Verschlüsselung personenbezogener Daten

Infolge der mittlerweile berühmten „Raucherpause” waren aus einem Klinikum in Baden-Baden über 200 000 Datensätze von Patienten verschwunden, so dass das Klinikum gemäß § 42a BDSG entsprechende Anzeigen in zwei überregionalen Tageszeitungen („Die Welt“, „Frankfurter Rundschau“) schalten musste (vgl. http://kurzlink.de/raucherpause). Es handelte sich um drei Datensicherungskassetten, die ein Mitarbeiter vom Serverraum zum Tresor bringen sollte, und die er nach einer Zigarettenpause schlichtweg vergessen hatte. Hier stellt sich nun die Frage, was wäre gewesen, wenn diese Daten verschlüsselt gespeichert worden wären? In der Tat ist es so, dass es sich nach dem jetzigen BDSG für den „Empfänger“, wer auch immer dies sein mag,  nicht um personen­bezogene Daten gehandelt hätte, da dieser keine Möglichkeit hätte, einen Personenbezug herzustellen (subjektive Betrachtungsweise des BDSG, vgl. Art.-29-Gruppe, Arbeitspapier 136). Damit wäre § 42a BDSG nicht anwendbar, man hätte sich viele Kosten erspart! Dies ist auch dann der Fall, falls z. B. ein USB-Stick oder ein Laptop mit verschlüsselten personen­bezogenen Daten verlorengeht: Hier besteht zunächst keine Anzeigepflicht nach § 42a BDSG. Schaut man allerdings auf das Europarecht (z. B. Art. 4 (1) des Entwurfs der Europäischen Daten­schutz-Grund­verord­nung), sieht es anders aus: Hier sind alle Mittel des Verant­wor­tlichen oder eines Dritten heranzuziehen; damit wären dann die Daten wieder zu entschlüsseln und also personenbezogen.

Interessant ist in diesem Zusammenhang die Frage, ob es bei verschlüsselten personenbezogenen Daten zum sicheren Löschen dieser Daten ausreichend ist, den Schlüssel sicher zu löschen, da dann niemand mehr die Möglichkeit hätte,  die Daten zu entschlüsseln und einen Personenbezug herzustellen. Das wäre auch eine bequeme Lösung, falls die Daten an verschiedenen Stellen redundant aufbewahrt werden: Mit dem (verhältnismäßig einfachen) Löschen des Schlüssels wären alle Daten gelöscht! Einen Haken gibt es hierbei aber doch: es ist nämlich nicht klar, ob nicht etwa schlaue Mathematiker in naher oder ferner Zukunft einen Algorithmus zum „Knacken“ dieser Verschlüsselung finden, ganz ausge­schlossen ist das jedenfalls nicht!

Insgesamt ist es aber zu empfehlen, personenbezogene Daten generell zu verschlüsseln (häufig ist es ohnehin vorgeschrieben, z. B. bei E-Mails), soweit das möglich ist, jedenfalls ist eine Verlangsamung aufgrund der erhöhten Rechenleistung heute kaum mehr ein Argument. Allerdings lassen sich verschlüsselte Daten (heute noch) nicht verarbeiten, dazu müssen sie jeweils wieder entschlüsselt werden, was gerade beim Cloud-Computing ein erheblicher Nachteil ist. Werden die Daten aber nur zum Speichern und/oder Verteilen in die Cloud geschickt (z. B. mit „Dropbox“), sollten sie in jedem Fall verschlüsselt werden!

Internet-Passwörter, Umfrage des BSI

Auf eine Umfrage zu Internet-Passwörtern weist das BSI Bundesamt für Sicherheit in der Informationstechnik von Januar 2013 hin. Laut dieser Umfrage, in der ca. 1.000 Befragte ihre Gewohnheiten äußerten, haben nur ca. 40 % der Befragten für jede Internet-Anwendung ein eigenes Passwort. Hinsichtlich der Passwortqualität äußerten die 70 % der Befragen, ein sicheres Passwort (Kombination aus Sonderzeichen, Groß- und Kleinbuchstaben, Zahlen, Länge mindestens 8 Zeichen, bei WLAN-Verschlüsselung mindestens 20 Zeichen) zu verwenden.

