Wir freuen uns Ihnen mitzuteilen, dass wir gemeinsam mit Dropbox, Inc. ein neues Kapitel aufschlagen werden. Dropbox erwirbt unsere IP-Technologie, um sie nativ in das Dropbox-Produkt einzubetten und damit Millionen von Geschäftskunden weltweit Ende-zu-Ende-Verschlüsselung mit Zero Knowledge bieten zu können. In unserem Blog erfahren Sie mehr!

Boxcryptor und die DS-GVO
Rebecca

Rebecca Sommer | Cyber Security Writer

@RJ_Sommer

Wie Boxcryptor mit der Datenschutz-Grundverordnung (DSGVO) helfen kann

Die Datenschutz-Grundverordnung der EU (DSGVO) hat große Auswirkungen auf alle Unternehmen und Organisationen, die personenbezogene Daten von europäischen Bürgern speichern und verarbeiten.

Viele Maßnahmen sind nötig, die man grob in die folgenden vier Felder ordnen kann.

  • Die Datenstruktur des Unternehmens auswerten und dokumentieren
  • Das sichere Speichern und Handhaben von personenbezogenen Daten
  • Datenschutz-Konformität der internen Prozesse
  • DSGVO-Konformität von Drittanbietern

Wir können Ihnen im Bereich des sicheren Speicherns und Handhabens von personenbezogenen Daten helfen. Der richtige Schutz der gespeicherten Informationen minimiert das Risiko Ihres Unternehmens in zwei zentralen Punkten und erlaubt Ihrem Team, weiterhin effizient mit Unternehmensdaten zu arbeiten.

Boxcryptor und Verschlüsselung für Ihre DSGVO-Konformität

Ein zentraler Aspekt der DSGVO ist die Notwendigkeit, dass Unternehmen mehr Fokus auf technische Datenschutz-Maßnahmen wie Verschlüsselung legen. Alle Unternehmen, die personenbezogene Daten speichern und verwalten (also grundsätzlich jedes Unternehmen), müssen

geeignete technische und organisatorische Maßnahmen [umsetzen], um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. (DSGVO, Art. 24, S. 47)

Eine dieser geeigneten technischen und organisatorischen Maßnahmen (TOMs) ist laut DSGVO Verschlüsselung. Die absolute Notwendigkeit, solche TOMs umzusetzen, sollte bereits Grund genug sein, sich für Datenverschlüsselung nach Stand der Technik zu entscheiden.

Doch es gibt noch einen zweiten guten Grund: Unternehmen, die gute Verschlüsselung im Einsatz haben, müssen Ihre Nutzer und Nutzerinnen im Fall einer Datenpanne oder eines Datendiebstahls NICHT darüber in Kenntnis setzen. Warum? Die Daten sind für Dritte unkenntlich und somit besteht kein Risiko für die Nutzerinnen und Nutzer.

Die Benachrichtigung der betroffenen Person gemäß Absatz 1 ist nicht erforderlich, wenn [...] der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat […] etwa durch Verschlüsselung. (DSGVO, Art. 34, S. 53)

Was genau diesen TOMs entspricht, wird nicht weiter definiert. Jedoch wird der Zweck, den sie erfüllen müssen, deutlich. Vor allem: Nicht jegliche Verschlüsselung zählt.

Als TOM qualifiziert sich nur eine Maßnahme,

durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden (DSGVO, S. 53).

Sobald Sie sicherstellen, dass unbefugte Dritte NICHT, sondern nur autorisierte Personen auf die sensiblen Unternehmensdaten zugreifen können, sind Ihre Daten ausreichend geschützt. Dies muss auch bei einem potenziellen Datendiebstahl oder bei einer Datenpanne weiterhin gegeben sein. Im schlimmsten Fall, also wenn Unbefugte Zugriff auf die Daten erhalten, dürfen die Daten für die Angreifer nicht auswertbar und lesbar sein.

Genau darauf sind wir bei Boxcryptor spezialisiert: Niemand außer autorisierte Mitglieder Ihres Unternehmens kann auf Ihre Daten zugreifen, da sie lokal auf den Unternehmensgeräten verschlüsselt werden, bevor sie zum Beispiel in eine Cloud synchronisiert werden.

Unsere Ende-zu-Ende-Verschlüsselung mit Zero-Knowledge-Standard stellt sicher, dass unautorisierte Personen keinen Zugriff auf die Daten haben. Und das gilt nicht nur für Hacker oder potenzielle Angreifer, sondern auch für die Anbieter Ihrer Cloud-Lösung (wie zum Beispiel Amazon, Microsoft oder Dropbox). Dank unserer Berechtigungsverwaltung können Sie außerdem auswählen, wer intern Zugriff auf bestimmte Daten und Ordner erhält. So kann Ihr Marketing-Team keine Daten der Personalabteilung, oder die Personalabteilung keine Daten der Geschäftsführung einsehen, wenn sie nicht explizit mit diesen Gruppen geteilt wurden.

