Haben verschlüsselte Daten einen Personenbezug?
Zu den Maßnahmen, die die Sicherheit der Verarbeitung nach Artikel 32 Datenschutz-Grundverordnung (DSGVO) gewährleisten, gehört die Verschlüsselung der personenbezogenen Daten.
Die DSGVO nennt die Verschlüsselung gemeinsam mit der Pseudonymisierung ausdrücklich. Das lässt sich durchaus dahingehend verstehen, dass sie die Verschlüsselung unter den technisch-organisatorischen Maßnahmen herausstellt.
Die Grundverordnung nennt die Verschlüsselung auch in Verbindung mit der Benachrichtigung der Personen, die von einer Verletzung des Schutzes personenbezogener Daten betroffen sind.
Danach entfällt die Benachrichtigungspflicht, wenn der Verantwortliche die Daten verschlüsselt hat (Art. 34 DSGVO).
Lässt sich nun daraus schließen, dass die Verschlüsselung dazu führt, dass die Vorgaben der DSGVO keine weitere Anwendung finden?
Haben verschlüsselte Daten keinen Personenbezug mehr, und unterliegen sie nicht mehr der DSGVO?
Zwischen unnötigem Aufwand und Scheinsicherheit
Das ist eine entscheidende Frage, damit die verantwortliche Stelle einerseits keinen unnötigen Aufwand betreibt, um Datenschutz für bereits verschlüsselte Daten umzusetzen.
Andererseits besteht die Gefahr, sich in Scheinsicherheit zu wiegen und den Datenschutz zur Seite zu schieben, weil die Daten ja verschlüsselt sind.
Über Verschlüsselung Verfügbarkeit nicht vergessen
Um den Personenbezug verschlüsselter Daten zu hinterfragen, ist die erste Überlegung, welches Ziel eine Verschlüsselung hat: Verschlüsselung schützt die Vertraulichkeit von Daten, ob personenbezogen oder nicht.
Verschlüsselung schützt allerdings nicht die Verfügbarkeit der Daten. Sind z.B. personenbezogene Daten verschlüsselt, aber nicht in eine Datensicherung (Backup) eingebunden, führt das Löschen der verschlüsselten Daten zum Verlust der Daten.
Gibt es die personenbezogenen Daten nicht mehr in unverschlüsselter Form oder anderweitig als Datenkopie, gehen mit dem Löschen der verschlüsselten Daten auch personenbezogene Daten verloren. Und das, selbst wenn die verantwortliche Stelle noch den Schlüssel für die Entschlüsselung der betreffenden Daten besitzt.
Schlussfolgerung: Das Löschen verschlüsselter personenbezogener Daten kann zum Verlust personenbezogener Daten führen, wenn es kein Backup gibt.
Für die Verfügbarkeit personenbezogener Daten ist es also wichtig, die Daten zusätzlich zu sichern.
Gibt es die Daten nur verschlüsselt, müssen die verschlüsselten Daten gesichert werden, um die Verfügbarkeit personenbezogener Daten sicherzustellen, die die DSGVO fordert.
Verschlüsselung und der Stand der Technik
Auch ein weiterer Aspekt ist wichtig, um den Personenbezug verschlüsselter Daten und damit die Anwendbarkeit der DSGVO zu prüfen.
Der Erwägungsgrund 26 der DSGVO besagt:
„Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind.“
WICHTIG: Eine Verschlüsselung, die nicht dem Stand der Technik entspricht, erfüllt nicht nur die Vorgaben aus Artikel 32 DSGVO nicht. Sie sorgt auch dafür, dass ein Verantwortlicher nicht ohne Weiteres davon ausgehen kann, dass die so verschlüsselten Daten keine personenbezogenen Daten mehr sind.
Betrachtet man dies in Verbindung mit der Verschlüsselung personenbezogener Daten, lässt sich sagen: Ist es ohne hohen zeitlichen und finanziellen Aufwand möglich, eine Verschlüsselung zu brechen, dann muss man davon ausgehen, dass die betroffenen Personen identifizierbar sind und die (schwach) verschlüsselten Daten einen Personenbezug aufweisen.
