1. Home
  2. News
  3. Verschlüsselung personenbezogener Daten
  • Datenschutz

Verschlüsselung personenbezogener Daten

Infolge der mittlerweile berühmten „Raucherpause” waren aus einem Klinikum in Baden-Baden über 200 000 Datensätze von Patienten verschwunden, so dass das Klinikum gemäß § 42a BDSG entsprechende Anzeigen in zwei überregionalen Tageszeitungen („Die Welt“, „Frankfurter Rundschau“) schalten musste (vgl. http://kurzlink.de/raucherpause). Es handelte sich um drei Datensicherungskassetten, die ein Mitarbeiter vom Serverraum zum Tresor bringen sollte, und die er nach einer Zigarettenpause schlichtweg vergessen hatte. Hier stellt sich nun die Frage, was wäre gewesen, wenn diese Daten verschlüsselt gespeichert worden wären? In der Tat ist es so, dass es sich nach dem jetzigen BDSG für den „Empfänger“, wer auch immer dies sein mag,  nicht um personen­bezogene Daten gehandelt hätte, da dieser keine Möglichkeit hätte, einen Personenbezug herzustellen (subjektive Betrachtungsweise des BDSG, vgl. Art.-29-Gruppe, Arbeitspapier 136). Damit wäre § 42a BDSG nicht anwendbar, man hätte sich viele Kosten erspart! Dies ist auch dann der Fall, falls z. B. ein USB-Stick oder ein Laptop mit verschlüsselten personen­bezogenen Daten verlorengeht: Hier besteht zunächst keine Anzeigepflicht nach § 42a BDSG. Schaut man allerdings auf das Europarecht (z. B. Art. 4 (1) des Entwurfs der Europäischen Daten­schutz-Grund­verord­nung), sieht es anders aus: Hier sind alle Mittel des Verant­wor­tlichen oder eines Dritten heranzuziehen; damit wären dann die Daten wieder zu entschlüsseln und also personenbezogen.

Interessant ist in diesem Zusammenhang die Frage, ob es bei verschlüsselten personenbezogenen Daten zum sicheren Löschen dieser Daten ausreichend ist, den Schlüssel sicher zu löschen, da dann niemand mehr die Möglichkeit hätte,  die Daten zu entschlüsseln und einen Personenbezug herzustellen. Das wäre auch eine bequeme Lösung, falls die Daten an verschiedenen Stellen redundant aufbewahrt werden: Mit dem (verhältnismäßig einfachen) Löschen des Schlüssels wären alle Daten gelöscht! Einen Haken gibt es hierbei aber doch: es ist nämlich nicht klar, ob nicht etwa schlaue Mathematiker in naher oder ferner Zukunft einen Algorithmus zum „Knacken“ dieser Verschlüsselung finden, ganz ausge­schlossen ist das jedenfalls nicht!

Insgesamt ist es aber zu empfehlen, personenbezogene Daten generell zu verschlüsseln (häufig ist es ohnehin vorgeschrieben, z. B. bei E-Mails), soweit das möglich ist, jedenfalls ist eine Verlangsamung aufgrund der erhöhten Rechenleistung heute kaum mehr ein Argument. Allerdings lassen sich verschlüsselte Daten (heute noch) nicht verarbeiten, dazu müssen sie jeweils wieder entschlüsselt werden, was gerade beim Cloud-Computing ein erheblicher Nachteil ist. Werden die Daten aber nur zum Speichern und/oder Verteilen in die Cloud geschickt (z. B. mit „Dropbox“), sollten sie in jedem Fall verschlüsselt werden!

 

About Cookies

This website uses cookies. Those have two functions: On the one hand they are providing basic functionality for this website. On the other hand they allow us to improve our content for you by saving and analyzing anonymized user data. You can redraw your consent to to using these cookies at any time. Find more information regarding cookies on our Data Protection Declaration and regarding us on the Imprint.
Mandatory

These cookies are needed for a smooth operation of our website.

Name Purpose Lifetime Type Provider
CookieConsent Saves your consent to using cookies. 1 year HTML Website
fe_typo_user Assigns your browser to a session on the server. session HTTP Website
PHPSESSID Temporary cookies which is required by PHP to temporarily store data. session HTTP Website
__cfduid missing translation: trackingobject.__cfduid.desc 30 missing translation: duration.days-session HTTP Cloudflare/ report-uri.com
Statistics

With the help of these statistics cookies we check how visitors interact with our website. The information is collected anonymously.

Name Purpose Lifetime Type Provider
_pk_id Used to store a few details about the user such as the unique visitor ID. 13 months HTML Matomo
_pk_ref Used to store the attribution information, the referrer initially used to visit the website. 6 months HTML Matomo
_pk_ses Short lived cookie used to temporarily store data for the visit. 30 minutes HTML Matomo
_pk_cvar Short lived cookie used to temporarily store data for the visit. 30 minutes HTML Matomo
MATOMO_SESSID Temporary cookies which is set when the Matomo Out-out is used. session HTTP Matomo
_pk_testcookie missing translation: trackingobject._pk_testcookie.desc session HTML Matomo