1. Home
  2. News
  3. Verschlüsselung personenbezogener Daten
  • Datenschutz

Verschlüsselung personenbezogener Daten

Infolge der mittlerweile berühmten „Raucherpause” waren aus einem Klinikum in Baden-Baden über 200 000 Datensätze von Patienten verschwunden, so dass das Klinikum gemäß § 42a BDSG entsprechende Anzeigen in zwei überregionalen Tageszeitungen („Die Welt“, „Frankfurter Rundschau“) schalten musste (vgl. http://kurzlink.de/raucherpause). Es handelte sich um drei Datensicherungskassetten, die ein Mitarbeiter vom Serverraum zum Tresor bringen sollte, und die er nach einer Zigarettenpause schlichtweg vergessen hatte. Hier stellt sich nun die Frage, was wäre gewesen, wenn diese Daten verschlüsselt gespeichert worden wären? In der Tat ist es so, dass es sich nach dem jetzigen BDSG für den „Empfänger“, wer auch immer dies sein mag,  nicht um personen­bezogene Daten gehandelt hätte, da dieser keine Möglichkeit hätte, einen Personenbezug herzustellen (subjektive Betrachtungsweise des BDSG, vgl. Art.-29-Gruppe, Arbeitspapier 136). Damit wäre § 42a BDSG nicht anwendbar, man hätte sich viele Kosten erspart! Dies ist auch dann der Fall, falls z. B. ein USB-Stick oder ein Laptop mit verschlüsselten personen­bezogenen Daten verlorengeht: Hier besteht zunächst keine Anzeigepflicht nach § 42a BDSG. Schaut man allerdings auf das Europarecht (z. B. Art. 4 (1) des Entwurfs der Europäischen Daten­schutz-Grund­verord­nung), sieht es anders aus: Hier sind alle Mittel des Verant­wor­tlichen oder eines Dritten heranzuziehen; damit wären dann die Daten wieder zu entschlüsseln und also personenbezogen.

Interessant ist in diesem Zusammenhang die Frage, ob es bei verschlüsselten personenbezogenen Daten zum sicheren Löschen dieser Daten ausreichend ist, den Schlüssel sicher zu löschen, da dann niemand mehr die Möglichkeit hätte,  die Daten zu entschlüsseln und einen Personenbezug herzustellen. Das wäre auch eine bequeme Lösung, falls die Daten an verschiedenen Stellen redundant aufbewahrt werden: Mit dem (verhältnismäßig einfachen) Löschen des Schlüssels wären alle Daten gelöscht! Einen Haken gibt es hierbei aber doch: es ist nämlich nicht klar, ob nicht etwa schlaue Mathematiker in naher oder ferner Zukunft einen Algorithmus zum „Knacken“ dieser Verschlüsselung finden, ganz ausge­schlossen ist das jedenfalls nicht!

Insgesamt ist es aber zu empfehlen, personenbezogene Daten generell zu verschlüsseln (häufig ist es ohnehin vorgeschrieben, z. B. bei E-Mails), soweit das möglich ist, jedenfalls ist eine Verlangsamung aufgrund der erhöhten Rechenleistung heute kaum mehr ein Argument. Allerdings lassen sich verschlüsselte Daten (heute noch) nicht verarbeiten, dazu müssen sie jeweils wieder entschlüsselt werden, was gerade beim Cloud-Computing ein erheblicher Nachteil ist. Werden die Daten aber nur zum Speichern und/oder Verteilen in die Cloud geschickt (z. B. mit „Dropbox“), sollten sie in jedem Fall verschlüsselt werden!

 

Hinweis zu Cookies

Unsere Website verwendet Cookies. Einige davon sind technisch notwendig für die Funktionalität unserer Website und daher nicht zustimmungspflichtig. Darüber hinaus setzen wir Cookies, mit denen wir Statistiken über die Nutzung unserer Website führen. Hierzu werden anonymisierte Daten von Besuchern gesammelt und ausgewertet. Eine Weitergabe von Daten an Dritte findet ausdrücklich nicht statt.

Ihr Einverständnis in die Verwendung der Cookies können Sie jederzeit widerrufen. In unserer Datenschutzerklärung finden Sie weitere Informationen zu Cookies und Datenverarbeitung auf dieser Website. Beachten Sie auch unser Impressum.

Technisch notwendig

Diese Cookies sind für die einwandfreie Funktion der Website erforderlich und können daher nicht abgewählt werden. Sie zählen nicht zu den zustimmungspflichtigen Cookies nach der DSGVO.

Name Zweck Ablauf Typ Anbieter
CookieConsent Speichert Ihre Einwilligung zur Verwendung von Cookies. 1 Jahr HTML Website
fe_typo_user Dieser Cookie wird gesetzt, wenn Sie sich im Bereich myGINDAT anmelden. Session HTTP Website
PHPSESSID Kurzzeitiger Cookie, der von PHP zum zwischenzeitlichen Speichern von Daten benötigt wird. Session HTTP Website
__cfduid Wir verwenden eine "Content Security Policy", um die Sicherheit unserer Website zu verbessern. Bei potenziellen Verstößen gegen diese Policy wird ein anonymer Bericht an den Webservice report-uri.com gesendet. Dieser Webservice lässt über seinen Anbieter Cloudflare diesen Cookie setzen, um vertrauenswürdigen Web-Traffic zu identifizieren. Der Cookie wird nur kurzzeitig im Falle einer Bericht-Übermittlung auf der aktuellen Webseite gesetzt. 30 Tage/ Session HTTP Cloudflare/ report-uri.com
Statistiken

Mit Hilfe dieser Statistik-Cookies prüfen wir, wie Besucher mit unserer Website interagieren. Die Informationen werden anonymisiert gesammelt.

Name Zweck Ablauf Typ Anbieter
_pk_id Wird verwendet, um ein paar Details über den Benutzer wie die eindeutige Besucher-ID zu speichern. 13 Monate HTML Matomo
_pk_ref Wird verwendet, um die Informationen der Herkunftswebsite des Benutzers zu speichern. 6 Monate HTML Matomo
_pk_ses Kurzzeitiger Cookie, um vorübergehende Daten des Besuchs zu speichern. 30 Minuten HTML Matomo
_pk_cvar Kurzzeitiger Cookie, um vorübergehende Daten des Besuchs zu speichern. 30 Minuten HTML Matomo
MATOMO_SESSID Kurzzeitiger Cookie, der bei Verwendung des Matomo Opt-Out gesetzt wird. Session HTTP Matomo
_pk_testcookie Kurzzeitiger Cookie der prüft, ob der Browser Cookies akzeptiert. Session HTML Matomo