Sie befinden sich hier:

Besonders erwähnte Maßnahmen gemäß Art. 32 Abs. 1 Buchstabe a DSGVO

Welche Maßnahmen ein Verantwortlicher oder Auftragsverarbeiter zur Gewährleistung der Datensicherheit ergreift, ist ihm weitgehend freigestellt. Allerdings wird in Art. 32 Abs. 1 Buchstabe a DSGVO explizit auf die Pseudonymisierung und Verschlüsselung hingewiesen.

Das darüber hinaus durchaus auch andere Maßnahmen in Betracht kommen, wird durch folgenden Satz verdeutlicht: „Durch die ausdrückliche Einführung der „Pseudonymisierung“ in dieser Verordnung ist nicht beabsichtigt, andere Datenschutzmaßnahmen auszuschließen“ (Satz 2 des Erwägungsgrunds 28 zur DSGVO).

Egal, welche Maßnahmen ergriffen werden, es muss ein Kontrollverfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung entwickelt werden (Art. 32 Abs. 1 Buchstabe d DSGVO). Stellt sich im Rahmen der Durchführung dieses Kontrollverfahrens heraus, dass die ergriffenen Maßnahmen nicht genügen bzw. nicht effizient genug sind, müssen sie angepasst bzw. erneuert werden.

Pseudonymisierung

Gemäß Art. 4 Nr. 5 DSGVO und § 46 Nr. 5 BDSG bezeichnet die Pseudonymisierung die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.

Pseudonymisierungist somit das Verändern personenbezogener Daten durch eine Zuordnungsvorschrift derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse ohne Kenntnis oder Nutzung der Zuordnungsvorschrift nicht mehr einer natürlichen Person zugeordnet werden können.

Dazu werden beispielsweise die Identifikationsdaten (z. B. der Name) durch eine Abbildungsvorschrift in ein willkürlich gewähltes Kennzeichen (das Pseudonym) überführt. Diese Pseudonyme werden dabei über ein geeignetes Verfahren aus dem ursprünglichen Wert generiert oder komplett neu vergeben. Ein Pseudonym kann das gleiche Format (z. B. Erzeugung eines künstlichen Namens) wie der ursprüngliche Datentyp besitzen oder in einem anderen Format vorliegen (z. B. zufällige Zeichenabfolgen). Wichtig ist lediglich, dass die Zuordnung eindeutig ist, dass also für zwei identische Eingabewerte immer das gleiche Pseudonym erzeugt wird.

Pseudonymisierung wird vorwiegend eingesetzt um sensitive Daten bei der Verarbeitung vor direkten Blicken zu schützen: Pseudonymisierung macht es schwerer, Rückschlüsse auf einen ursprünglichen Datenwert zu ziehen, bewahrt aber die Eindeutigkeit dieses Wertes und erhält so (teilweise) die Nutzbarkeit der Daten. Pseudonymisierung schützt im Gegensatz zu Anonymisierung jedoch nicht vor statistischen Angriffen zur Re-Identifikation von einzelnen Datenwerten.3)

Ziel einer Pseudonymisierung ist es, nur bei Bedarf und unter Einhaltung vorher definierter Rahmenbedingungen den Personenbezug wieder herstellen zu können. Die Re-Identifizierung kann mitunter auch ausschließlich dem Betroffenen vorbehalten bleiben. Mit Referenz- und Einweg-Pseudonymen (siehe folgenden Abschnitt) versehene Daten sind jedoch weiterhin personenbezogene Daten, da sie einer bestimmten oder bestimmbaren Person zugeordnet werden können.

Nach Erwägungsgrund 26 Satz 2 zur Datenschutz-Grundverordnung werden einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, als Informationen über eine identifizierbare natürliche Person und damit als personenbezogene Daten betrachtet. Dagegen gelten die Grundsätze des Datenschutzes – und damit die DSGVO – nicht für anonyme Informationen, d.h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann (Erwägungsgrund 26 Satz 5 DSGVO).

