So wird die neue Datenschutz-Grundverordnung bei Boxcryptor umgesetzt.
Andrea Pfundmeier, CEO und Co-Founder bei Boxcryptor
Andrea Pfundmeier | CEO
@A_Pfund
2018 M05 6, Sun

Umsetzung der DS-GVO bei Boxcryptor Teil 5: So setzen wir Verschlüsselung bei Boxcryptor ein

Für Boxcryptor und alle anderen Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, gilt seit 25. Mai 2018 die neue Datenschutz-Grundverordnung. Das ist eine Verordnung der Europäischen Union, die den Umgang mit personenbezogenen Daten grundlegend neu regelt. Aufgrund dieser Gesetzesänderung ergeben sich für viele Unternehmen weitreichende Änderungen und Neustrukturierungen. Viele Umfragen zeigen, dass das Thema DS-GVO Angst und Schrecken verbreitet. Bei Boxcryptor haben wir uns dazu entschieden, die DS-GVO als Chance zu sehen. In einer mehrteiligen Artikelserie wird deshalb CEO Andrea Pfundmeier berichten, wie Sie die Europäische Datenschutz Grundverordnung bei Boxcryptor umsetzt.

Lesen Sie hier die vorangegangenen und weiteren Artikel der Serie:

Teil 1 – Überblick verschaffen (Schritte 1-4) Teil 2 – Optimierung bestehender Prozesse (Schritte 5-8) Teil 3 – Interne Umsetzung und externe Datenschutzbeauftragte Teil 4 – Umgang mit Drittanbietern (Schritt 9) Teil 6 – Vor der DS-GVO ist nach der DS-GVO

Verschlüsselung und die DS-GVO

Im Rahmen meiner Artikelserie zur Umsetzung der DS-GVO bei Boxcryptor möchte ich nun noch einmal konkreter auf das Thema Verschlüsselung eingehen. Denn einerseits ist die Dateiverschlüsselung mit Boxcryptor unser Produkt, andererseits sichern wir unsere eigenen Unternehmensdaten hier bei der Secomba GmbH natürlich auch mit Verschlüsselung. Warum Verschlüsselung ein wichtiger Baustein zur DS-GVO Konformität ist, will ich heute erklären.

Was sagt die DS-GVO zum Thema Verschlüsselung?

Tatsächlich taucht das Wort „Verschlüsselung“ in der Datenschutz Grundverordnung gar nicht auf. Vielmehr verlangt die Verordnung „geeignete technische und organisatorische Maßnahmen“ (TOM; EU-DS-GVO Art. 32), um personenbezogene Daten zu schützen. Boxcryptor bietet Verschlüsselung nach Stand der Technik und ist deshalb als eine solche TOM zu werten. Gut zu wissen: Einige Landesdatenschutzbehörden bewerten personenbezogene Daten, die mittels starker Verschlüsselung geschützt sind, nicht mehr als personenbezogene Daten. Ein Beispiel: Das Bayerische Landesamt für Datenschutzaufsicht vertritt die Auffassung, dass verschlüsselte Dateien nicht personenbezogen sind. Im 6. Tätigkeitsbericht des BayLDA vom März 2015 findet man unter Punkt 5.2. folgende Aussage:

„Ein Teil der deutschen Datenschutzaufsichtsbehörden hält personenbezogene Daten, die mit einem starken kryptografischen Verfahren nach dem aktuellen Stand der Technik sicher verschlüsselt sind, bei einem Dienstleister für nicht personenbezogen, da er sie nicht zur Kenntnis nehmen könne. Zu dieser Gruppe der Aufsichtsbehörden gehören auch wir. Erhält also ein externer Dienstleister nur vollständig und sicher verschlüsselte Daten als Archivar zur Aufbewahrung, ist dies dort keine Verarbeitung personenbezogener Daten im Auftrag nach § 11 BDSG.” Lesen Sie hier mehr dazu.

Das macht die Handhabung dieser Daten im Hinblick auf DS-GVO Konformität einfacher und bringt auch im Falle von Datenverlust (durch Unachtsamkeit oder einen Angriff) entscheidende Vorteile: Mit verschlüsselten Daten kann ein Angreifer (ohne den passenden Schlüssel) nichts anfangen.

DS-GVO Konform mit Boxcryptor

Wir wurden in den letzten Monaten vor dem Inkrafttreten der DS-GVO oft gefragt, welche Rolle Boxcryptor bei der Umsetzung der DS-GVO Konformität spielt. Das sind die Antworten, die wir unseren Kunden gegeben haben:

Unternehmensinterne Datenschutz-Konzepte

Boxcryptor unterstützt bei der maßgeschneiderten Umsetzung bestehender Datenschutzkonzepte. So lassen sich beispielsweise Mindestpasswortlänge und IP-Restriktionen auf Nutzer- und Gruppenebene anpassen.

