Verschlüsselung von Dateien: Stolperfallen beim Datenschutz

08.09.2017

Passwort online

Personenbezogene Daten dürfen nicht in die falschen Hände kommen. Die Datenverschlüsselung ist ein Instrument, mit dem sich Unternehmen zusätzliche Sicherheit verschaffen können. Allerdings sind bereits vor der Einführung einer Verschlüsselung mehrere datenschutzrelevante Aspekte zu berücksichtigen.

Gründe für die Verschlüsselung von Daten

Aus Sicht des Datenschutzes gibt es mehrere Gründe, die den Einsatz einer Datenverschlüsselung erforderlich machen oder zumindest für ihn sprechen.

Absicherung von Zugangskontrolle und Zugriffskontrolle: Nutzer eines Computers oder einer anderen DV-Anlage sollen lediglich auf solche Inhalte zugreifen (einsehen, verändern, kopieren oder löschen) können, für welche sie über eine Berechtigung verfügen. Sollten solche Kontrollmaßnahmen versagen, kann eine Verschlüsselung das Ausmaß einer Datenschutzpanne verringern.

Weitergabekontrolle: Die Weiterleitung von personenbezogenen Daten an externe Dienstleister birgt zusätzliche Risiken. Eine Verschlüsselung von Daten / Dateien kann eine Personenbeziehbarkeit aufheben und dadurch z.B. die Nutzung bestimmter externer Leistungen erst ermöglichen.

Personenbeziehbarkeit der verschlüsselten Daten

Zu diesem Unterthema noch ein kleiner Exkurs. Idee der Verschlüsselung von Daten vor einer Übermittlung an externe Dienstleister ist es, die Daten für den Empfänger nicht nutzbar zu machen. Interessant ist, dass Rechts- und Datenschutzexperten zu diesem Thema unterschiedliche Ansichten vertreten.

Der Punkt ist der, dass eine Entschlüsselung der Daten erfolgen könnte. Allerdings ist dieses Risiko bei Nutzung einer angemessenen Verschlüsselung sehr gering. Deshalb vertreten mehrere Aufsichtsbehörden der Länder, wie z.B. das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) die Ansicht, dass bei verschlüsselten Personendaten keine Personenbeziehbarkeit besteht.

Dementsprechend ist vor Einführung eines solchen technischen Verfahrens zu prüfen, ob eine Verschlüsselung den jeweils bestehenden Anforderungen an den Datenschutz gerecht wird. So ist unter anderem die Ansicht der zuständigen Aufsichtsbehörde in die Überlegungen einfließen zu lassen.

Der Vollständigkeit halber sei angemerkt, dass die bloße Verschlüsselung von Daten mit Personenbezug nicht genügt, um jeden beliebigen Cloud-Anbieter für eine Archivierung zu wählen. Es sind weitere Prüfungen möglich, um beispielsweise sicherzustellen, dass der Anbieter keinen anderen Unternehmen Zugriff auf die übermittelten Daten gewährt. Ergänzende Informationen hierzu sind in unserem Beitrag zum Thema Cloud-Speicher Datenschutz zu finden.

Welche Daten verschlüsseln?

Jede Datenverschlüsselung will technisch erst einmal umgesetzt sein. Je mehr Daten / Dateien zu verschlüsseln sind, desto größer der Aufwand. Deshalb ist es üblich, zunächst zu ermitteln, welche Daten für die Verschlüsselung in jedem Fall relevant sind.

Welche Daten zu verschlüsseln sind, hängt vom Grund und der jeweiligen Zielsetzung ab. Angenommen es geht um den Computer und die Datenträger in einem Home Office. Hier sind die Möglichkeiten der Zutrittskontrolle für das Unternehmen stark eingeschränkt, weshalb eine Verschlüsselung der Dateien zusätzliche Sicherheit verspricht. Um die Risiken im Datenschutz zu minimieren, empfiehlt es sich, sämtliche personenbezogene Daten zu verschlüsseln.

Doch auch innerhalb der eigenen mit Zugangskontrollen abgesicherten Räume kann es sinnvoll oder sogar zwingend erforderlich sein, Daten zu verschlüsseln. Dies kann keineswegs nur besondere Arten von Daten mit Personenbezug betreffen, sondern darüber hinaus auch Daten, die einem Berufsgeheimnis unterliegen, die einen Bezug zu strafbaren Handlungen aufweisen oder Finanzdaten (z.B. im Bankenumfeld) betreffen.

Verschlüsselung von Daten in der Praxis

Die praktische Umsetzung der technischen Verschlüsselung kann unterschiedlich erfolgen. Es gibt z.B. Programme / Software, die es dem Nutzer gestattet, einzelne Dateien, Ordner oder ganze Laufwerke zu verschlüsseln. In Verbindung mit einem individuellen Schlüssel ist es möglich, die mit einer solchen Software verschlüsselten Dateien wieder zu entschlüsseln.

Ebenso gibt es Anwendungsprogramme, die bereits über eine integrierte Datenverschlüsselung verfügen. Gerade bei branchenspezifischen Softwarelösungen (z.B. Banken oder Gesundheitswesen) sind solche Lösungen oft anzutreffen.

Darüber hinaus gibt es Betriebssysteme, die sich in Verbindung mit einer automatischen Verschlüsselung nutzen lassen. Die Folge ist, dass sämtliche Dateien auf dem jeweiligen Computer oder der DV-Anlage verschlüsselt werden.

Bei der Wahl einer technischen Verschlüsselung stehen für Unternehmen zwei Aspekte im Fokus. Zunächst muss sichergestellt sein, dass die Verschlüsselung den Anforderungen des Datenschutzkonzepts gerecht wird, damit im Falle einer Überprüfung durch eine Aufsichtsbehörde keine Strafe droht. Bei der Auswahl kann es hilfreich sein, sich an der technischen Richtlinie „Kryptographische Verfahren: Empfehlungen und Schlüssellängen (BSI TR-02102)“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zu orientieren.

Beim zweiten Aspekt handelt es sich um die praktische Eignung der Verschlüsselungslösung. Die Verschlüsselung sollte nicht nur sicher sein, sondern außerdem flüssige Arbeitsabläufe gewährleisten.

Unterstützung vom externen Datenschutzbeauftragten

Sie möchten bei sich im Unternehmen eine Datenverschlüsselung einführen oder die bestehende Verschlüsselungslösung im Hinblick auf den Datenschutz kritisch hinterfragen? Gerne helfen wir Ihnen dabei. Als externer Datenschutzbeauftragter sind wir mit der Materie umfassend vertraut. Es ist möglich, dass wir als externer Datenschutzbeauftragter auch Sie beim betrieblichen Datenschutz unterstützen. Ebenso können wir Ihnen im Rahmen unserer Datenschutzberatung zur Seite stehen. Für weitere Informationen sind wir telefonisch unter 0800 – 5600831 (gebührenfrei) sowie über unser Kontaktformular erreichbar.

Schreibe einen Kommentar