Das sagt das BDSG (neu) zum Thema Verschlüsselung
(Korrigierte Version - September 2018)
In den letzten Monaten haben wir uns intensiv mit der Datenschutz Grundverordnung (DS-GVO) befasst. Nun ist sie in Kraft getreten. Für uns in Deutschland ist allerdings neben der DS-GVO auch das deutsche Datenschutzgesetz, kurz BDSG, zu beachten. Dieses wurde im Jahr 2017 an die DS-GVO angepasst und ist unter dem Begriff BDSG neu nun ebenfalls seit dem 25. Mai 2018 wirksam.
Was ist das BDSG (neu)?
Da die Datenschutz Grundverordnung in vielen Punkten vage ist, sollen die nationalen Datenschutzgesetze, wie das BDSG neu, die Vorgaben der EU konkretisieren.
Jeder Mitgliedstaat der Europäischen Union hat dabei einen gewissen Spielraum bei der Ausgestaltung der Datenschutz Grundverordnung und kann diesen, bei bis zu 40 sogenannten Öffnungsklauseln, ausnutzen.
Wichtig ist jedoch zu wissen, dass das europäische Recht (DSGVO) „Anwendungsvorrang“ genießt. Die Umsetzung der DSGVO wird im BDSG (neu) speziell in Teil 2 (§22 – 44) behandelt.
Welchen wichtigen Teil Verschlüsselung im BDSG spielt zeigt Teil 3 (§45 – 84). Dieser behandelt zwar nur die Umsetzung der EU Richtlinie 2016-680 – und bezieht sich damit nur auf „für die Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten zuständigen öffentlichen Stellen“, zeigt trotzdem welchen Stellwert Verschlüsselung mittlerweile innehält.
In Deutschland hat der Gesetzgeber tatsächlich in einigen Punkten Klarheit geschaffen - in anderen aber auch zusätzlich Verwirrung gestiftet. So wurden beispielsweise die Ausnahmen bei der Informationspflicht und die Sonderregeln für die privaten Krankenversicherungen heftig kritisiert.
Verschlüsselung im BDSG (neu)
Die Datenschutz Grundverordnung spricht nicht explizit von Verschlüsselung, wenn es um den Schutz personenbezogener Daten geht. Jedoch werden „geeignete technische und organisatorische Maßnahmen“ (TOMs) verlangt, um solche sensiblen Daten zu schützen.
Im BDSG (neu) wird hingegen gleich an vier Stellen das Thema Verschlüsselung erwähnt. Damit ist der deutsche Gesetzgeber in der Formulierung konkreter als die DS-GVO. Doch den bestmöglichen Schutz personenbezogener Daten haben beide Gesetzestexte gleichermaßen im Sinn. Wie bereits erwähnt beziehen sich die Vorgaben bezüglich der Verschlüsselung jedoch erst auf Behörden. Ob zukünftige Gesetzesänderungen auch private Unternehmungen berücksichtigen scheint nach Stand der Dinge wahrscheinlich.
Verschlüsselung im § 22 BDSG (neu): Verarbeitung besonderer Kategorien personenbezogener Daten
Im Paragraph 22 des BDSG (neu) geht es um personenbezogenen Daten, die als besonders schützenswert gelten. Hierzu werden zunächst die Informationen aufgelistet, die der Gesetzgeber unter besonderen Schutz stellen soll. Im zweiten Absatz werden die „…angemessenen und spezifischen Maßnahmen zur Wahrung der Interessen der Betroffenen…“ aufgelistet.
Neben Maßnahmen wie der Sensibilisierung der an Verarbeitungsvorgängen Beteiligten oder der Benennung eines Datenschutzbeauftragten, wird an siebter Stelle die Verschlüsselung personenbezogener Daten genannt. Diese lässt sich ebenso aus der DS-GVO ableiten – nur wird sie dort als Maßnahme nicht explizit genannt.
Verschlüsselung im § 48 BDSG (neu): Verarbeitung besonderer Kategorien personenbezogener Daten
Paragraph 48 befasst sich ebenfalls mit der Verarbeitung personenbezogener Daten.
Im ersten Absatz dieses kurzen Paragraphen wird noch einmal festgelegt, dass die Verarbeitung personenbezogener Daten nur zulässig ist, wenn sie zur Aufgabenerfüllung unbedingt erforderlich ist. In Absatz zwei werden geeignete Garantien für die Rechtsgüter betroffener Personen aufgelistet.
Diese Liste besteht aus acht Punkten. Neben der Verschlüsselung personenbezogener Daten (7.) werden u. a. auch die von anderen getrennte Verarbeitung und die Festlegung von besonderen Aussonderungsprüffristen genannt.
