Was ist die DSGVO?
Die europäische Datenschutzgrundverordnung (DSGVO) ist eine umfassende Regelung. Ziel ist die Harmonisierung und Durchsetzung hocher Datenschutzanforderungen für alle EU-Bürger und über alle EU-Länder hinweg. Anders als bisherige Regelungen, die nur auf nationaler Ebene gültig waren, ist die DSGVO bindend und gültig für die gesamte EU. Die DSGVO fordert von allen Unternehmen und Organisationen sinnvolle Maßnahmen, um personenbezogene Daten von Konsumenten und deren Privatsphäre vor Datenpannen und Missbrauch zu schützen.
Wann tritt sie in Kraft?
Die DSGVO wurde am 24. Mai 2016 beschlossen und tritt am 25. Mai 2018 in allen EU-Mitgliedstaaten in Kraft. Organisationen haben weniger als ein Jahr, um sich darauf vorzubereiten.
Wen betrifft die DSGVO?
Die DSGVO überspannt ein riesiges Gebiet. Sie gilt nicht nur für alle Unternehmen mit Niederlassungen in der EU, sondern auch für Nicht-EU-Organisationen, die entweder a) kostenpflichtige oder kostenfreie Dienstleistungen anbieten und dazu Daten von Personen verarbeiten, die sich in der EU aufhalten oder b) Verhalten dieser Personen in der EU beobachten.
Was sind personenbezogene Daten?
Personenbezogene Daten sind sämtliche Informationen, die über identifizierte oder identifizierbare natürliche Personen (auch "betroffene Person") anfallen. Darunter Name, Identifikationsnummern, Standortdaten, Onlinekennungen oder Hinweise auf die spezifische physische, physiologische, genetische, seelische, ökonomische, kulturelle oder soziale Identität der Personen. Organisationen müssen Maßnahmen treffen, um die Menge an personenbezogenen Daten auf das Notwendige zu minimieren und sicherstellen, diese Daten nicht länger als notwendig zu speichern.
Was bedeutet die DSGVO für Unternehmen, die personenbezogene Daten mithilfe von cloudbasierten Diensten verwalten, verarbeiten oder teilen?
Im Fokus der DSGVO steht der durchgängige Schutz von Daten zu jedem Zeitpunkt der Datenverarbeitung. Deshalb identifiziert die DSGVO Pflichten für zwei verschiedene Instanzen: Datenverantwortliche ('Data Controller') und Datenverarbeiter ('Data Processor'). Datenverantwortliche sind die Instanz, die Zweck, Bedingung und Mittel der Verarbeitung personenbezogener Daten bestimmt. Das sind etwa Bildungs- und Forschungseinrichtungen, öffentliche Instanzen, Gesundheitsanbieter und jedes andere Unternehmen, das personenbezogene Daten von Mitarbeitern und/oder Kunden verwaltet. Datenverarbeiter dagegen sind diejenige Instanz, die Daten im Auftrag der Datenverantwortlichen verarbeitet. Das kann zum Beispiel der Cloudanbieter sein, über den das Kundenbeziehungsmanagement (CRM) verarbeitet wird.
Sind Datenverantwortliche verantwortlich für die Daten, die bei den Datenverarbeitern liegen?
Ja, Datenverantwortliche sind auch dann verantwortlich für den Schutz persönlicher Daten, wenn sie Daten über Drittanbieter verarbeiten lassen. Deshalb sollten nur Drittanbieter gewählt werden, die höchsten Schutz bieten. Mit der DSGVO muss jede Datenverarbeitung nun europaweit eine rechtliche Grundlage wie das explizite Einverständnis der Betroffenen haben. Datenverantwortliche müssen Informationen bei der Weiterverarbeitung durch dritte Datenverarbeiter so schützen, dass sie mit der ursprünglichen Rechtsgrundlage der Verarbeitung kompatibel ist. Dies ist mit Sicherheitsmaßnahmen wie Verschlüsselung leichter zu erreichen.
Welche Sicherheitsmaßnahmen werden in der DSGVO empfohlen?
