DATEIEN VERSCHLÜSSELN

Dateien verschlüsseln – Was ist aus Sicht des Datenschutzes zu beachten?

Personenbezogene Daten dürfen grundsätzlich nur von der Stelle verarbeitet werden, die auch dazu berechtigt ist. Werden Daten durch unzureichende Sicherheitsmaßnahmen Dritten zugänglich gemacht spricht man von einer Datenpanne oder einer Datenschutzverletzung. Die Höhe der Bußgelder und die Auswirkungen durch den Schaden bemisst sich an verschiedenen Kriterien. Damit dieser Fall nicht eintritt und  Daten nicht in falsche Hände kommen müssen dem Schutzweck angemessene technische und organisatorische Maßnahmen ergriffen werden. Eine solche kann beispielsweise die Verschlüsselung von Daten innerhalb  eines Unternehmens darstellen. Allerdings sollten die einzelnen zu ergreifenden Schritte sehr genau vorüberlegt sein, da verschiedene für den Datenschutz relevante Aspekte zu berücksichtigen sind.

Warum werden Daten verschlüsselt?

Grundsätzlich sprechen aus Sicht des Datenschutzes insbesondere folgende beispielhafte Gründe dafür, Datensätze zu verschlüsseln:

  • Nutzer von Datenverarbeitungsanlagen und -geräten sollen und dürfen lediglich auf die Inhalte zugreifen – einsehen, verändern, kopieren oder löschen – für die sie die notwendige Berechtigung haben. Um die Zugangs- und Zugriffskontrollen des Berechtigungskonzeptes weitergehend abzusichern, kann die Verschlüsselung von Daten dienlich sein.
  • Personenbezogene Daten müssen unter Umständen an externe Dienstleister weitergeleitet werden. Dies birgt gewisse Risiken. Im Zuge der Weitergabekontrolle kann die Verschlüsselung von Datensätzen dazu führen, dass sich durch diese Maßnahme der Personenbezug aufhebt, da die Datensätze für denjenigen ohne Schlüssel nicht nachvollziehbar bzw. nutzbar sind. Je nach Datenlage, kann es sogar sein, dass eine externe Dienstleistung erst durch eine zusätzliche Verschlüsselung zulässig wird. Hier ist als Beispiel die Auslagerung von Daten auf einen externen Server zu nennen.

Welche Datensätze sollten verschlüsselt werden?

Grundsätzlich sollte zunächst ermittelt werden, welche Datensätze für eine Verschlüsselung relevant sind, denn diese bringt auch einen erheblichen technischen und organisatorischen Aufwand mit sich. Entsprechend steigt natürlich der Aufwand, je mehr Datensätze verschlüsselt werden.

Welche Datensätze konkret verschlüsselt werden sollten ist immer von der jeweiligen Zielsetzung der Verarbeitungstätigkeit abhängig. Nehmen wir beispielsweise die Möglichkeit des Home-Offices und den damit verbundenen Einsatz von Computern oder Datenträgern. Unternehmen können im Privathaushalt nur bedingt die Zutrittskontrolle umsetzen. Eine Verschlüsslung der Datensätze kann somit eine Möglichkeit sein, zusätzliche Sicherheit vor den Folgen eines Zugriffs durch Dritte zu bieten und somit die Zugriffskontrolle auf die Daten von Unternehmensseite zu erfüllen.

Umsetzung in der Praxis

Grundsätzlich sind bei der Wahl einer technischen Verschlüsselung für Unternehmen verschiedene Aspekte zu beachten. Hier gibt beispielsweise die technische Richtlinie „Kryptographische Verfahren: Empfehlungen und Schlüssellängen (BSI TR-02102)“ eine gute Orientierungshilfe. Dabei sollte jedoch immer sichergestellt werden, dass die Verschlüsselung in das Datenschutzkonzept des Unternehmens passt. Ebenfalls ist es selbstverständlich zwingend erforderlich, dass eine Verschlüsselung in den praktischen Arbeitsabläufen nicht zum Hindernis wird und diese nicht gravierend gestört werden.

In der konkreten praktischen Umsetzung gibt es daher verschiedene Möglichkeiten. So gibt es Software, die es dem Nutzer gestattet, einzelne Datensätze zu verschlüsseln. Mit einem individuellem Schlüssel – dieser wird in der Regel zufällig generiert oder vom Nutzer festgelegt – ist es möglich, einzelne verschlüsselte Datensätze zu entschlüsseln und somit was zu verwertbar zu machen.

Darüber hinaus gibt es Softwarelösungen, die über eine eigene integrierte Datenverschlüsselung verfügen. Hier findet die Ver- und Entschlüsselung im Hintergrund statt, sodass der Anwender selbst nicht eingreifen kann.

Technisch sind heute schon viele verschiedene Möglichkeiten geboten und vermutlich werden auch weitere entwickelt werden. Es sollte also darauf geachtet werden, dass die ausgewählte Lösung zur Zielsetzung und dem jeweiligen Stand der Technik, sowie zum Unternehmen passt.

Gerne unterstützen wir Sie bei der Konzeptionierung des Datenschutzes

Wir betreuen Unternehmen, Vereine oder gemeinnützige Organisationen bei der Umsetzung des betrieblichen Datenschutzes in der Datenschutz-Grundverordnung (DS-GVO) und im Gesetz über den Kirchlichen Datenschutz (KDG). Hierzu entwickeln wir auf Ihr Unternehmen, ihren Verein oder ihre gemeinnützige Organisation abgestimmte Datenschutzkonzepte und unterstützen Sie aktiv bei der Umsetzung. Gerne beraten wir auch Sie bei der Umsetzung Ihres Projektes. Nehmen Sie gerne jederzeit Kontakt zu uns auf.

zurück zum Blog