Die verantwortliche Stelle muss also klären und beachten, was der Stand der Technik bei der Verschlüsselung ist.
Unterstützung bietet die BSI-Richtlinie TR-02102 „Kryptographische Verfahren: Empfehlungen und Schlüssellängen“.
Mit dieser Technischen Richtlinie legt das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Bewertung der Sicherheit ausgewählter kryptographischer Verfahren vor und ermöglicht damit eine längerfristige Orientierung, wenn die Wahl jeweils geeigneter Methoden ansteht.
Schutz durch Verschlüsselung ist eine Frage der Zeit
Technisch gesehen lässt sich sagen: Eine starke Verschlüsselung nach dem Stand der Technik kann es Unbefugten unmöglich machen, die Personen zu identifizieren. Dann haben die derart verschlüsselten Daten also keinen Personenbezug mehr.
Denken Sie allerdings daran, dass Verschlüsselung mit der Zeit schwach werden kann, also Angreifer Methoden entwickeln, mit denen sich eine Verschlüsselung, die früher als stark eingestuft wurde, brechen lässt.
Dann haben die verschlüsselten Daten wieder einen Personenbezug und erfordern weitere Maßnahmen, um sie angemessen zu schützen.
Bewahrt ein Unternehmen also verschlüsselte Daten für längere Zeit auf, empfiehlt es sich, sich nicht allein auf die Verschlüsselung zu verlassen.
Was unter „längere Zeit“ zu verstehen ist, verändert sich jedoch mit der schnellen und dynamischen technischen Entwicklung. Die „längere Zeit“ wird zu einer „immer kürzeren Zeit“.
Pseudonymisierung als Parallele zur Verschlüsselung
Ein weiterer Punkt: Da es mit dem richtigen Schlüssel möglich ist, personenbezogene Daten zu entschlüsseln, sind verschlüsselte Daten nicht als anonyme Daten zu verstehen, sondern sie sind eher mit pseudonymen Daten vergleichbar.
Der Personenbezug lässt sich also unter bestimmten Voraussetzungen wiederherstellen.
Der Schlüssel ist der Schlüssel …
Ob verschlüsselte Daten wirklich geschützt sind oder nicht, kommt also zum einen auf das gewählte Verschlüsselungsverfahren und den Stand der Technik an.
Zum anderen muss auch der Schlüssel zur Entschlüsselung schützt sein. Andernfalls lässt sich der Personenbezug auch bei einer sehr starken Verschlüsselung problemlos wiederherstellen.
Die Bedeutung des Schlüssels für den Datenschutz unterstreicht, dass eine verantwortliche Stelle immer die Hoheit über diesen Schlüssel wahren muss, auch und gerade bei Cloud Computing.
Man kann also bei einer Verschlüsselung, die ein (Cloud-)Dienstleister vornimmt, sicherlich nicht davon ausgehen, auf alle weiteren Datenschutz-Maßnahmen verzichten zu können.
Hier sei an eine (ältere) Aussage der deutschen Aufsichtsbehörden zum Cloud Computing erinnert: „Der Personenbezug von Daten entfällt jedoch regelmäßig nicht durch die Verschlüsselung.“ (Orientierungshilfe Cloud Computing)
Schließlich sollten Verantwortliche, wie zuvor erwähnt, nicht vergessen, dass Verschlüsselung keine Maßnahmen ersetzt, die die Verfügbarkeit personenbezogener Daten gewährleisten.
Nicht in Sicherheit wiegen!
Bis zu einer entsprechenden Aussage des Europäischen Datenschutzausschusses (EDPB) empfiehlt es sich, nicht einfach davon auszugehen, dass verschlüsselte Daten keinen Personenbezug mehr haben.
Weisen Sie die Verantwortlichen darauf hin, dass sie den Stand der Technik, den Schutz gegen unerlaubte Entschlüsselung und weitere Schutzmaßnahmen – etwa für die Verfügbarkeit – berücksichtigen müssen.