Zusammenfassend: Zwei große Vorteile durch den Einsatz von Boxcryptor

  • Reduziertes Risiko von Strafzahlungen: Im Fall eines Verstoßes gegen die DSGVO drohen – abhängig von der Art des Verstoßes – Strafen zwischen 10 und 20 Millionen Euro oder 2-4 % des weltweiten Jahresumsatzes, je nachdem, was höher ist. Bereits eingerichtete TOMs wirken jedoch bei einem Vorfall mildernd. Falls Ihr Unternehmen einer Beschwerde ausgesetzt ist, können die Strafen bei nachweisbarem Einsatz von Risikominderung durch Verschlüsselung gemildert oder ganz ausgesetzt werden.
  • Kein Vertrauensverlust bei Ihren Kunden und Partnern: Bei einem Datenvorfall müssen Sie Ihre Partner, Kunden und die Behörden NICHT benachrichtigen, wenn die Daten richtig geschützt sind. Dank Verschlüsselung besteht nämlich selbst bei Verlust der Daten kein Risiko für die betroffenen Personen, wodurch die Notwendigkeit der Benachrichtigung wegfällt. Um der Transparenz willen würden wir Ihnen trotzdem empfehlen, die betroffenen Personen zu benachrichtigen. Doch Sie können sie beruhigen und belegen, dass alles in Ordnung ist und sie keine Konsequenzen fürchten müssen.

Weitere Informationen darüber, wie Sie im Falle eines Datenschutzvorfalles vorgehen, erhalten Sie in unserem Artikel „Ein Datenleck melden – wie geht das?".

Wie Boxcryptor sich als TOM qualifiziert

Verschlüsselung nach Stand der Technik ist als eine technische und organisatorische Maßnahme (TOM) zur Absicherung von personenbezogenen Daten aufgeführt. Wenn Sie solche TOMs eingerichtet haben, ist Ihr Unternehmen geschützt und – in diesem Bereich – DSGVO-konform. Im Folgenden klären wir, wie Boxcryptor sich als TOM zum Schutz Ihrer personenbezogenen Daten nach der DSGVO qualifiziert.

Boxcryptor nutzt eine Kombination des AES-256-Verschlüsselungsstandards – einer der meistverbreiteten und sichersten Verschlüsselungsstandards – und von RSA-Verschlüsselung. Diese Verschlüsselungsstandards sind mit heute verfügbaren Rechenleistungen nicht zu knacken. Ein Beispiel: Einen AES-Schlüssel der Länge 128 Bit mit einem modernen Supercomputer zu knacken, würde länger dauern als das angenommene Alter des Universums – und Boxcryptor nutzt eine Schlüssellänge von 256 Bit. Bis heute ist für keine der AES-Varianten ein praktisch durchführbarer Angriff bekannt. AES ist daher der bevorzugte Verschlüsselungsstandard für Regierungen, Banken und High-Security Systeme weltweit. Hier erfahren Sie mehr über die bei Boxcryptor eingesetzten Verschlüsselungsstandards.

In unserem Technischen Überblick finden Sie zusätzliche Informationen über die technische Implementierung von Boxcryptor. Lesen Sie beispielsweise, wie wir unsere Server schützen, wie wir die Nutzerauthentifizierung sicher gestalten, oder welche Verschlüsselungsschlüssel wir für was verwenden.

Wichtig: Dieser Artikel stellt unsere Sicht der Dinge dar. Er ist keine Rechtsberatung und kann auch keine Rechtsberatung ersetzen.

Teilen Sie diesen Artikel

Weitere Artikel zum Thema

graphics

Unser neues Kapitel mit Dropbox: Das bedeutet es für Boxcryptor Nutzer

Bereits letzte Woche haben wir verkündet, dass wir wichtige Technologie-Assets an Dropbox verkauft haben. Was unsere Kund*innen nun wissen müssen, erklären wir hier im Detail.

graphics

Ein Brief von unseren Gründern: Wir schließen uns Dropbox an

Wir freuen uns, Ihnen mitteilen zu können, dass wir zusammen mit Dropbox, Inc. ein neues Kapitel aufschlagen werden.

Dummies Buchcover und Rücken

BEENDET Gewinnspiel: Wir feiern unsere Buch-Veröffentlichung

Wir haben unser erstes Buch geschrieben, um noch mehr Menschen für die Cloud und Datensicherheit zu begeistern. Zum offiziellen Start können Sie im Gewinnspiel Taschenbücher und Boxcryptor-Lizenzen gewinnen. Alle Infos gibt es im Beitrag.