Die DSGVO besagt, dass Datenverantwortliche und -verarbeiter angemessene technische und organisatorische Maßnahmen ergreifen müssen, um dem Risiko gerechte Sicherheit gewährleisten zu können - darunter etwa die Pseudonymisierung und Verschlüsselung personenbezogener Daten. Außerdem verweist die DSGVO auf das Prinzip des Datenschutzes 'by Design', was bedeutet, dass Organisationen Datenschutzprozesse und Produkte entwickeln müssen, bei denen vom ersten Entwurf an Privatsphäre mitgedacht ist. Datenschutz 'by Default' stellt zudem sicher, dass nur die wenigen Daten, die für einen speziellen Zweck verarbeitet werden müssen auch verarbeitet werden.
Wie schützt Pseudonymiserung Daten?
Pseudonymisierung ist ein neues Konzept des Datenschutzes, das in der DSGVO vorgeschlagen wurde. Es ist eine Technik zur Verarbeitung personenbezogener Daten, bei der die Daten ohne zusätzliche Informationen nicht auf eine bestimmte Person zurückgeführt werden können. Diese Zusatzinformationen müssen separat gespeichert werden und technisch sowie organisatorisch vor ungewollter Zusammenführung geschützt werden. Pseudonymisierte Daten reduzieren in Verbindung mit anderen Maßnahmen wie Verschlüsselung die Wahrscheinlichkeit der Identifizierung von Personen im Falle einer Datenpanne oder eines Angriffs. Pseudonymisierte Daten gelten weiterhin als personenbezogene Daten, trotzdem wird die Umsetzung dieser Maßnahme begrüßt, denn sie kann erfolgreich zur Umsetzung von Datenschutz "by Default" und "by Design" und damit den Verpflichtungen der DSGVO beitragen.
Was ist der Unterschied zwischen verschlüsselten und anonymen Daten?
Während Verschlüsselung als eine "geeignete technische und organisatorische Maßnahme" zum Schutz der Daten Gemäß Artikel 32 DSGVO gilt, sind anonyme Daten sämtliche Daten, die nicht mit einer identifizierten oder identifizierbaren natürlichen Person verbunden sind sowie personenbezogene Daten, die so anonymisiert wurden, dass der Betroffene nicht mehr identifizierbar ist. Mit anderen Worten: Verschlüsselung schützt personenbezogene Daten, Anonymisierung bedeutet die permanente Entfernung von Indikatoren, die eine Identifizierung möglich machen. Die DSGVO betrifft verschlüsselte Daten, anonymisierte Daten sind dagegen nicht mehr Gegenstand der Regelung, da sie nicht personenbezogen sind.
Sind end-to-end-verschlüsselte Daten weiterhin personenbezogene Daten?
End-to-end-verschlüsselte Dokumente der Datenverantwortlichen, etwa Gehaltslisten gespeichert in Tresorit, können personenbezogene Daten enthalten. Da nur der Datenverantwortliche den Schlüssel hat, um Dateien zu entschlüsseln, kann er die Person identifizieren und die Daten lesen, die zu ihr gehören. Allerdings enthält die Datei aus Perspektive von end-to-end-verschlüsselnden Datenverarbeitern, insbesondere Tresorit, keine personenbezogenen Daten. Tresorit als Service-Anbieter hat keine Schlüssel zur Datei und ist damit nicht in der Lage, die Datei zu lesen und Personen anhand der enthaltenen Daten zu identifizieren. Deshalb kann die Nutzung von Diensten mit End-to-End-Verschlüsselung nicht nur zur Sicherheit der Datenverarbeitung durch Datenverantwortliche beitragen, sondern auch für die Datenverarbeiter, die im Auftrag der Datenverantwortlichen handeln. Zum Beispiel kann ein besonders starker Verschlüsselungsalgorithmus dazu beitragen, dass Datenverantwortliche nach Artikel 33 und 34 DSGVO von der Pflicht befreit werden, einen Angriff auf den verschlüsselnden Datenverarbeiter an die Behörden und betroffenen Personen melden zu müssen.
Wie hilft Verschlüsselung bei Datenschutz und Compliance?
