Pseudonymisierung DSGVO-konform umsetzen
Mehr als zwei Drittel der Unternehmen im deutschsprachigen Raum hinken den von der DSGVO vorgegebenen Datensicherheits- und -schutzzielen hinterher. Lesen Sie in Teil zwei unserer Mini-Serie, welche zwei Maßnahmen Sie auf jeden Fall jetzt umsetzen sollten.
Die Datenschutzgrundverordnung (DSGVO) gibt in Artikel 32 technisch-organisatorische Maßnahmen (TOMs) vor, mit denen die Sicherheit der Datenverarbeitung gewährleistet werden soll. Alle in der DSGVO beschriebenen TOMs sind nur mögliche Maßnahmen, um Datenschutz und Datensicherheit zu verbessern. Verpflichtend sind sie nicht. Es werden allerdings zwei konkrete Maßnahmen genannt, die sie umsetzen sollten: die Pseudonymisierung und Verschlüsselung von Daten. Was das genau bedeutet, erläutern wir im Folgenden.
Pseudonymisierung
Pseudonymisierung dient vor allem dazu, die Zuordnung von Daten und Personen zu erschweren (Art. 32 Abs. 1a, Art. 25 Abs. 1 DSGVO). Das bedeutet:
- Versehen Sie Daten beispielsweise mit einem nicht personenbezogenen Namen, einer Nummer oder ähnlichem – sofern Ihre Datenverarbeitung dies zulässt.
- Ein Pseudonym bestehend aus Anfangsbuchstabe des Nachnamens und dem vollständigen Vornamen ist nicht ausreichend, da es möglich wäre, diese Daten mit dem betreffenden Nutzer in Verbindung zu bringen.
- Stellen Sie sicher, dass die pseudonymisierten Daten ohne weitere Informationen keine Zuordnung zu betroffenen Personen zulassen.
- Bewahren Sie die das Pseudonym und die zur Identifizierung notwendigen Daten getrennt voneinander auf – räumlich und technisch
- Zum Beispiel in verschiedenen Aktenschränken in verschiedenen Räumen oder durch getrennte Datenbanken
- Auch weitere Ver- bzw. Bearbeiter der pseudonymisierten Daten müssen daran gehindert werden, ohne Weiteres auf die zur Identifizierung notwendigen Daten zuzugreifen zu können.
Die Krux dabei: Viele Datenverarbeitungsvorgänge von Unternehmen sind pseudonymisiert gar nicht möglich. Ein Beispiel ist der Online-Handel: Um einem Kunden Bestellung und Warenauslieferung überhaupt zu ermöglichen, ist eine Zuordnung seiner einzelnen Datensätze notwendig und muss daher auch zulässig sein.
Aber für Geschäftsprozesse, in denen es kein Hindernis ist, personenbezogene Daten pseudonymisiert zu verarbeiten, ist es sinnvoll auf diese Technik zurückzugreifen, zum Beispiel für eine allgemeine Geo-Analyse, um herauszufinden aus welchen Ländern oder Regionen Kunden bestellen. Besonderen Wert sollten Sie auf die Pseudonymisierung legen, wenn Sie solche Datenanalysen oder andere Datenverarbeitungen an externe Dienstleister weitergeben. Als Negativ-Beispiel seien hier diverse Facebook-Datenskandale genannt.
Verschlüsselung
Mittels Verschlüsselungsverfahren können personenbezogene Daten mithilfe kryptografischer Verfahren in eine unleserliche Zeichenfolge verwandet werden. Im Gegensatz zur Pseudonymisierung bleibt bei der Verschlüsselung der Personenbezug der Daten erhalten. Die Daten werden jedoch so verändert gespeichert, dass sie Unbefugte, wie Hacker ohne zugehörigen Entschlüsselungscode nicht oder nur mit absolut unverhältnismäßigem Aufwand lesbar machen können.
Verschlüsselung ist mittlerweile üblich und entspricht damit dem Stand der Technik auf den jedes Unternehmen setzen sollte. Es ist dabei darauf zu achten, dass die zum Einsatz kommende Lösung zumindest die Möglichkeit einer Ende-zu-Ende-Verschlüsselung bietet. Nur so lassen sich Passwörter und andere besonders sensible Daten wirklich sicher übertragen.
Welche Maßnahmen für welche Schutzziele?
Die anderen technisch organisatorischen Maßnahmen bezeichnet die DSGVO nicht so konkret wie Pseudonymisierung und Verschlüsselung. Sie sind vielmehr Vorgaben, die es zu erfüllen gilt. Wie Sie das tun, bleibt allerdings Ihnen überlassen. Wir geben Ihnen jedoch Handlungsempfehlungen für die Praxis an die Hand. Doch zunächst die unkonkreten Maßnahmen im Überblick:
- Dauerhaftes Sicherstellen der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Datenverarbeitung
- Rasche Wiederherstellung der Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall
- Gewährleistung der Sicherheit der Verarbeitung durch ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen
Die Gesellschaft für Datenschutz und Datensicherheit (GDD e.V.) beschreibt die einzelnen Maßnahmen sehr verständlich und praxisnah auf. Hier folgt eine kurze Zusammenfassung möglicher Maßnahmen für die entsprechenden Schutzziele.
