Ist die Datenverschlüsselung nach der DSGVO verpflichtend? Verschlüsselungsmethoden

Service

Müssen Sie Verschlüsselung verwenden, wenn Sie mit personenbezogenen Daten arbeiten? Das DSGVO-Gesetz sieht vor, dass eine Datenverschlüsselung durch die Verantwortlichen erforderlich sein kann, wenn die Risikoanalyse ergibt, dass andere Datensicherheitsmethoden das Risiko eines Datenlecks nicht beseitigen. Lesen Sie, wann es sich lohnt, Ihre Daten zu verschlüsseln, welche Verschlüsselungsmethoden am häufigsten verwendet werden und welche Vorteile die Datenverschlüsselung bietet.

Datenverschlüsselung im Lichte des DSGVO-Gesetzes

Das DSGVO-Gesetz hat restriktive Regeln für die Verarbeitung personenbezogener Daten eingeführt. Die Verantwortung für die Auswahl geeigneter Methoden zu deren Sicherung liegt bei den Datenadministratoren und den Einrichtungen, die die sog Prozessoren. Die DSGVO betont, dass Personen, die solche Positionen innehaben, das Risiko von beispielsweise Datenverlusten und deren Verarbeitung entgegen den Bestimmungen der DSGVO einschätzen sollten. Basierend auf den Ergebnissen der Analyse sollten diese Personen geeignete Sicherheitsmaßnahmen ergreifen. Die Wahl der Schutzart hängt von den Administratoren und Auftragsverarbeitern ab, die für Datenlecks, unbefugte Datenänderungen und andere Vorfälle verantwortlich sind.

Gemäß Art. 32 Sek. 1 DSGVO:
„Unter Berücksichtigung des Stands der Technik, des Implementierungsaufwands und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie der Gefahr einer Verletzung der Rechte oder Freiheiten natürlicher Personen mit unterschiedlicher Wahrscheinlichkeit und Schwere, des Verantwortlichen und des Auftragsverarbeiters“ geeignete technische und organisatorische Maßnahmen ergreifen, um das diesem Risiko entsprechende Sicherheitsniveau zu gewährleisten, einschließlich, aber nicht beschränkt auf: (a) Pseudonymisierung und Verschlüsselung personenbezogener Daten;

Das bedeutet, dass die EU-Verordnung nur Leitlinien vorgibt, die bei der Wahl einer Methode zur Sicherung personenbezogener Datenbanken zu berücksichtigen sind, z Freiheiten der betroffenen Personen. Zusammenfassend verlangt das Gesetz nicht die Verwendung der teuersten Verfahren zur Verschlüsselung personenbezogener Daten, sondern solche, die der Art der Datenverarbeitung und dem möglichen Risiko ihrer Verletzung angemessen sind.

Arten der Datenverschlüsselung

Verschlüsselung, d. h. eine Aktion, die darauf abzielt, Informationen zu ändern, indem in eine Zeichenfolge eingegriffen wird, damit eine Außenperson diese Informationen nicht lesen kann. Nur eine autorisierte Person (mit einem Schlüssel) kann die verschlüsselten Daten lesen. Die Datenverschlüsselung kann in symmetrische und asymmetrische unterteilt werden. Symmetrisch geht davon aus, dass zum Verschlüsseln und Entschlüsseln von Daten der gleiche Verschlüsselungsschlüssel vorhanden ist. Die asymmetrische Verschlüsselung setzt die Verwendung eines Schlüsselpaares voraus – einer zum Verschlüsseln, der andere zum Lesen von Daten, so schützt beispielsweise der SSL-Schlüssel Seiten und gewährleistet die Verschlüsselung der zwischen dem Server und dem Browser des Benutzers gesendeten Daten.

Eine der Methoden der Datenverschlüsselung ist die Anonymisierung, die darin besteht, einige Daten so zu verwischen, dass die verbleibenden sichtbaren Daten keine Zuordnung zu einer bestimmten Person zulassen. Die DSGVO nennt als Beispiel für die Datenverschlüsselung zunächst die Pseudonymisierung, also die Trennung von Daten aus einem Satz in mehrere Dateien, sodass eine Datei keine Daten enthält, die eine Identifizierung einer bestimmten Person ermöglichen. Die Verbindung mit Schlüsseln macht es nur möglich.

Wann lohnt sich die Datenverschlüsselung?

Die Verwendung von Verschlüsselung kann nützlich sein, wenn:

  • Mitarbeiter verwenden Laptops mit personenbezogenen Daten,
  • das Unternehmen nutzt Laptops und Smartphones in öffentlichen WLAN-Netzen,
  • Dateien mit personenbezogenen Daten über das Internet versendet werden,
  • personenbezogene Daten werden auf Datenträgern übertragen.

Einer der wichtigsten Vorteile der Verschlüsselung personenbezogener Daten ist die Tatsache, dass Sie als Verantwortlicher bei Gefahr einer Verletzung von Rechten oder natürlichen Personen die Person, deren Daten möglicherweise gefährdet sind, nicht benachrichtigen müssen. Das Gesetz sieht vor, dass bei verschlüsselten Daten, z.