Verschlüsselung wird in der DSGVO als Beispiel für "geeignete technische und organisatorische Maßnahmen" angeführt und gilt den Gesetzgebern als geeignete Garantie zum Schutz von Daten. Die DSGVO besagt, dass die Umsetzung von Verschlüsselung durch den Datenverantwortlichen im Falle einer Datenpanne dafür sorgt, dass personenbezogene Daten höchstwahrscheinlich unbrauchbar für nicht-autorisierte Zugriffe bleibt. Deshalb gilt das Risiko für Rechte und Freiheiten der betroffenen Personen im Falle eines solchen Datenangriffs als gering. In Konsequenz ist es weniger wahrscheinlich, dass der Datenverantwortliche einen solchen Vorfall den Betroffenen nach Artikel 34 DSGVO kommunizieren muss. Im Großen und Ganzen reduziert Verschlüsselung das Risiko der Datenverarbeitung in der Cloud, da es mit angemessenem Aufwand die Möglichkeit einer Re-Identifizierung personenbezogener Daten im Falle eines Datendiebstahls oder -verlusts ausreichend ausschließt. Je stärker der Verschlüsselungsalgorithmus, desto kleiner kann das Haftungsrisiko der Datenverantwortlichen sein.
Unterscheidet die DSGVO zwischen verschiedenen Verschlüsselungsmethoden?
Die DSGVO verweist an mehreren Stellen auf Verschlüsselung, macht allerdings keine genauen Angaben zu Algorithmen (z.B. AES 256bit) oder bevorzugter Art der Implementierung (z.B. At Rest, Übertragung oder Ende-zu-Ende). Während dies nicht genau bestimmt wurde, macht die Art, wie Verschlüsselungscodes gehandhabt werden, einen gravierenden Unterschied, inwiefern im Ernstfall Re-Identifizierung, also Entschlüsselung, personenbezogener Daten mit realistischem Aufwand machbar wäre. Bei In-Transit-Verschlüsselung und At-Rest-Verschlüsselung haben die datenverarbeitenden Anbieter theoretisch Zugriff auf die Verschlüsselungscodes, während bei End-to-End-Verschlüsselung nur der Nutzer, also Datenverantwortliche, von seinem Gerät aus Zugang zu den Schlüsseln hat. Deshalb ist im Falle eines Datendiebstahls auf Seiten des Datenverarbeiters die Entschlüsselung der Daten mit realistischen Ressourcen unmöglich. Darum gilt End-to-End-Verschlüsselung mit client-seitigem Schlüsselmanagement als der stärkere Schutz für personenbezogene Daten.
Wo liegen die Vorteile end-to-end-verschlüsselnder Clouddienste?
Wenn ein Datenverantwortlicher Anbieter mit End-to-End-Verschlüsselung als Datenverarbeiter nutzt, verlassen die personenbezogenen Daten praktisch trotzdem nicht das Unternehmen, da sie für andere nicht lesbar sind. Dadurch hat End-to-End-Verschlüsselung substanzielle Vorteile, die Datenverantwortlichen helfen, Daten besser zu schützen, den Compliance-Prozess zu vereinfachen und die Kosten zu verringern. Der Datenverantwortliche befolgt damit Artikel 32 der DSGVO. Zusätzlich kann ein starker Verschlüsselungsmechanismus im Falle eines Datendiebstahls dazu beitragen, das Risiko für Rechte und Freiheiten natürlicher Personen zu minimieren. Für den Datenverantwortlichen kann das bedeuten, dass er von der Meldepflicht an Behörden und der Benachrichtigung der betroffenen Personen nach Artikel 33 und 34 DSGVO befreit sein könnte. Außerdem besteht die Wahrscheinlichkeit, dass der datenverarbeitende Dienst nach Artikel 28 DSGVO nicht relevant wird, sollte der Datenverantwortliche auditiert werden. Das erleichert Compliance und beschleunigt die Auditierung.
Was ist 'Datenminimierung'?
Personenbezogene Daten müssen für den jeweiligen Zweck adäquat, relevant und auf das Nötige beschränkt verarbeitet werden. Datenminimierung bedeutet, Organisationen sollten nur diejenigen personenbezogenen Daten verarbeiten, die für das Ziel der Verarbeitung benötigt werden. Praktisch heißt das, Organisationen sind dazu angehalten, das Sammeln personenbezogener Daten auf das absolut Notwendige zu beschränken sowie Zugangsberechtigungen und -kontrollen einzuführen, die Zugriff auf Informationen nur denjenigen Personen in der Organisation ermöglichen, die ihn benötigen.
Was kommt auf Unternehmen zu, die sich nicht an die DSGVO halten?
