Renaissance der Kryptografie?
Geheimnisse wollte man schon immer bewahren – bereits im dritten Jahrtausend vor Christus haben die alten Ägypter der 3. bis 6. Dynastie dazu einfache Kryptografie eingesetzt, um mythisch-religiöse Schriften zu verschlüsseln. Die moderne Verschlüsselung und Pseudonymisierung erleben heute durch die Anforderungen der EU-Datenschutzgrundverordnung (DSGVO) einen deutlichen Aufmerksamkeitsschub.
Bis vor Kurzem haben viele Unternehmen und Organisationen die Verschlüsselung von Daten eher stiefmütterlich behandelt – das könnte sich nun grundlegend ändern: Denn alle, die in einem Unternehmen für die Bearbeitung und Verarbeitung personenbezogener Daten verantwortlich sind, haften seit dem 28. Mai 2018 persönlich (auch mit ihrem Privatvermögen) unmittelbar und gesamtschuldnerisch für jeden Fall, in dem einem betroffenen Dritten durch eine Datenverarbeitung, die nicht regelkonform durchgeführt worden ist, ein materieller, aber auch immaterieller Schaden entsteht. Für die Verarbeitung personenbezogener Daten verantwortlich ist dabei nicht nur etwa der IT-Leiter, sondern dies erfasst auch die Geschäftsleitung, andere Personen, die beteiligt sind, und nicht zuletzt sogar jeden einzelnen Mitarbeiter, der während seiner Arbeit auf personenbezogene Daten zugreift.
Schadenersatz-Pflicht
Diese sehr weite Verantwortlichkeit hat die DSGVO in Artikel 82 (Absatz 2 Satz 1) eingeführt, in dem steht: „Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde.“ Der vorausgehende Satz enthält folgende Regelung: „Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“
Dass die DSGVO als EU-Verordnung – anders als EU-Richtlinien – nicht erst in nationales Recht umzusetzen ist, sondern in den Mitgliedsländern der EU unmittelbar gilt, dürfte mittlerweile hinlänglich bekannt sein. Die genannten Regelungen sind daher seit Ende Mai in Deutschland unmittelbar anzuwenden.
Der Verordnungsgeber will hier den Begriff des „Schadens“ bewusst weit fassen, was sich aus dem Erwägungsgrund Nummer 146 zur Verordnung ergibt (siehe etwa https://dsgvo-gesetz.de/erwaegungsgruende/nr-146/). Hieraus ergibt sich auch, dass der jeweils Verantwortliche nur dann von der Haftung befreit ist, wenn er nachweist, dass er in keiner Weise für den Schaden verantwortlich ist (Beweislastumkehr).
Die DSGVO verlangt von den Verantwortlichen, dass sie geeignete technische und organisatorische Maßnahmen vornehmen, um ein entsprechendes Datenschutzniveau zu erreichen, das dem „Stand der Technik“ entspricht. Dies ist allerdings nach den jeweiligen Umständen zu bewerten: So sind unter anderem Implementierungskosten, der Zweck der Datenverarbeitung, die Art und der Umfang der Datenverarbeitung, die näheren Umstände bei der Datenverarbeitung, die Wahrscheinlichkeit des Eintritts eines Schadens und letztlich auch die Schwere der mit der Datenverarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen.
Ob das Datenschutzniveau in einem konkreten Betrieb tatsächlich dem Stand der Technik entspricht, ist organisatorisch zu überprüfen und festzustellen – zunächst zum Zeitpunkt der Festlegung der Mittel für die Datenverarbeitung und dann erneut zum Zeitpunkt der eigentlichen Verarbeitung.
Rechtsgrundlage
Nach Artikel 25 Absatz 2 DSGVO muss der Verantwortliche sicherstellen, dass durch geeignete Voreinstellungen nur personenbezogene Daten verarbeitet werden, für die eine Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist (https://dsgvo-gesetz. de/art-25-dsgvo/). Dies gilt bezüglich der Mängel, des Umfangs ihrer Verarbeitung, ihrer Speicherfrist und Zugänglichkeit.
Außerdem müssen die Verantwortlichen bereits sehr früh mit der Gestaltung der regelkonformen Technik anfangen, nämlich bereits dann, wenn eine elektronische Datenverarbeitung mit Hardware und Software bereits geplant wird („Data Protection by Design“, siehe auch Erwägungsgrund 78). Darüber hinaus muss bei Gestaltung der Datenverarbeitung jede Voreinstellung, die möglich ist, so gewählt werden, dass sie ein hohes Maß an Datenschutz gewährt (Data Protection by Default).
