Verschlüsselung von personenbezogenen Daten
2016 M01 26, Tue

Speicherung personenbezogener Daten in der Cloud - Verschlüsselung als Lösung?

Von unseren deutschen Geschäftskunden werden wir immer wieder gefragt, ob sie als deutsches Unternehmen oder als deutsche Organisation ausländische Cloud-Speicherdienste wie z.B. Dropbox oder Google Drive nutzen können - insbesondere wenn dort personenbezogenen Daten abgelegt werden. In diesem Artikel möchten wir einige grundlegende Fragen beantworten und unsere Einschätzung zu diesem Thema erläutern. Bitte beachten Sie auch unsere Hinweise am Ende dieses Artikels.

Was ist das BDSG?

Das Bundesdatenschutzgesetz (BDSG) regelt den Umgang mit personenbezogenen Daten, die in Informations- und Kommunikationssystemen verarbeitet werden. Es betrifft alle öffentlichen Stellen (z.B. Behörden) sowie „nicht-öffentliche“ Stellen (Unternehmen, Vereine oder natürliche Personen wie Ärzte, Architekten, Rechtsanwälte etc.), die personenbezogene Daten unter Einsatz von Datenverarbeitungsanlagen verarbeiten, nutzen oder erheben. Das BDSG gilt nicht, wenn Daten zu ausschließlich persönlichen oder familiären Zwecken verarbeiten werden.

Was sind personenbezogene Daten?

§3 Abs.1 BDSG definiert personenbezogene Daten folgendermaßen:

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).

Unter diese Definition fallen unter anderem Name, Anschrift oder E-Mail-Adresse einer Person. Wenn ein Unternehmen nun beispielsweise eine Kundenliste mit Ansprechpartnern und Telefonnummern in der Dropbox abspeichert, handelt es sich hierbei um personenbezogene Daten. Daselbe ist der Fall, wenn eine Liste mit den Namen und Kontonummern der Mitarbeiter für die Buchhaltung bei Google Drive abgelegt wird.

Warum dürfen personenbezogene Daten nicht in der Cloud gespeichert werden?

Viele Cloud-Speicheranbieter sind ausländische Unternehmen, die ihre Rechenzentren außerhalb von Deutschland bzw. der EU betreiben. Laut der EU-Kommission existiert aber abgesehen von wenigen Ländern (u.a. der Schweiz) kein ausreichender Datenschutz, der den Anforderungen der EU entspricht. Dies gilt insbesondere auch für die USA, in der viele Unternehmen wie Microsoft, Dropbox oder Google ihre Rechenzentren betreiben. Aufgrund des dort geltenden Patriot Acts zur Terrorbekämpfung ist die Dateneinsicht durch US Behörden auch ohne Richterbeschluss zulässig. Zwar verpflichten sich viele US-Unternehmen zur Einhaltung europäischer Datenschutzstandard, allerdings kippte der Europäische Gerichtshof das häufig genutzte Safe Harbor Abkommen mit der Begründung, dass die persönlichen Daten der europäischen Nutzer nicht ausreichend durch dieses Abkommen geschützt werden.

Aktuell verhandelt die EU Kommission bereits mit den USA über eine Neufassung und somit über eine datenschutzkonforme Version der Safe Harbor Regelung. Bis diese beschlossen ist, kann es allerdings noch dauern. Daher ist Cloud-Nutzern geraten, europäische - idealerweise Deutsche - Anbieter zu nutzen.

Update: Der Nachfolger von Safe Harbour – Privacy Shield – ist inzwischen verabschiedet worden. Viele US-Unternehmen, darunter Microsoft, haben sich bereits zertifizieren lassen. Dennoch gibt es legitime Zweifel daran, ob Daten von diesen Amerikanischen Firmen tatsächlich so geschützt werden, wie sie sollten.

Also was tun, wenn der bevorzugte Dienst in den USA sitzt und man dennoch personenbezogene Daten dort speichern möchte - oder eine Speicherung dieser Daten z.B. durch Mitarbeiter nicht grundsätzlich ausschließen kann?

Verschlüsselung als Lösung?