Datenverarbeiter und Datenverantwortliche stehen vor schweren Strafen, wenn sie die europäische Regelung nicht einhalten. Je nach verletzter Regelung der DSGVO, variieren die Bußgelder mit einem Maximum von bis zu 20 Millionen Euro oder 4% des globalen Umsatzes des Datenverantwortlichen - abhängig davon, welcher Wert höher ist. Außerdem können Datenverantwortliche und Datenverarbeiter gemeinsam für entstandene Schäden haftbar gemacht warden.
Muss der Datenverantwortliche in jedem Fall eine Vereinbarung zur Datenverarbeitung mit dem Datenverarbeiter zeichnen?
Datenverantwortliche sollten eine Vereinbarung mit Tresorit treffen, wenn Tresorit als Datenverarbeiter fungiert und es für personenbezogene Daten genutzt werden soll. Solch eine Vereinbarung sollte alle Punkte nach Artikel 28 DSGVO abdecken, etwa die Art der zu verarbeitenden personenbezogenen Daten, die Dauer der Verarbeitung, die Natur und der Zweck der Verarbeitung, die Kategorie der beroffenen 'Datensubjekte' sowie die Rechte und Pflichten der Datenverantwortlichen. Die Nutzungsbedingungen eines Serviceanbieters können gegebenenfalls all dies abdecken.
Welche Auswirkungen hat die DSGVO auf den Transfer personenbezogener Daten in Nicht-EU-Länder? Macht es einen Unterschied, dass Tresorit ein schweizerisches Unternehmen ist, da die Schweiz kein Mitglied der EU ist?
Tresorit fällt unter schweizerische Rechtsprechung. Der Schweiz wurde ein Adäquatheitszustand für Datenschutz von der Europäischen Kommission anerkannt, um die freie Übertragung von personenbezogenen Daten von der EU in die Schweiz und umgekehrt zu ermöglichen. Die Schweizer Datenschutzbehörden arbeiten nun daran, die schweizerischen Datenschutzrichtlinien zu aktualisieren, um diese Adäquatheit im Zuge der DSGVO aufrechtzuerhalten.
Personenbezogene und in Tresorit gespeicherte Daten können vom Standort des Datenverantwortlichen nach in Mitgliedsländer der Europäischen Union oder in Länder außerhalb der Europäischen Union übertragen werden.
Genau genommen werden in Tresorit hochgeladene Dateien für Europäische Kunden in Microscoft-Azure-Servern gespeichert, die sich innerhalb der Europäischen Union befinden.
Tresorit nutzt Dienstleistungen von Drittanbietern, deren Standorte sich außerhalb der Europäischen Union befinden, in Bereichen wie Kundenabrechnungen, Support etc. Alle von Tresorit in Anspruch genommenen Drittanbieter: a) haben ihren Standort in einem Land, das eine adäquate Entscheidung der Europäischen Kommission erhalten hat; b) sind gemäß des EU-US-Privacy-Shields zertifiziert; oder c) haben die standardmäßigen Vertragsklauseln der Europäischen Union unterzeichnet.
In allen oben aufgeführten Fallen werden Transfers von personenbezogenen Daten nur dann von Tresorit ausgeführt, wenn sie mit den in der EU-Regelung 2016/679 aufgeführten Richtlinien konform sind (Datenschutz-Grundverordnung, “DSGVO”).
Gemäß Artikel 45 bis 47 der DSGVO sind Transfers personenbezogener Daten an Drittländer oder an eine international Organisation unter bestimmten Voraussetzungen gestattet, und zwar wenn:
(a) die Adäquadheit des Drittlandes in Bezug auf Datenschutz von der Europäischen Kommission anerkannt wird;
(b) adäquate vertragliche Garantien, wie z.B.: - standardmäßige und von der Europäischen Kommission übernommene Vertragsklauseln vorliegen;
- Binding Corporate Rules (BCRs), genehmigt im Einklang mit des in Artikel 47 aufgeführten Vorgangs;
- Compliance mit Verhaltensrichtlinien (noch nicht verfügbar);
- Einwilligung zu Zertifizierungssystemen gemäß Artikel 46 DSGVO (noch nicht verfügbar);
- Ad-hoc-Vertragsklauseln, die von einer Aufsichtsbehörde autorisiert wurden.
- Administrative, von öffentlichen Behörden erlassene Vereinbarungen, die von einer Aufsichtsbehörde autorisiert wurden.
Sie haben noch Fragen? Schreiben Sie uns