Die Datenschutz Grundverordnung (DSGVO) der Europäischen Union verlangt von Unternehmen, sensible Daten gegen Datenschutzverletzungen zu sichern. Sensible Daten sind z.B. personenbezogene Daten, die übertragen, gespeichert oder anderweitig verarbeitet werden. Als Datenschutzverletzungen werden versehentliche oder unrechtmäßige Zerstörung, Verlust, Veränderung, unbefugte Offenlegung oder Zugriff auf, definiert. Um solche Sicherheitsvorfälle zu vermeiden, werden Unternehmen dazu angehalten, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die sichere Verarbeitung personenbezogener Daten zu gewährleisten. Der Text der Verordnung bleibt vage, was diese Maßnahmen sein sollen und gibt nur zwei konkrete Vorschläge: Pseudonymisierung und Verschlüsselung.
Pseudonymisierung ist der Prozess, bei dem persönlich identifizierbare Informationen durch eindeutige künstliche Identifikatoren, sogenannte Pseudonyme, ersetzt werden, um die betroffene Person zu verschleiern und die Daten in einem begrenzten Kontext zu anonymisieren. Pseudonymisierte Daten bergen zwar das Risiko der Re-Identifizierung von Daten, doch die DSGVO setzt dafür weniger strenge Maßstäbe, da es als weniger wahrscheinlich angesehen wird, dass die betroffenen Personen im Falle einer Datenverletzung erheblich beeinträchtigt werden. Dennoch ist die Implementierung der Pseudonymisierung mit größeren Herausforderungen verbunden als die weit verbreitete und kostengünstigere Alternative, die Verschlüsselung.
Verschlüsselung ist eines der gebräuchlichsten, kostengünstigsten und effizientesten Verfahren, das Unternehmen in ihre Cybersicherheitsstrategien integrieren können, um die Datensicherheit zu erhöhen und eine sichere Kommunikation zu ermöglichen. Verschlüsselung ist mittlerweile ein Standardwerkzeug, das in vielen Betriebssystemen und einer Reihe von hocheffektiven Datenschutzlösungen für Daten im Ruhezustand und bei der Übertragung enthalten ist.
Verschlüsselung ist eine Form der Kryptographie, die Daten von Klartext, also einem leicht lesbaren Format, in Chiffretext übersetzt, eine Form, die ohne einen speziellen Schlüssel nicht entschlüsselt werden kann. Das bedeutet im Wesentlichen, dass Unbefugte ohne einen Entschlüsselungsschlüssel nicht auf die Daten zugreifen können, wodurch die Daten wertlos werden und die Rechte und Freiheiten der Betroffenen gewahrt bleiben.
Verschlüsselung in der DSGVO
Verschlüsselung ist in der Datenschutzgrundverordnung nicht zwingend vorgeschrieben. Sie wird jedoch viermal im Text der Verordnung erwähnt, jedes Mal als Empfehlung. Sie erscheint zuerst in Erwägungsgrund 83, in dem es heißt, dass die für die Datenverarbeitung Verantwortlichen oder die Auftragsverarbeiter die mit der Datenverarbeitung verbundenen Risiken bewerten und Maßnahmen zur Minderung dieser Risiken, wie z. B. Verschlüsselung, ergreifen sollten, um die Sicherheit und die Einhaltung der DSGVO zu gewährleisten.
Die Verschlüsselung erscheint dann in drei Artikeln der DSGVO, jedes Mal als Beispiel für eine wirksame technische Maßnahme. Im Zusammenhang mit der rechtmäßigen Verarbeitung in Artikel 6 unter Punkt 4e ist das Vorhandensein geeigneter Garantien, zu denen Verschlüsselung oder Pseudonymisierung gehören können, eines der Dinge, die die für die Verarbeitung Verantwortlichen berücksichtigen müssen, wenn sie feststellen, ob die Verarbeitung für einen anderen Zweck mit dem Zweck, für den die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist
In Artikel 32 über die Sicherheit der Verarbeitung unter Punkt 1a wiederholt das Gesetz einige der in Erwägungsgrund 83 genannten Punkte. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie der Risiken und der Schwere der Folgen für die Rechte und Freiheiten natürlicher Personen müssen der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen umsetzen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, wozu unter anderem die Pseudonymisierung und Verschlüsselung personenbezogener Daten gehören.
Die Verschlüsselung taucht abschließend in Artikel 34 über die Mitteilung einer Verletzung des Schutzes personenbezogener Daten an die betroffene Person unter Punkt 3a auf. Die Mitteilung an die betroffene Person ist nicht erforderlich, wenn der für die Verarbeitung Verantwortliche geeignete technische und organisatorische Schutzmaßnahmen getroffen hat und diese Maßnahmen auf die von der Datenschutzverletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, die die personenbezogenen Daten für eine nicht zugriffsberechtigte Person unverständlich machen, wie z. B. eine Verschlüsselung.
Verwendung von Verschlüsselung zur Einhaltung der DSGVO
Während Organisationen unter der DSGVO nicht verpflichtet sind, personenbezogene Daten zu verschlüsseln, ist dies eine von nur zwei technischen Sicherheitsmaßnahmen, die im Text der Verordnung erwähnt werden. Da die DSGVO die Verschlüsselung jedoch nicht zwingend vorschreibt, bietet sie keine Klarheit darüber, wann die Verschlüsselung verwendet werden sollte und welche Standards dabei angewendet werden müssen. Einige nationale Datenschutzbehörden, wie z. B. das britische Information Commissioner’s Office (ICO), haben die Sache selbst in die Hand genommen und empfohlen, dass Verschlüsselungslösungen aktuelle Standards wie FIPS 140-2 und FIPS 197 erfüllen.
Viele Verschlüsselungslösungen, die diese Standards erfüllen, gibt es bereits als native Tools auf Mobiltelefonen oder Betriebssystemen, was sie zu einem der einfachsten Schritte macht, die Unternehmen zum Schutz ihrer Daten unternehmen können. Für spezifischere Themen wie USB-Verschlüsselung gibt es auch kostenpflichtige Lösungen.
Der Einsatz von Verschlüsselung bietet Unternehmen nicht nur eine gute Möglichkeit, den Datenschutz von EU-Bürgern zu gewährleisten, sondern kann ihnen auch dabei helfen, den Verwaltungsaufwand für die Benachrichtigung der betroffenen Personen bei Datenschutzverletzungen zu reduzieren.