All das gilt übrigens nicht nur bei der Verarbeitung der Daten im Unternehmen selbst, sondern auch oder sogar vor allem, wenn man Daten an Dritte auslagert, beispielsweise an externe Speichersysteme. Die Verantwortlichen für den Datenschutz im Unternehmen müssen garantieren können, dass sie nur mit solchen Auftragsdatenverarbeitern zusammenarbeiten, die ihrerseits hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und der Schutz der Rechte betroffener Personen gewährleistet ist.
Die DSGVO verpflichtet den Verantwortlichen genauso wie den Auftragsdatenverarbeiter, geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein entsprechendes Schutzniveau zu gewährleisten. Nach Artikel 32 Absatz 1 DSGVO sind dies unter anderem folgende Maßnahmen:
- die Pseudonymisierung und Verschlüsselung personenbezogener Date
- die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen
- die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzuste
- und letztlich auch das Vorhalten eines Verfahrens zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung
Pflicht zur Pseudonymisierung
Laut Erwägungsgrund Nummer 78 zur DSGVO müssen personenbezogene Daten so schnell wie möglich pseudonymisiert werden (https://dsgvo-gesetz.de/erwaegungsgruende/nr-78/). Hierbei wird ausdrücklich darauf abgestellt, dass bei der Beschaffung von technischen Komponenten, die den Datenschutz berühren können, grundsätzlich darauf zu achten ist, dass die Gestaltung der Produkte, Dienste und Anwendungen die Grundsätze des Datenschutzes durch die verwendete Technik und durch datenschutzfreundliche Voreinstellungen bereits berücksichtigt.
Dabei wird es nur die zweite Wahl sein, wenn bei ausgelagerten Daten der externe Dienstleister die Daten verschlüsselt, da dies zwar gegen Attacken Dritter schützt, einen internen Angriff auf diese Daten jedoch nicht ausschließt. Die erste Wahl wäre es sicherlich, die eigenen Daten selbst zu verschlüsseln und sie erst in diesem Zustand auszulagern, denn so sind sie sowohl gegen Angriffe von extern, aber auch gegen Angriffe beim Dienstleister (etwa durch abtrünnige Mitarbeiter) gefeit.
Die Verschlüsselung und Pseudonymisierung personenbezogener Daten ist heute Stand der Technik, sodass jeder für den Datenschutz Verantwortliche verpflichtet ist, entsprechende Daten auch tatsächlich so zu behandeln. Dies ergibt sich unter anderem auch aus dem Erwägungsgrund Nummer 75, in dem ausdrücklich festgehalten wird, wie hoch die Risiken für die Rechte und Freiheiten natürlicher Personen sein können, wenn ihre Daten verarbeitet werden – vor allem, wenn diese Daten geeignet sind, eine Person zu diskriminieren, einen finanziellen Verlust zu bereiten, den Ruf der Person zu schädigen oder dazu dienen, einen Identitätsdiebstahl oder Identitätsbetrug zu begehen (https://dsgvo-gesetz.de/erwaegungsgruende/nr-75/).
Pflicht zur Verschlüsselung
Der Erwägungsgrund 83 erläutert, dass der Verantwortliche notwendige Maßnahmen einsetzen muss, die sicherstellen, dass keine Verarbeitung erfolgt, die gegen Gesetze verstößt. Hierbei wird die Verschlüsselung ausdrücklich als Maßnahme zur Eindämmung entsprechender Risiken erwähnt (https://dsgvo-gesetz.de/erwaegungsgruende/nr-83/).
Auch die Verordnung selbst schreibt ausdrücklich vor, dass die für den Datenschutz Verantwortlichen zur Verschlüsselung und Pseudonymisierung verpflichtet sind (Art. 6 Abs. 4 lit. e DSGVO), vor allem wenn die Datenverarbeitung zu einem anderen Zweck erfolgt als zu dem, für den sie erhoben wurden, und dies nicht mit Einwilligung des Betroffenen geschieht.
Wenn sogar sogenannte „besondere Kategorien personenbezogener Daten“ nach § 22 BDSG verarbeitet werden (z. B. Daten der Gesundheitsfürsorge oder Daten, die eine Gefahr für die öffentliche Sicherheit bedeuten können), dann sind diese auf jeden Fall nach dem Stand der Technik zu pseudonymisieren (§ 22 Abs. 2 Nr. 6 BDSG) und zu verschlüsseln (§ 22 Abs. 2 Nr. 7 BDSG).
