DS-GVO in der Praxis: Transport vertraulicher digitaler Informationen

Immer wieder bekommen wir die Frage gestellt: Wie können bzw. müssen personenbezogene Daten sicher und vertraulich, etwa per E-Mail, übertragen werden? Wer ist für die Vertraulichkeit zuständig? Ab wann sind personenbezogene Daten gegen unbefugtes Mitlesen zu sichern? Die nachfolgenden Informationen sollen hier Klarheit bringen.

Rechtsgrundlage

Im Art 25 DS-GVO (Datenschutz durch Technikgestaltung) und im Art. 32 DS-GVO (Sicherheit der Verarbeitung) werden die Forderungen aus Art. 5 DS-GVO Grundsätze für die Verarbeitung personenbezogener Daten genauer ausgeführt:

(1) Personenbezogene Daten müssen

f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit”).“ (Art. 5 DS-GVO)

„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen – wie z.B. Pseudonymisierung –, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.“ (Art. 25 DS-GVO)

„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:

  1. a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
  2. b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen …“ (Art. 32 DS-GVO)

Praxis

Was bedeutet dies in der Praxis? Beim Versenden personenbezogener Daten sind dies gegen unbefugte Kenntnisnahme zu schützen. Dies kann geschehen durch:

  1. Verschlüsselung der entsprechenden Datei mit Passwort, etwa beim Versand per E-Mail.
  2. Verschlüsselung der gesamten E-Mail, also E-Mail-Text und Anhang durch Standrads wie etwa S/MIME (X.509) oder PGP.
  3. Upload von Dateien über auf eine entsprechendes Portal mit Transport-Verschlüsselung (TLS).

Werden in der E-Mail im Text personenbezogene Daten übermittelt, so muss die E-Mail verschlüsselt werden. Sind nur in einer Datei im Anhang personenbezogene Daten enthallten, so ist eine Verschlüsselung dieser Datei ausreichend.

Die entsprechenden Passwörter müssen dem Empfänger auf einem anderen Kommunikationskanal übermittelt werden. Also Versand der verschlüsselten Datei per E-Mail und Übermittlung des Passwortes per SMS oder Telefon. Eine Übermittlung des Passwortes per E-Mail wäre nicht korrekt und würde die Verschlüsselung „aushebeln“.

Zur Frage wie die Passwörter in Länge und Komplexität beschaffen sein müssen bzw. welche Verschlüsselungsverfahren im Einzelnen dem Stand der Technik entsprechen, können wir gerne beratend behilflich sein.

Auch wenn Verschlüsselung ein nicht allzu geliebtes Thema ist, ist es im Zeichen der DS-GVO unabdingbar und sichert generell geheime Daten von Organisationen.