Speicherung personenbezogener Daten in der Cloud - Verschlüsselung als Lösung?
Von unseren Geschäftskunden werden wir immer wieder gefragt, ob sie als in Deutschland ansässiges Unternehmen oder Organisation ausländische Cloud-Speicherdienste wie z.B. Dropbox oder Google Drive nutzen können – insbesondere, wenn dort personenbezogene Daten abgelegt werden. In diesem Artikel möchten wir einige grundlegende Fragen beantworten und unsere Einschätzung zu diesem Thema erläutern. Bitte beachten Sie auch unsere Hinweise am Ende.
Was ist das BDSG?
Das Bundesdatenschutzgesetz (BDSG) regelt den Umgang mit personenbezogenen Daten, die in Informations- und Kommunikationssystemen verarbeitet werden. Es betrifft alle öffentlichen Stellen (z.B. Behörden) sowie „nicht-öffentliche“ Stellen (Unternehmen, Vereine oder natürliche Personen wie Ärzte, Architekten, Rechtsanwälte etc.), die personenbezogene Daten unter Einsatz von Datenverarbeitungsanlagen verarbeiten, nutzen oder erheben. Das BDSG gilt nicht, wenn Daten ausschließlich zu persönlichen oder familiären Zwecken verarbeiten werden. Im Zuge der Umstellungen durch die DS-GVO, wurde das BDSG überarbeitet und liegt seit dem 5. Juli 2017 unter dem Namen BDSG-neu vor.
Was sind personenbezogene Daten?
§46 Abs.1 BDSG-neu definiert personenbezogene Daten folgendermaßen:
Es bezeichnen die Begriffe „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser Person sind, identifiziert werden kann;
Unter diese Definition fallen unter anderem Name, Anschrift oder E-Mail-Adresse einer Person. Wenn ein Unternehmen nun beispielsweise eine Kundenliste mit Geschäftskontakten und deren Telefonnummern in der Dropbox abspeichert, handelt es sich hierbei um personenbezogene Daten. Dasselbe ist der Fall, wenn eine Liste mit den Namen und Kontonummern der Angestellten für die Buchhaltung bei Google Drive abgelegt wird.
Warum dürfen personenbezogene Daten nicht in der Cloud gespeichert werden?
Viele Cloud-Speicheranbieter sind ausländische Unternehmen, die ihre Rechenzentren außerhalb von Deutschland bzw. der EU betreiben. Laut der EU-Kommission existiert aber abgesehen von wenigen Ländern (u.a. der Schweiz) kein ausreichender Datenschutz, der den Anforderungen der EU entspricht. Dies gilt insbesondere auch für die USA, in der viele Unternehmen wie Microsoft, Dropbox oder Google ihre Rechenzentren betreiben.
Die Europäische Union ist bestrebt, eine Lösung für das Missverhältnis der unterschiedlichen Datenschutzbestimmungen weltweit zu finden.
Ein Versuch, das Niveau der Datenschutzanforderungen für US-amerikanische, europäische und schweizerische Unternehmen an das hohe Niveau der Datenschutzanforderungen der EU anzupassen, war die Vereinbarung Privacy Shield. Aber der Schutz personenbezogener Daten europäischer Bürger und Bürgerinnen is mit einem Framework wie Privacy Shield nicht nicht umsetzbar weil die Rechtsregime in der EU und den USA zu unterschiedlich sind. Deshalb hat der Europäische Gerichtshof das Privacy-Shield-Abkommen 2020 gekippt.
Große Unterschiede bestehen beispielsweise bei der Zuständigkeit von Gerichten im Bereich Datenschutz. Doch auch der US-Amerikanische CLOUD Act ist ein großes Problem, denn dieses Gesetz erlaubt es den US-Bundesbehörden auf alle Daten zuzugreifen, die in einer Cloud gespeichert sind. Besonders brisant: Ein Gerichtsbeschluss ist nicht notwendig.
Betroffen vom CLOUD Act sind einerseits Daten, die auf Servern gespeichert sind, die auf US-amerikanischem Boden stehen. Andererseits aber auch solche Daten, die auf Servern liegen, die einem Unternehmen gehören, dessen Hauptsitz in den USA ist. Mit diesem Rundumschlag sind vor allem die Big Player der Cloud- Anbieter abgedeckt.