Verschlüsselung kann die Lösung für dieses Problem sein. Denn es kann so argumentiert werden, dass es sich bei verschlüsselten Dateien nicht um personenbezogene Dateien nach §3 Abs.1 BDSG handelt. Aktuell existiert allerdings keine Rechtsprechung zu diesem Thema. Das bedeutet, dass noch nicht gerichtlich entschieden wurde, ob verschlüsselte Daten personenbezogen sind oder nicht. So bleibt nur der Blick auf die Meinungen, die in der Rechtswissenschaft bzw. von Behörden oder Ämtern vertreten werden. Dabei werden beide Ansichten mit guten Argumenten vertreten.

Das Bayerische Landesamt für Datenschutzaufsicht vertritt beispielsweise die Auffassung, dass verschlüsselte Dateien nicht personenbezogen sind. Im letzten Tätigkeitsbericht des BayLDA vom März 2015 findet man unter Punkt 5.2. folgende Aussage:

Ein Teil der deutschen Datenschutzaufsichtsbehörden hält personenbezogene Daten, die mit einem starken kryptografischen Verfahren nach dem aktuellen Stand der Technik sicher verschlüsselt sind, bei einem Dienstleister für nicht personenbezogen, da er sie nicht zur Kenntnis nehmen könne. Zu dieser Gruppe der Aufsichtsbehörden gehören auch wir. Erhält also ein externer Dienstleister nur vollständig und sicher verschlüsselte Daten als Archivar zur Aufbewahrung, ist dies dort keine Verarbeitung personenbezogener Daten im Auftrag nach § 11 BDSG.

Dies wirft allerdings eine weitere Frage auf: Was ist ein „starkes kryptographisches Verfahren nach dem aktuellen Stand der Technik“?

Aktueller Stand der Technik

In den aktuellsten Empfehlungen der ENISA, der obersten europäischen Sicherheitsbehörde, wird der von Boxcrpytor verwendete Advanced Encryption Standard (AES) in allen Schlüssellängen als zukunftssicher und aktueller Stand der Technik beschrieben (siehe Übersichtstabelle auf Seite 23).

Update: Verschlüsselung in der neuen EU Datenschutz-Grundverordnung

In der kürzlich in Kraft getretenen neuen (DS-GVO) der EU wird Verschlüsselung als eine Maßnahme aufgeführt, um ein „angemessenes Schutzniveau“ (DS-GVO, S. 51) für personenbezogene Daten zu erreichen. Erfahren Sie hier mehr über die Neuerungen der DS-GVO und die Nutzung der Cloud.

Fazit

Ein Ausweg, um dem Dilemma der Nutzung von (ausländischen) Cloud-Speicheranbietern zu entgehen, ist die konsequente Verschlüsselung aller personenbezogener Daten, bevor diese bei dem entsprechenden Unternehmen gespeichert werden. Verschlüsselte Dateien sind nach Ansicht diverser Rechtsexperten nicht mehr personenbezogen und unterliegen somit nicht den erwähnten Datenschutzbestimmungen. Wichtig ist jedoch eine konsequente Ende-zu-Ende Verschlüsselung auf Zero-Knowledge-Basis. Bei Zero-Knowledge-Verschlüsselung kann niemand außer dem Nutzer selbst die Daten entschlüsseln.

Wichtig: Dieser Artikel stellt unsere Meinung dar. Es handelt sich nicht um eine Rechtsberatung und kann auch keine Rechtsberatung ersetzen. Wir übernehmen keine Gewähr für die Richtigkeit, Vollständigkeit oder Aktualität dieses Artikels. Stand der zur Verfügung gestellten Informationen: 26.01.2016. Stand des Updates zur DS-GVO: 19.07.2016, Update zu Privacy Shield: 08/20/2016.

Handeln Sie jetzt und schützen Sie Ihre Daten mit Boxcryptor

Boxcryptor verschlüsselt Ihre Daten auf Ihrem Gerät, bevor sie in die Cloud synchronisiert werden. Wir helfen Ihnen also dabei sicherzustellen, dass niemand außer Sie an Ihre Daten herankommt. Aufgrund unseres Zero-Knowledge-Ansatzes wissen selbst wir Ihr Passwort nicht und kommen dadurch nicht an Ihre Daten heran.

Beitrag teilen