parallax background

DSGVO Compliance & Verschlüsselung

E-Mail via TLS versenden.
E-Mail über TLS ist sicher! Alles Käse, oder was?
5. Februar 2020
Hund,welcher in eine Decke gewickelt ist und müde aussieht.
Tag des Nickerchens am Arbeitsplatz
10. März 2020
 
Zur Sicherstellung Ihrer Compliance mit der DSGVO sollten Sie nicht nur über Möglichkeiten zur Datenverschlüsselung verfügen, sondern auch belegen können, dass Sie diese Möglichkeiten auch wirklich nutzen. Warum und wieso finden Sie in diesem Blog.

Die europäische Datenschutzgrundverordnung schafft je länger je mehr ein sensibilisiertes Umfeld in Bezug auf Datenschutzfragen. Die DSGVO hat es geschafft, dass Unternehmen welche personenbezogenen Daten verarbeiten sich zunehmend mehr Gedanken zum Umgang und zur Behandlung derselben machen. Die Verordnung definiert jedoch nur was erreicht werden soll und nicht konkret wie. Sie verfolgt dabei in Art 5 die Datenschutzprinzipien:

  • Rechtmässigkeit, Verarbeitung nach Treu und Glauben sowie Transparenz
  • Zweckgebundenheit der Verarbeitung
  • Datenminimierung und Speicherbegrenzung
  • Sachliche Richtigkeit der Verarbeitung
  • Schutz der Daten und Sicherstellung der Integrität und Vertraulichkeit derselben

Im Rahmen dieses Blogs wollen wir uns für einmal auf den letzten Punkt dieser Datenschutzprinzipien konzentrieren. Artikel 32 der DSGVO stellt an die Sicherheit der Verarbeitung von personenbezogenen Daten relativ konkrete Forderungen. In dem Artikel steht, dass unter Berücksichtigung des Stands der Technik, der Implementierungskosten,…, der Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen, durch die Verarbeitenden geeignete technische und organisatorische Massnahmen zu treffen sind um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Der Artikel schliesst unter anderem explizit die Verschlüsselung von personenbezogenen Daten mit ein.

Bedeutung von DSGVO Art. 32 für Unternehmen

Sollten Sie im Rahmen einer Risikoanalyse feststellen, dass ein nicht zu vernachlässigendes Risiko für die von Ihrer Verarbeitung betroffenen Personen besteht, so sollten Sie diese Daten nebst allgemeinen Massnahmen zur Informationssicherheit auch pseudonymisieren oder verschlüsseln. Lassen Sie dabei aber nicht ausser Acht, dass von der DSGVO auch gefordert wird, dass der Nachweis des tatsächlichen Schutzes erbracht werden kann (Art 5(2) "Rechenschaftspflicht"). Zur Sicherstellung Ihrer Compliance mit der DSGVO sollten Sie also nicht nur über die entsprechenden Möglichkeiten zur Datenverschlüsselung verfügen, sondern auch belegen können, dass Sie diese Möglichkeiten auch wirklich nutzen.

Bei internen Prozessen zur Datenverarbeitung und den dazugehörigen IT-Systemen stellt die Erbringung der entsprechenden Nachweise meist keine allzu grossen Schwierigkeiten dar. Da Sie Zugriff auf die Systeme haben und die Prozesse meist vor Ort bei Ihnen betrieben werden, können Sie belegen wie diese konfiguriert sind und ob somit die entsprechenden Schutzmechanismen (wie z.B. eine Festplattenverschlüsselung) genutzt werden.

Verschlüsselung nachweisen in der externen Kommunikation

Wie sieht es denn bei Ihren E-Mails, dem heute wichtigsten Mittel zur geschäftlichen Kommunikation aus? Hier ist die Verschlüsselung nicht mehr ganz so einfach, da dies meist im direkten Zusammenhang mit der Benutzerfreundlichkeit steht. Wir kennen es alle: was nicht einfach ist oder automatisch abläuft, das wird nur gelegentlich oder gar nicht verwendet. Auch hier besteht die Rechenschaftspflicht. Es muss nachweisbar sein, dass alle E-Mails mit personenbezogenen Daten vom Sender bis und mit dem Empfänger verschlüsselt versendet wurden. Die ideale Lösung dafür Frama RMail. Wie Sie diesen Nachweis mit Frama RMail erbringen können lesen Sie in unserem Whitepaper.

 
Mark Schilt
Mark Schilt
Head of Management Systems

Es können keine Kommentare abgegeben werden.