- Vertraulichkeit
Bedeutung: Ihre Maßnahmen sollen die Vertraulichkeit der verwendeten Systeme und Dienste schützen. Sie sollen verhindern, dass es zu unbefugter oder unrechtmäßiger Verarbeitung kommt. (Art. 32 Abs. 1b DSGVO)
Mögliche Maßnahmen: Regeln Sie Zutritt, Zugang und Zugriff auf Systeme und Dienste, zum Beispiel durch bauliche Maßnahmen
Zutrittskontrolle: Magnet- oder Chipkarten, Schlüssel, elektrische Türöffner, Pförtner, Alarmanlagen, Videoanlagen
Zugangskontrolle: sichere Passwörter, automatische Sperrmechanismen, Zwei-Faktor-Authentifizierung, Verschlüsselung von Datenträgern
Zugriffskontrolle: Unterbinden von unbefugtem Lesen, Kopieren, Verändern oder Entfernen von Daten, zum Beispiel durch Berechtigungskonzepte, bedarfsgerechte Zugriffsrechte, Protokollierung von Zugriffen
Trennungskontrolle: Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden, zum Beispiel durch Mandantenfähigkeit und Sandboxing
- Integrität
Bedeutung: Integrität umfasst, dass die von Ihnen erhobenen Daten nicht unbeabsichtigt oder beabsichtigt geändert oder zerstört werden können (Fälschungssicherheit) (Art. 32 Abs. 1b DSGVO).
Mögliche Maßnahmen: Datensicherung durch Backups, Prüfsummen, Virenscanner, Firewalls, Software-Updates
Weitergabekontrolle: Unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Datenübertragung verhindern, beispielsweise mittels Verschlüsselung, Virtual Private Networks (VPN), elektronische Signatur
Eingabekontrolle: Zur Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, zum Beispiel durch Protokollierung oder Dokumentenmanagement
- Verfügbarkeit
Bedeutung: Daten und die zur Verarbeitung notwendigen Systeme sollen stets dann verfügbar sein, wenn sie benötigt werden. Stichwort: Lauffähigkeit. Je häufiger Systeme verwendet werden, desto höher ist der Anspruch, dass sie auch reibungslos funktionieren (Art. 32 Abs. 1b DSGVO)
Mögliche Maßnahmen: Sichern Sie Ihre Systeme bestmöglich gegen innere und äußere Einflüsse ab, zum Beispiel im Falle eines Stromausfalls, Wassereinbruchs oder Blitzeinschlags. Aber schützen Sie sie auch gegen Sabotage oder Vandalismus.
- Belastbarkeit
Bedeutung: Datenverarbeitungssysteme und -dienste müssen auch belastbar sein. Das bedeutet: Ihre IT muss widerstandsfähig aufgestellt sein, um starke Beanspruchung überstehen zu können ohne gänzlich zusammenzubrechen. Zum Beispiel können zu viele gleichzeitige Zugriffsanfragen auf Ihren Webserver Ihre Systeme belasten (Denial of Service). Oftmals sind sie sogar Teil eines Cyberangriffs, dem es gilt Stand zu halten (Art. 32 Abs. 1b DSGVO).
Mögliche Maßnahmen: Steigern Sie die Belastbarkeit Ihrer Firmen-EDV beispielsweise durch Skalierende Systeme, Schutztechniken gegen DDoS-Angriffe, RAID-Systeme
- Wiederherstellung der Verfügbarkeit bei Zwischenfall
Bedeutung: Kommt es trotz der obigen Maßnahmen zu Systemstörungen oder einem IT-Ausfall, muss Ihr Unternehmen in der Lage sein, die Daten schnellstmöglich wiederherzustellen und Ihre Systeme alsbald wieder einsatzbereit zu haben (Art. 32 Abs. 1c DSGVO).
Mögliche Maßnahmen: Backup-Systeme inklusive Wiederherstellungsverfahren, IT-Notfallplan, Vertretungspläne für Personal, Notstromversorgung, gespiegelte Datenbanken oder redundante Server.
- Überprüfung, Bewertung und Evaluierung der Wirksamkeit
Bedeutung: Sie haben TOMs eingeführt. Doch das reicht nicht aus. Sie müssen diese Maßnahmen zu Datenschutz und Datensicherheit regelmäßig dahingehend überprüfen, ob sie ihren Zweck noch erfüllen und auf dem derzeitigen Stand der Technik sind. Einen bestimmten Turnus zur Überprüfung schreibt der Gesetzgeber nicht vor. Allerdings raten Experten, dass Sie Ihre TOMs mindestens jährlich kontrollieren sollten – je nach Risikoniveau auch häufiger. Außer Frage steht jedoch: Wenn eine Sicherheitslücke bei einem von Ihnen verwendeten System bekannt wird, müssen Sie schnell handeln (Art. 32 Abs. 1d, Art. 25 Abs. 1 DSGVO).
Mögliche Maßnahmen: Protokollieren Sie Ihre regelmäßigen Prüfungen, Penetrationstests, Skalierbarkeit von Systemen, Evaluierungen durch Nutzer und Betroffene, Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO), Auftragskontrolle durch eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Dienstleisters, Vorabüberzeugungspflicht sowie Nachkontrollen