Umgang mit Datenschutzverletzungen

Die Mitteilungspflicht bei Datenschutzverletzungen entfällt, wenn die verloren gegangenen Daten verschlüsselt waren. Unternehmen umgehen dadurch potentielle PR-Desaster. Dazu zitieren wir noch einmal das Bayerische Landesamt für Datenschutzaufsicht:

„Nach Ziffer 26 der Erwägungsgründe zur EU-Datenschutzrichtlinie 95/46 sollten bei der Entscheidung, ob eine Person bestimmbar ist, alle Mittel berücksichtigt werden, die vernünftigerweise entweder von dem Verantwortlichen für die Verarbeitung oder von einem Dritten eingesetzt werden können, um die betreffende Person zu bestimmen.“ Quelle: 6. Tätigkeitsbericht, Seite 39

Der Umgang mit Public-Cloud Anbietern

Mit Boxcryptor sind Daten verschlüsselt, bevor Sie den Rechner oder das Smartphone verlassen. Egal in welcher Cloud die Daten landen, sie sind durch starke Verschlüsselung geschützt. Lesen Sie dazu auch unseren Blogartikel: Der Cloud-Speicher-Vergleich: Die beliebtesten Cloud Dienste.

Prozessorientierte Maßnahmen zur Umsetzung der DSGVO

Mit Boxcryptor müssen Unternehmen nicht viel an bestehenden Prozessen ändern. Lediglich der Speicherort der Dateien ändert sich. Die Nutzung von Boxcryptor ist auch für IT-Laien verständlich. Mitarbeiterschulungen sind nicht notwendig.

Mitarbeiter/-innen und Datenschutz

Alle Unternehmensdaten werden bequem im Hintergrund verschlüsselt. Dadurch werden bekannte Arbeitsabläufe nicht gestört und die Mitarbeiter können vom ersten Tag der Installation an effizient weiterarbeiten. Da wir alle Daten verschlüsseln (egal ob Kundendaten oder Mitarbeiterdaten), kann auch unser eigenes Team sicher sein, dass z.B. die Personalakten geschützt sind und nur von der Personalabteilung bzw. der Geschäftsführung eingesehen werden können.

Datenschutz-Folgenabschätzung/Privacy Impact Assessment

In der Folgenabschätzung muss erläutert werden, welche Verfahren zum Schutz personenbezogener Daten durchgeführt werden. Boxcryptor verschlüsselt mit AES-256 und RSA. AES-256 ist der bevorzugte Verschlüsselungsstandard für Regierungen, Banken und High-Security Systeme weltweit ist somit ein anerkannter Standard zum hohen Schutz von personenbezogenen Daten.

TOM: Dokumentation, Prüfung, Bewertung

Da Boxcryptor den aktuell sichersten Standard bei Verschlüsselungsalgorithmen nutzt, gilt unsere Software als "geeignete technische und organisatorische Maßnahme" um personenbezogene Daten nach DS-GVO zu verschlüsseln.

So verschlüsseln wir Daten bei Boxcryptor

Unser Team arbeitet seit der Firmengründung mit der Dropbox. Selbstverständlich laden wir alle Dateien nur verschlüsselt in die Cloud hoch. Dafür verwenden wir Boxcryptor Company und haben alle Mitarbeiter zu dem Account hinzugefügt. So ist die Zusammenarbeit im Team sehr einfach möglich. Durch festgelegte Zugangsberechtigungen auf Einzelnutzer- und Gruppenebene wird sichergestellt, dass jeder nur auf die Ordner zugreifen kann, die er auch für seine Arbeit benötigt. Dabei ist es ganz egal, von welchem Gerät aus Mitarbeiter auf die verschlüsselten Dateien in der Dropbox zugreifen. Ob ein Nutzer Boxcryptor für iOS oder für Windows verwendet spielt bei der Ver- und Entschlüsselung der gemeinsam genutzten Dateien keine Rolle. So stellen wir sicher, dass jeder Mitarbeiter auf dem Betriebssystem arbeiten kann, auf dem er sich wohlfühlt. Wenn ein Mitarbeiter aus unserem Unternehmen ausscheidet, kann er einfach in unserem Boxcryptor Account gelöscht werden und verliert sofort den Zugriff auf die verschlüsselten Daten. So sind unsere Daten gut geschützt und bleiben auch wirklich in unserer Hand.

Beitrag teilen

Holen Sie sich Ihr kostenloses Whitepaper über die DS-GVO

Sie möchten noch mehr darüber erfahren, welche Aspekte der DS-GVO besonders wichtig sind? Unser Whitepaper fasst alles Nötige verständlich und kurz zusammen. Ihr Unternehmen ist bereit für die Industrie 4.0 und Sie möchten voller Tatendrang die Chancen nutzen die sich Ihrem Unternehmen bieten? Dann holen Sie sich jetzt unser exklusives, kostenloses Whitepaper.

Durch Angabe meiner E-Mail-Adresse erkläre ich mich damit einverstanden, dass die Secomba GmbH mir Informationen per E-Mail zuschickt. Meine Einwilligung kann ich jederzeit widerrufen.