Allerdings kann die Anwendung der Pseudonymisierung auf personenbezogene Daten die Risiken für die betroffenen Personen senken und die Verantwortlichen und die Auftragsverarbeiter bei der Einhaltung ihrer Datenschutzpflichten unterstützen (Satz 1 des Erwägungsgrunds 28 zur DSGVO).

Um Anreize für die Anwendung der Pseudonymisierung bei der Verarbeitung personenbezogener Daten zu schaffen, sollten Pseudonymisierungsmaßnahmen, die jedoch eine allgemeine Analyse zulassen, bei demselben Verantwortlichen möglich sein, wenn dieser die erforderlichen technischen und organisatorischen Maßnahmen getroffen hat, um — für die jeweilige Verarbeitung — die Umsetzung dieser Verordnung zu gewährleisten, wobei sicherzustellen ist, dass zusätzliche Informationen, mit denen die personenbezogenen Daten einer speziellen betroffenen Person zugeordnet werden können, gesondert aufbewahrt werden. Der für die Verarbeitung der personenbezogenen Daten Verantwortliche, sollte die befugten Personen bei diesem Verantwortlichen angeben (Erwägungsgrund 29 zur DSGVO).

Verschlüsselung

Zur Aufrechterhaltung der Sicherheit und zur Vorbeugung gegen eine gegen diese Verordnung verstoßende Verarbeitung sollte der Verantwortliche oder der Auftragsverarbeiter die mit der Verarbeitung verbundenen Risiken ermitteln und Maßnahmen zu ihrer Eindämmung, wie etwa eine Verschlüsselung, treffen (Satz 1 des Erwägungsgrunds 83 zur DSGVO). Im Gegensatz zur Pseudonymisierung enthält die Datenschutz-Grundverordnung keine Gesetzesdefinierung für die Verschlüsselung.

Eine Verschlüsselung basiert auf einem Algorithmus, der unter Verwendung eines Schlüssels die Ursprungsdaten so „verquirlt“, dass es für jeden, ausgenommen die autorisierten Empfänger, die sich im Besitz des Schlüssels befinden, extrem schwierig ist, die Ursprungsdaten wiederherzustellen.

Verschlüsselungsverfahren sind insbesondere dazu geeignet, die folgende Ziele zu erreichen:

  • Unbefugte Personen können die Daten nicht zur Kenntnis nehmen (Gewährleistung der Vertraulichkeit).
  • Unbefugte Änderungen von Daten können erkannt werden (Gewährleistung der Integrität).
  • Es kann nachgewiesen werden, wer der Kommunikationspartner ist (Gewährleistung des Identitätsnachweises), und es kann nachgewiesen werden, von wem eine Nachricht stammt (Gewährleistung der Authentizität).
  • Dritten gegenüber kann nachgewiesen werden, dass eine Kommunikation zwischen bestimmten Partnern stattgefunden hat (Gewährleistung der Nichtabstreitbarkeit).

Die Güte der Verschlüsselung hängt insbesondere vom verwendeten Verschlüsselungsverfahren (z. B. AES), der gewählten Schlüssellänge (z. B. 1024 Bit), der Sicherheit des Schlüssels und der umgesetzten Sicherheitskonfiguration eingesetzter Produkte ab.

Die Verschlüsselung kann insbesondere zur Gewährleistung der Vertraulichkeit und der Integrität genutzt werden.

Eine verschlüsselte Speicherung von (personenbezogenen) Daten ist immer dann nötig, wenn damit zu rechnen ist, dass Unbefugte physischen Zugang zum speichernden Gerät oder direkten Datenbankzugriff unter Umgehung der Anwendung erlangen. Dies betrifft insbesondere mobile Geräte, die das Unternehmen verlassen (z. B. Notebooks) und Server, die eine Anbindung an externe Netze haben. Auch die Behandlung von Backup-Medien muss in diesem Zusammenhang betrachtet werden. Eine verschlüsselte Datenübertragung ist auf jeden Fall dann erforderlich, wenn personenbezogene Daten über unsichere Netze (Internet, WLAN) übertragen werden sollen.

nach oben