Verschlüsselung im § 64 BDSG (neu): Anforderungen an die Sicherheit der Datenverarbeitung
Nun geht es im BDSG (neu) um die Anforderungen an die Sicherheit der Datenverarbeitung. Hier wird festgelegt, dass unter Abwägung von Risiken, Kosten und Standes der Technik, von den Verantwortlichen Maßnahmen zum Schutz personenbezogener Daten ergriffen werden müssen.
Als solche Maßnahmen werden die Pseudonymisierung und die Verschlüsselung besonders hervorgehoben. Dem Gesetzgeber ist es wichtig, dass
- die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sichergestellt werden und
- die Verfügbarkeit der personenbezogenen Daten und der Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederhergestellt werden können.
§ 64 BDSG (neu)
In Absatz drei Folgen dann 14 Zwecke, die mit den zuvor festgelegten Maßnahmen erreicht werden sollen. Davon sind drei Zwecke besonders gut mit Verschlüsselung nach Stand der Technik zu erfüllen:
- Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern (Datenträgerkontrolle),
- Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten (Speicherkontrolle),
- Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben (Zugriffskontrolle),
§ 64 BDSG (neu)
Die anderen Zwecke aus § 64 BDSG (neu) beziehen sich auf die Zugangskontrolle, Übertragungskontrolle, Eingabekontrolle, Transportkontrolle, Wiederherstellbarkeit, Zuverlässigkeit, Datenintegrität, Auftragskontrolle, Verfügbarkeitskontrolle und Trennbarkeit.
Verschlüsselung im § 66 BDSG (neu): Benachrichtigung betroffener Personen bei Verletzungen des Schutzes personenbezogener Daten
Paragraph 66 legt fest, dass die Betroffenen informiert werden müssen, wenn eine Verletzung des Schutzes ihrer Daten vorliegt. Diese Information muss unverzüglich erfolgen - Allerdings entfällt die Informationspflicht, wenn, wie in Absatz 3 erläutert, Sicherheitsvorkehrungen für den Schutz personenbezogener Daten angewandt wurden. Verschlüsselung wird hier explizit erwähnt: „…dies gilt insbesondere für Vorkehrungen wie Verschlüsselungen, durch die die Daten für unbefugte Personen unzugänglich gemacht wurden…“
Fazit – Verschlüsselung lässt Sie nachts ruhiger schlafen
Verschlüsselung von Daten ist eine von vielen Maßnahmen, die der Gesetzgeber zum Schutz personenbezogener Daten vorsieht. Als Datenschutzmaßnahme ist sie jedoch besonders hervorzuheben, da Verschlüsselung vergleichsweise leicht umsetzbar ist. Zwar bezieht sich das BDSG (neu) aktuell nur auf Behörden doch eine ähnliche Entwicklung zum Datenschutz ist auch für private Unternehmen zu erwarten. So können Unternehmen bereits heute mit einem nutzerfreundlichen und intuitiv zu bedienendem Programm wie Boxcryptor Verschlüsselung bequem in die bestehende Infrastruktur integrieren.
Boxcryptor legt eine Extraschicht Sicherheit auf die sensiblen Daten, die Sie als Unternehmen schützen müssen. Ganz gleich ob es sich um personenbezogene Daten handelt, zu deren Schutz Sie durch die DS-GVO verpflichtet sind, oder ob Sie unternehmensinterne, wichtige Daten vor dem Zugriff durch Unbefugte schützen wollen: Durch Ende-zu-Ende-Verschlüsselung sind die Dateien nicht nur am Speicherort vor dem Auslesen durch Unbefugte geschützt, sondern bereits auf dem Weg dorthin. Dadurch ermöglichen wir Unternehmen, weiterhin die Vorzüge von Cloudspeichern zu nutzen: Permanente Verfügbarkeit von Dateien, Synchronisierung, Versionierung etc.
Anmerkung
In einer vorherigen Version dieses Artikels haben wir den Sachverhalt in Bezug auf die Anwendbarkeit des BDSG (neu) falsch dargestellt. Die Anwendbarkeit der Teile 2 und 3 ist bisher lediglich für Behörden der Strafverfolgung und -vereitelung (wie im revidierten Artikel beschrieben) gegeben, nicht jedoch wie fälschlich von uns dargestellt allgemeingültig für alle privaten Personen und Firmen, sowie alle öffentlichen Einrichtungen.
Wir möchten uns für die fehlerhafte Darstellung im originalen Artikel und dadurch möglicherweise entstandene Verwirrung entschuldigen und uns bei unserer Community für die Aufmerksamkeit und den Hinweis an uns herzlichst bedanken.