DATEIEN VERSCHLÜSSELN

Dateien verschlüsseln – Was ist aus Sicht des Datenschutzes zu beachten?

Es dürfen grundsätzlich nur Stellen personenbezogene Daten verarbeiten, die auch dazu berechtigt sind. Können Dritte aufgrund von unzureichenden Sicherheitsmaßnahmen auf personenbezogene Daten zugreifen, spricht man von einer Datenpanne oder einer Datenschutzverletzung. Die Höhe der Bußgelder und die Auswirkungen durch den Schaden bemessen sich an verschiedenen Kriterien. Damit dieser Fall nicht eintritt und Daten nicht in falsche Hände kommen, müssen dem Schutzweck angemessene technische und organisatorische Maßnahmen ergriffen werden. Eine solche kann beispielsweise die Verschlüsselung von Daten innerhalb eines Unternehmens darstellen. Allerdings sollten die einzelnen zu ergreifenden Schritte sehr genau überlegt sein. Verantwortliche müssen hierzu verschiedene für den Datenschutz relevante Aspekte berücksichtigen.

Warum werden Daten verschlüsselt?

Grundsätzlich sprechen aus Sicht des Datenschutzes insbesondere folgende beispielhafte Gründe dafür Datensätze zu verschlüsseln:

  • Nutzer von Datenverarbeitungsanlagen und -geräten sollen und dürfen lediglich auf die Inhalte zugreifen – einsehen, verändern, kopieren oder löschen – für die sie die notwendige Berechtigung haben. Um die Zugangs- und Zugriffskontrollen des Berechtigungskonzeptes weitestgehend abzusichern, kann die Verschlüsselung von Daten dienlich sein.
  • Personenbezogene Daten müssen unter Umständen an externe Dienstleister weitergeleitet werden. Dies birgt gewisse Risiken. Im Zuge der Weitergabekontrolle kann die Verschlüsselung von Datensätzen dazu führen, dass sich durch diese Maßnahme der Personenbezug aufhebt, da die Datensätze für denjenigen ohne Schlüssel nicht nachvollziehbar bzw. nutzbar sind. Je nach Datenlage kann es sogar sein, dass eine externe Dienstleistung erst durch eine zusätzliche Verschlüsselung zulässig wird. Hier ist als Beispiel die Auslagerung von Daten auf einen externen Server zu nennen.

Welche Datensätze sollten verschlüsselt werden?

Grundsätzlich müssen Unternehmen zunächst einmal ermitteln, welche Datensätze für eine Verschlüsselung relevant sind. Denn solch eine Verschlüsselung bringt immer auch einen erheblichen technischen und organisatorischen Aufwand mit sich. Der Aufwand steigt natürlich entsprechend der Menge der zu verschlüsselnden Datensätze.

Welche Datensätze konkret verschlüsselt werden sollten ist immer von der jeweiligen Zielsetzung der Verarbeitungstätigkeit abhängig. Nehmen wir beispielsweise die Möglichkeit des Home-Offices und den damit verbundenen Einsatz von Computern oder Datenträgern. Unternehmen können im Privathaushalt nur bedingt die Zutrittskontrolle umsetzen. Eine Verschlüsslung der Datensätze kann somit eine Möglichkeit sein, zusätzliche Sicherheit vor den Folgen eines Zugriffs durch Dritte zu bieten. Somit erfüllt sie die Zugriffskontrolle auf die Daten durch das Unternehmen.

Umsetzung in der Praxis

Grundsätzlich sind bei der Wahl einer technischen Verschlüsselung für Unternehmen verschiedene Aspekte zu beachten. Hier gibt beispielsweise die technische Richtlinie „Kryptographische Verfahren: Empfehlungen und Schlüssellängen (BSI TR-02102)“ eine gute Orientierungshilfe. Dabei sollte jedoch immer sichergestellt werden, dass die Verschlüsselung in das Datenschutzkonzept des Unternehmens passt.  Eine Verschlüsselung darf in den praktischen Arbeitsabläufen jedoch nicht zum Hindernis werden. Ansonsten kann es zu einer gravierenden Störung dieser Abläufe kommen.

In der konkreten praktischen Umsetzung gibt es daher verschiedene Möglichkeiten. So gibt es Software, die es dem Nutzer gestattet, einzelne Datensätze zu verschlüsseln. Durch einen individuellen Schlüssel ist es für den Nutzer möglich einzelne Datensätze zu entschlüsseln und folglich auch zu verwerten. Solch ein Schlüssel ist in der Regel zufällig generiert oder vom Nutzer festgelegt.

Darüber hinaus gibt es Softwarelösungen, die über eine eigene integrierte Datenverschlüsselung verfügen. Hier findet die Ver- und Entschlüsselung im Hintergrund statt, sodass der Anwender selbst nicht eingreifen kann.

Technisch werden heute schon viele verschiedene Möglichkeiten geboten und vermutlich werden auch weitere entwickelt werden. Verantwortliche sollten darauf achten, dass die ausgewählte Lösung zur Zielsetzung und dem jeweiligen Stand der Technik sowie zum Unternehmen passt.

Kontaktieren Sie uns!

Wir stehen Ihnen gerne jederzeit zur Verfügung, falls sie zu diesem oder zu anderen Themen im Bereich des Datenschutzes weitergehende Fragen haben.

Wir betreuen Unternehmen, Vereine oder gemeinnützige Organisationen bei der Umsetzung des betrieblichen Datenschutzes in der Datenschutz-Grundverordnung (DS-GVO) und im Gesetz über den Kirchlichen Datenschutz (KDG). Hierzu entwickeln wir auf Ihr Unternehmen, Ihren Verein oder Ihre gemeinnützige Organisation abgestimmte Datenschutzkonzepte und unterstützen Sie aktiv bei der Umsetzung. Wir beraten auch Sie gerne bei der Umsetzung ihres Projektes.

Nehmen Sie gerne jederzeit Kontakt zu uns auf.

zurück zum Blog