten außerdem das Risiko von Datenpannen, Schadensersatzansprüchen oder Bußgeldern für das eigene Unternehmen.
Der Stand der Technik im Zusammenhang mit Verschlüsselung
Der Erwägungsgrund 26 DSGVO besagt:
„Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind.“
Eine Verschlüsselung, welchen nicht dem Stand der Technik laut Artikel 32 DSGVO entspricht, erfüllt nicht nur die Vorgaben dieses Artikels nicht. Solch eine Verschlüsselung sorgt außerdem dafür, dass ein Verantwortlicher nicht ohne Weiteres davon ausgehen kann, dass die Verschlüsselten Daten keine personenbezogenen Daten mehr sind.
Das Problem dahinter: wenn es ohne hohen zeitlichen und finanziellen Aufwand möglich ist, eine Verschlüsselung zu brechen, muss man davon ausgehen, dass die betroffenen Personen identifizierbar sind und die schlecht bzw. schwach verschlüsselten Daten einen Personenbezug aufweisen.
Daher muss die verantwortliche Stelle immer klären und beachten, was der Stand der Technik bei der Verschlüsselung ist.
Zwei Arten der Verschlüsselung
Die kryptographischen Verfahren zum Dateien verschlüsseln lassen sich grob in zwei große Kategorien einteilen.
- Asymmetrische Verschlüsselung
Bei der asymmetrischen Verschlüsselung werden zwei Schlüssel verwendet.
Diese Verschlüsselung ist vor allem für den Datenaustausch sinnvoll, also wenn zwischen zwei Personen beispielsweise eine E-Mail gesendet wird.
Eine zu versendende Datei wird dann vom Sender mit dem öffentlichen Schlüssel, auch public key genannt, des Empfängers verschlüsselt.
Das gemeinsame Zertifizierungssystem ordnet dann den public key eindeutig zu.
Dadurch kann die sichere Verschlüsselung der Dateien mit dem privaten Schlüssel des Empfängers wieder aufgehoben werden.
- Symmetrische Verschlüsselung
Verschlüsselt man mit der symmetrischen Verschlüsselung ist sowohl zum Verschlüsseln als auch zum Entschlüsseln der Dateien derselbe Schlüssel nötig.
Mithilfe dieser Verschlüsselung kann man zwar seine eigenen Dateien schützen, aber wenn man die verschlüsselt weitergeben oder versenden möchte, muss man nicht nur die Datei austauschen, sondern auch den Schlüssel mit übergeben.
Bei persönlichen Übergaben mag das zwar möglich sein, aber im Internet kann man nie sicher sein, ob möglicherweise gerade jemand mitliest und Kopien von Nachrichten und Schlüssel anfertigt.
Eine symmetrische Verschlüsselung von Dateien bei der Sicherung der eigenen Dateien ist also sehr nützlich, jedoch nicht für den digitalen Austausch im Internet geeignet.
