Unmengen an Daten sind jährlich betroffen von Datendiebstählen und ungewollten Offenlegungen. Dabei haben es Cyberkriminelle meist auf alle Arten von Daten abgesehen. Darum sind Daten gemäß Ihres Schutzbedarfs z.B. durch Verschlüsselung vor Fremdzugriffen zu schützen, denn Verschlüsselung schützt nicht nur vor finanziellen Schäden und Verschlechterung des Rufes, sondern ist auch durch Art. 32 DSGVO vorgesehen.
Erfahren Sie hier, was Sie über datenschutzkonforme Verschlüsselung wissen müssen.
Verschlüsselung nach Art. 32 DSGVO
Der Art. 32 DSGVO verpflichtet Verantwortliche, personenbezogene Daten in angemessener Art und Weise zu schützen. Hierzu sollen „geeignete technische und organisatorische Maßnahmen“ (TOMs) getroffen werden, „um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Bei der Überlegung, ob eine Maßnahme angemessen ist, werden Faktoren wie der Stand der Technik, die Implementierungskosten berücksichtigt. Außerdem spielen Art, Umfang, Umstände und Zweck der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos eine Rolle.
Als eine angemessene technische und organisatorische Maßnahme nennt Art. 32 I lit. a DSGVO die Verschlüsselung. Eine Verschlüsselung schützt gespeicherte Informationen, sodass ein Unbefugter sie beim Zugriff nicht lesen kann. Ziel ist es, dass eventuelle Angreifer bei Versagen aller anderen Schutzmaßnahmen die erbeuteten Daten wenigstens nicht verwenden können.
DSGVO-Bußgelder
Kommt es zu einer Datenpanne, bei der die betroffenen Daten nicht verschlüsselt sind, ist der Vorfall nicht nur meldepflichtig, sondern kann auch hohe Bußgelder mit sich bringen. Dies schadet auf der einen Seite den Finanzen des Unternehmens und auf der anderen Seite dem Ruf in der Öffentlichkeit sowie dem Kundenansehen erheblich.
Tipps für Datenschutz in der Praxis
Besonders bedroht für einen Fremdzugriff sind Systeme, die sich regelmäßig außerhalb des Unternehmens befinden (zum Beispiel Mitarbeiter-Laptops für Homeoffice oder Geräte für den Außendienst). Guter Datenschutz kalkuliert auch die Mitarbeiter und deren menschliche Fehler ein. Dabei ist zu bedenken, dass Mitarbeiter entsprechend geschult sind, die Schutzmaßnahmen für alle einfach durchzuführen sind und trotzdem ein entsprechendes Sicherheitsniveau bieten. Alle Sicherheitssysteme auch neben der Verschlüsselung sollten regelmäßig überprüft und gewartet werden.
Organisatorisch ist zu betrachten welche Assets überhaupt das Unternehmen verlassen dürfen und welche Assets z.B. im Fernzugriff zugänglich werden. IT-Kronjuwelen als wichtigste Assetkategorie dürfen meist nicht das Unternehmen verlassen oder aus der Ferne verfügbar sein.
Für die Verschlüsselung selbst gibt es sowohl Hardware- als auch Software-Lösungen. Besonders zu achten ist hierbei auf ein sicheres Schlüssel-Management. Diese Lösungen müssen nicht teuer oder kompliziert sein. Mit Bitlocker bietet zum Beispiel Windows selbst schon eine gut handhabbare Lösung an. Wenn man sich im Internet bewegt oder E-Mails abruft funktioniert das meist bereits über eine Transportverschlüsselung (TLS), dass passiert meist bereits automatisch und wenn nicht zeigen die Programme wie Browser eine Warnung die vor unsicheren Datentransfer warnt.
Ein gutes Kryptokonzept sollte in keiner Datenschutzumsetzung und in keinem Datenschutzmanagmentsystem fehlen.
Sollten Sie Beratung zu datenschutzrechtlichen Maßnahmen oder Hilfe bei deren Umsetzung benötigen, steht Ihnen unser Team an Experten gerne zur Verfügung.