Was also tun, wenn der bevorzugte Cloud-Dienst in den USA sitzt und man dennoch personenbezogene Daten dort speichern möchte – oder eine Speicherung dieser Daten z.B. durch Angestellte nicht grundsätzlich ausgeschlossen werden kann?
Verschlüsselung als Lösung?
Verschlüsselung kann die Lösung für dieses Problem sein. Denn es kann so argumentiert werden, dass es sich bei verschlüsselten Dateien nicht um personenbezogene Dateien nach §3 Abs.1 BDSG handelt.
Aktuell existiert allerdings keine Rechtsprechung zu diesem Thema. Das bedeutet, dass noch nicht gerichtlich entschieden wurde, ob verschlüsselte Daten personenbezogen sind oder nicht. Die DSG-VO spricht sich eindeutig für die Verschlüsselung als Maßnahme zum Schutz personenbezogener Daten aus. Ein Unternehmen mit einer starken Verschlüsselung muss beispielsweise die betroffenen Personen im Falle eines Datenverstoßes nicht informieren. Dies ist immer dann der Fall, wenn die verwendete Verschlüsselung personenbezogene Daten und ganze Datensätze für Unbefugte unverständlich macht.
Das Bayerische Landesamt für Datenschutzaufsicht vertritt beispielsweise die Auffassung, dass verschlüsselte Dateien nicht personenbezogen sind. Im letzten Tätigkeitsbericht des BayLDA vom März 2015 findet man unter Punkt 5.2. folgende Aussage:
Ein Teil der deutschen Datenschutzaufsichtsbehörden hält personenbezogene Daten, die mit einem starken kryptografischen Verfahren nach dem aktuellen Stand der Technik sicher verschlüsselt sind, bei einem Dienstleister für nicht personenbezogen, da er sie nicht zur Kenntnis nehmen könne. Zu dieser Gruppe der Aufsichtsbehörden gehören auch wir. Erhält also ein externer Dienstleister nur vollständig und sicher verschlüsselte Daten als Archivar zur Aufbewahrung, ist dies dort keine Verarbeitung personenbezogener Daten im Auftrag nach § 11 BDSG.
Dies wirft allerdings eine weitere Frage auf: Was ist ein „starkes kryptographisches Verfahren nach dem aktuellen Stand der Technik“?
Aktueller Stand der Technik
In den Empfehlungen der ENISA, der obersten europäischen Sicherheitsbehörde, wird der von Boxcryptor verwendete Advanced Encryption Standard (AES) in allen Schlüssellängen als zukunftssicher und aktueller Stand der Technik beschrieben (siehe Übersichtstabelle auf Seite 23).
Update: Verschlüsselung in der neuen EU Datenschutz-Grundverordnung
In der 2018 in Kraft getretenen DS-GVO der EU wird Verschlüsselung als eine Maßnahme aufgeführt, um ein „angemessenes Schutzniveau“ (DS-GVO, S. 51) für personenbezogene Daten zu erreichen. Erfahren Sie hier mehr über die Neuerungen der DS-GVO und die Nutzung der Cloud.
Fazit
Ein Ausweg, um dem Dilemma der Nutzung von (ausländischen) Cloud-Speicheranbietern zu entgehen, ist die konsequente Verschlüsselung aller personenbezogenen Daten, bevor diese bei dem entsprechenden Unternehmen gespeichert werden. Verschlüsselte Dateien sind nach Ansicht diverser Rechtsexperten nicht mehr personenbezogen und unterliegen somit nicht den erwähnten Datenschutzbestimmungen. Wichtig ist jedoch eine konsequente Ende-zu-Ende Verschlüsselung auf Zero-Knowledge-Basis. Bei Zero-Knowledge-Verschlüsselung kann niemand außer dem Nutzer selbst die Daten entschlüsseln.
Wichtig: Dieser Artikel stellt unsere Meinung dar. Es handelt sich nicht um eine Rechtsberatung und kann auch keine Rechtsberatung ersetzen. Wir übernehmen keine Gewähr für die Richtigkeit, Vollständigkeit oder Aktualität dieses Artikels. Stand der zur Verfügung gestellten Informationen: 26.01.2016. Stand des Updates zur DS-GVO: 19.07.2016, Update zum CLOUD Act 09/11/2019