In einer Studie von Februar 2018, die das Bundesministerium für Wirtschaft und Energie (BMWi) in Auftrag gegeben hat, wird der Einsatz von Verschlüsselungstechnik auch für kleine und mittlere Unternehmen (KMU) ausdrücklich empfohlen – vor allem für:
- E-Mails
- Telefonie
- Messaging
- Kollaborationsplattformen
- Webseiten
- VPN
- LAN
- Dateien
- Datenträger
- Cloudspeicher
Auch die französische Datenschutzbehörde „Commission nationales de l’informatique et des libertés“ (CNIL) empfiehlt in ihrem Factsheet Nummer 14 ausdrücklich, Daten, die auf externe Datenspeicher ausgelagert werden oder die per Netzwerk versendet werden, zu verschlüsseln (www.cnil.fr/sites/default/files/atoms/files/cnil_guide_securite_personnelle_gb_web.pdf) – der gleichen Meinung ist die britische Datenschutzbehörde (Information Commissioner‘s Office – ICO).
Letztlich kann man sich auch nach den Empfehlungen des Bundesamts für die Sicherheit in der Informationstechnik (BSI) richten, die das Thema Verschlüsselung im IT-Grundschutz häufig aufgreift – unter anderem in M4.34 „Einsatz von Verschlüsselung, Checksummen oder digitalen Signaturen“, M 4.448 „Einsatz von Verschlüsselung für Speicherlösungen“, M 4.101 „Sicherheitsgateways und Verschlüsselung“ sowie M 5.68 „Einsatz von Verschlüsselungsverfahren zur Netz-Kommunikation“. Hinsichtlich der zu verwendenden kryptografischen Verfahren liefert das BSI ausführliche Erläuterungen in seiner technischen Richtlinie BSI TR 02102 „Kryptographische Verfahren: Empfehlungen und Schlüssellängen“ (www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr02102/index_htm.html).
Die -Rubrik „Recht“ gibt Tipps zu Rechtsfragen der ITK sowie der Informationssicherheit und informiert über aktuelle Urteile aus diesem Bereich. Rechtsanwalt Stefan Jaeger betreut diese Kolumne seit 2013. Er ist Partner bei SIMON und Partner und referiert über IT-Rechtsfragen seit Jahren an der Deutschen Richterakademie und beim Deutschen Richterbund. Er ist darüber hinaus Referatsleiter Datenschutz bei der GenoServ eG.
Fazit
Die Verschlüsselung personenbezogener Daten sowohl im Unternehmen als auch im Datenverkehr sowie auf externen Speichern muss ab sofort Chefsache sein. Der Geschäftsführer oder auch Vorstand eines Unternehmens kann sich nicht darauf berufen, dass dies Sache der ITAbteilung ist und er davon keine wirkliche Ahnung hat. Er ist zumindest dafür verantwortlich, den IT-Leiter entsprechend anzuweisen, ihn zu informieren und sicherzustellen, dass die notwendigen rechtlich vorgeschriebenen Maßnahmen auch tatsächlich im Unternehmen umgesetzt werden. Das geht letztlich so weit, zu kontrollieren, dass jeder Mitarbeiter an seinem Computer in regelmäßigen Abständen ein belastbares Passwort neu vergibt.
Im Unternehmen selbst ist – ähnlich wie bei anderen Positionen – im Haushalt ein Budget für den Bereich Datenschutz einzuplanen. Im Zweifel ist es sehr hilfreich, externe Berater mit hinzuzuziehen, die Wissenslücken im Unternehmen schließen können: Denn wenn die Verantwortlichen im Unternehmen bestimmte juristische Sachverhalte oder technische Notwendigkeiten nicht richtig einschätzen (können), wird man sie im Fall eines Schadens fragen, warum sie keine externe Hilfe hinzugezogen haben, um ihre gesetzlichen Pflichten zu erfüllen.
Hierbei ist immer daran zu denken, dass jeder für die Datenverarbeitung Verantwortliche – sei es die Geschäftsführung, die IT-Leitung oder auch der einzelne Mitarbeiter – mit seinem privaten Vermögen unbegrenzt (gesamtschuldnerisch mit allen anderen Verantwortlichen) haftet, wenn ein materieller oder immaterieller Schaden einem Dritten entstanden ist. Dieses Risiko kann niemand eingehen wollen.