Die Pressemitteilung des BSI kann nachgelesen werden unter:

https://www.bsi.bund.de/ContentBSI/Presse/Pressemitteilungen/Presse2013/Internetnutzer_zu_bequem_beim_Passwort_29012013.html

Der TüV Nord seinerseits rät dazu, das Passwort möglich lang zu wählen. 10 Zeichen, bei denen der oben genannte Zeichenvorrat ausgenutzt werden sollte, seien sicherer als Passwörter, die nur 8 Zeichen lang wären.

Tätigkeitsbericht 2013 des ULD Schleswig-Holstein

Dr. Thilo Weichert, Landesdatenschutzbeauftragter von Schleswig-Holstein, hat den
Tätigkeitsbericht 2013 des Unabhängigen Landeszentrums für Datenschutz vorgestellt.

Dies teilt das ULD in seiner Pressemitteilung vom 19.03.2013 mit. Anlässlich der Vorstellung des Tätigkeitsberichtes warnte Thilo Weichert, dass Funktechnik bei EC- und Kreditkarten nicht datenschutzkonform eingesetzt würde.

Dieses und andere Themen können im Tätigkeitsbericht nachgelesen werden.

Link:
https://www.datenschutzzentrum.de/material/tb/tb34/uld-34-taetigkeitsbericht-2013.pdf

85. Tagung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 13./14. März 2013

Auf ihrer Tagung vom 13. und 14. März 2013 in Bremerhaven haben sich die Datenschutzbeauftragten des Bundes und der Länder für eine Stärkung des Datenschutzes in Europa eingesetzt.
Die Konferenz wendet sich gegen alle solchen Änderungsvorschläge zum vorliegenden Entwurf der Datenschutz-Grundverordnung, die – sollten sie umgesetzt werden – das Grundrecht auf Datenschutz schwächen könnten.

Im Grundsatz fordern die Datenschutzbeauftragten des Bundes und der Länder:

  • Personenbezogene Daten sind zu schützen, darunter fallen auch pseudonyme Daten oder Identifizierungsmermale wie IP-Adressen
  • Keine grundrechtsfreien Räume, was bedeutet, dass es abzulehnen sei, bestimmte Datenkategorien und bestimmte Berufs- und Unternehmensgruppe aus den Regelungen herauszunehmen
  • Pflicht der ausdrücklichen Einwilligung in die Verarbeitung von personenbezogenen Daten, wobei die Einwilligung auf der eindeutigen, freiwilligen und informierten Willensbekundung des Betroffenen beruhen müsse
  • Keine Veränderung der Zweckbestimmung zur Verwendung von personenbezogenen Daten durch Datenverarbeiter
  • Beschränkung der Profilbildung, Begrenzung der Möglichkeit der Zusammenführung und Auswertung von Personendaten
  • Stärkung der Eigenverantwortung von Datenverarbeitern durch betriebliche Datenschutzbeauftragte
  • Datenverarbeiter dürfen sich die zuständige Aufsichtsbehörde nicht aussuchen, auch nicht durch die Festlegung ihrer Hauptniederlassung
  • Unabhängigkeit der Aufsichtsbehörden gegenüber der Kommission
  • Grundrechtsschutz benötigt effektive Kontrolle und Sanktionsmöglichkeiten
  • Hoher Datenschutzstandard für ganz Europa im Sinne, dass neben der Datenschutz-Grundverordnung noch Gestaltungsspielraum für weitergehenden Datenschutz ermöglicht werden soll.

Auf der Website des Bundesbeauftragten für den Datenschutz finden sich nähere Einzelheiten und Informationen zu diesem Thema.