Der Schaden ist groß, sollten personenbezogene Daten in die falschen Hände kommen. Die Datenverschlüsselung ist ein Instrument, mit dem sich Unternehmen zusätzliche Sicherheit verschaffen können. Allerdings sind bereits vor der Einführung einer Verschlüsselung mehrere datenschutzrelevante Aspekte zu berücksichtigen.
Gründe für die Verschlüsselung von Daten
Aus Sicht des Datenschutzes gibt es mehrere Gründe, die den Einsatz einer Datenverschlüsselung erforderlich machen oder zumindest für ihn sprechen.
Absicherung von Zugangskontrolle und Zugriffskontrolle: Nutzer eines Computers oder einer anderen DV-Anlage sollen lediglich auf solche Inhalte zugreifen (einsehen, verändern, kopieren oder löschen) können, für welche sie über eine Berechtigung verfügen. Sollten solche Kontrollmaßnahmen versagen, kann eine Daten Verschlüsselung das Ausmaß einer Datenschutzpanne oder eines Datendiebstahls verringern.
Weitergabekontrolle: Die Weiterleitung personenbezogener Daten an externe Dienstleister birgt zusätzliche Risiken. Das Verschlüsseln von Daten / Dateien kann eine Personenbeziehbarkeit aufheben. So manch externe Leistung wird erst in Verbindung mit dieser Sicherheitsmaßnahme zulässig, wie z.B. das Speichern bestimmter Daten auf externen Servern.
Personenbeziehbarkeit der verschlüsselten Daten
Zu diesem Unterthema ein kleiner Exkurs. Die Idee der Daten Verschlüsselung vor einer Übermittlung an externe Dienstleister ist es, die Daten für den Empfänger nicht nutzbar zu machen. Interessant ist, dass Rechts- und Datenschutzexperten zu diesem Thema unterschiedliche Ansichten vertreten.
Als kritisch gilt, dass eine Entschlüsselung der Daten erfolgen könnte. Allerdings ist dieses Risiko bei Nutzung einer angemessenen Verschlüsselung sehr gering. Deshalb vertreten mehrere Aufsichtsbehörden der Länder wie z.B. das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) die Ansicht, dass bei verschlüsselten Personendaten keine Personenbeziehbarkeit besteht.
Entsprechend ist vor Einführung eines solchen technischen Verfahrens zu prüfen, ob eine Verschlüsselung den jeweils bestehenden Anforderungen an den Datenschutz gerecht wird. So ist unter anderem die Ansicht der zuständigen Aufsichtsbehörde in die Überlegungen einfließen zu lassen.
Der Vollständigkeit halber sei angemerkt, dass die bloße Verschlüsselung von Daten mit Personenbezug nicht genügt, um einen beliebigen Cloud-Anbieter als Partner für eine Archivierung zu wählen. Es sind weitere Prüfungen notwendig, um beispielsweise sicherzustellen, dass der Anbieter keinen anderen Unternehmen Zugriff auf die übermittelten Daten gewährt. Ergänzende Informationen hierzu sind in unserem Beitrag zum Thema Cloud-Speicher Datenschutz zu finden.
Welche Daten verschlüsseln?
Jede Datenverschlüsselung will technisch erst einmal umgesetzt sein. Je mehr Daten / Dateien zu verschlüsseln sind, desto größer der Aufwand. Deshalb ist es üblich, zunächst zu ermitteln, welche Daten für die Verschlüsselung relevant sind.
Welche Daten zu verschlüsseln sind, hängt vom Grund und der jeweiligen Zielsetzung ab. Angenommen es geht um Computer und Datenträger in einem Home Office. Hier sind die Möglichkeiten der Zutrittskontrolle für das Unternehmen stark eingeschränkt, weshalb eine Verschlüsselung der Dateien zusätzliche Sicherheit vor den Folgen eines möglichen Zugriffs durch Dritte verspricht. Um die Risiken im Datenschutz zu minimieren, empfiehlt es sich, sämtliche personenbezogene Daten zu verschlüsseln. Sogar innerhalb eigener, mit Zugangskontrollen abgesicherten Räume kann es sinnvoll sein, Daten zu verschlüsseln. Dies trifft z.B. für besondere Kategorien personenbezogener Daten zu.
Verschlüsselung von Daten in der Praxis
Die praktische Umsetzung der technischen Verschlüsselung kann unterschiedlich erfolgen. Es gibt z.B. Programme / Software, die es dem Nutzer gestattet, einzelne Dateien, Ordner oder ganze Laufwerke zu verschlüsseln. In Verbindung mit einem individuellen Schlüssel ist es möglich, die mit einer solchen Software verschlüsselten Dateien wieder zu entschlüsseln.
Ebenso gibt es Anwendungsprogramme, die über eine integrierte Datenverschlüsselung verfügen. Gerade bei branchenspezifischen Softwarelösungen (z.B. Banken oder Gesundheitswesen) sind solche Lösungen oft anzutreffen. Bei solcher Software finden Ver- und Entschlüssung im Hintergrund statt, ohne dass der Anwender selbst eingreifen muss.
Darüber hinaus gibt es Betriebssysteme, die sich in Verbindung mit einer automatischen Verschlüsselung nutzen lassen. Die Folge ist, dass sämtliche Dateien auf dem jeweiligen Computer oder der DV-Anlage verschlüsselt werden.
Bei der Wahl einer technischen Verschlüsselung stehen für Unternehmen zwei Aspekte im Fokus. Zunächst muss sichergestellt sein, dass die Verschlüsselung den Anforderungen des Datenschutzkonzepts gerecht wird, damit im Falle einer Überprüfung durch eine Aufsichtsbehörde keine Strafe droht. Bei der Auswahl kann es hilfreich sein, sich an der technischen Richtlinie „Kryptographische Verfahren: Empfehlungen und Schlüssellängen (BSI TR-02102)“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zu orientieren.
Beim zweiten Aspekt handelt es sich um die praktische Eignung der Verschlüsselungslösung. Die Verschlüsselung sollte nicht nur sicher sein, sondern außerdem flüssige Arbeitsabläufe gewährleisten.
Unterstützung vom externen Datenschutzbeauftragten
Sie möchten bei sich im Unternehmen eine Datenverschlüsselung einführen oder die bestehende Verschlüsselungslösung im Hinblick auf den Datenschutz kritisch hinterfragen? Gerne helfen wir Ihnen dabei. Als externer Datenschutzbeauftragter sind wir mit der Materie umfassend vertraut. Es ist möglich, dass wir als externer Datenschutzbeauftragter auch Sie beim betrieblichen Datenschutz unterstützen. Ebenso können wir Ihnen im Rahmen unserer Datenschutzberatung zur Seite stehen. Für weitere Informationen sind wir telefonisch unter 0800 – 5600831 (gebührenfrei) sowie über unser Kontaktformular erreichbar.