Was heißt „Integrität“ im Zusammenhang mit dem Datenschutz?

Integrität: Die große Unbekannte unter den Schutzzielen im Datenschutz

Integrität gehört sowohl zu den Schutzzielen der IT-Sicherheit als auch zu den Grundsätzen für die Verarbeitung personenbezogener Daten in der Datenschutz-Grundverordnung (DSGVO). Trotzdem sind Schutzziele wie Vertraulichkeit und Verfügbarkeit weitaus stärker in der Diskussion und finden sich eher in den Datenschutz-Konzepten wieder.

Wer den Grundsatz zur Vertraulichkeit und Integrität in der DSGVO betrachtet, dem mag auf den ersten Blick nicht klar sein, was darin eigentlich mit Integrität zu tun hat. In Artikel 5 DSGVO heißt es: „Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).“

Die IT versteht unter der Forderung nach Integrität, dass Angreifer, aber etwa auch Beschäftigte Daten nicht ungewollt, unerlaubt und unerkannt verändern können. Daten müssen vor Manipulationen geschützt sein. Was aber hat das mit dem Datenschutz zu tun?

Integrität gehört zur sicheren Verarbeitung personenbezogener Daten

Die DSGVO nennt Integrität ein zweites Mal in den Forderungen zur Sicherheit der Verarbeitung personenbezogener Daten: Zu den technisch-organisatorischen Maßnahmen gehört demnach die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten auf Dauer sicherzustellen (Art. 32 Abs. 1 Buchst. b DSGVO).

Das lässt sich leicht nachvollziehen. Denn die Daten über eine Person müssen sachlich richtig sein. Manipulierte Daten aber können falsch sein. Veränderungen an den Daten können zudem dazu führen, dass die Daten nicht mehr nutzbar und verfügbar sind.

Auch wenn dies gut nachvollziehbar ist, richten die meisten Datenschutzkonzepte den Blick auf die Vertraulichkeit, also beispielsweise auf die Verschlüsselung und auf die Verfügbarkeit, etwa über Backups.

Maßnahmen für die Kontrolle und den Schutz der Integrität personenbezogener Daten sind weniger verbreitet. Sie dürfen aber nicht fehlen, da Verantwortliche die Sicherheit der Verarbeitung auch in diesem Punkt gewährleisten müssen.

Empfehlungen und Checkliste des BayLDA zur Integrität

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) nennt in seiner Checkliste zur „Good Practice bei technischen und organisatorischen Maßnahmen nach Artikel 32 DSGVO“ Maßnahmen, um den Grundsatz der Integrität personenbezogener Daten umzusetzen.

So fordert die Datenschutz-Aufsichtsbehörde: Verantwortliche müssen sowohl den Datenaustausch mit anderen Stellen über elektronische Kommunikationsnetze als auch den physikalischen Transport von mobilen Datenträgern und Dokumenten so absichern, dass die Vertraulichkeit und Integrität der personenbezogenen Daten nicht beeinträchtigt wird.

Als Maßnahme dazu empfiehlt sie, die Integrität von personenbezogenen Daten durch digitale Signaturen sicherzustellen, zumindest bei hohem Risiko. Außerdem lässt sich generell über kryptographische Verfahren nach Stand der Technik die Vertraulichkeit, Integrität und Authentizität von Daten, Systemen und Entitäten gewährleisten.

Weiter empfiehlt das BayLDA, mit Hash-Verfahren die Integrität von Daten, Software und IT-Systemen sicherzustellen. Stand der Technik sind u. a SHA-256, SHA-512, SHA-3, bcrypt und Blowfish.