DSGVO/GDPR: Wie man personenbezogene Daten effektiv schützen kann

GDPR setzt hohe Anforderungen an den Datenschutz
Die europäische Datenschutzgrundverordnung (DSGVO/GDPR) stellt hohe Anforderungen an die Speicherung und Verarbeitung von personenbezogenen Daten. Die Tokenisierung und Verschlüsselung von Informationen bevor sie in die Cloud geladen werden, kann helfen, die strengen Vorgaben zu erfüllen und die angedrohten hohen Strafen zu vermeiden.

Advertisement
Vier Jahre lang wurde um die Bestimmungen der General Data Protection Regulations (GDPR)/europäischen Datenschutzgrundverordnung (DSGVO) gerungen bevor sie am 25. Mai 2016 schließlich in Kraft trat, um die EU-Datenschutzrichtlinie (95/46/EG) zu ersetzen. „Ziel der Regeln ist, den Nutzern die Entscheidung über ihre persönlichen Daten zurückzugeben, ein hohes und einheitliches Datenschutzniveau einzuführen sowie die EU für das digitale Zeitalter zu rüsten“, schrieb die Pressestelle des Europäischen Parlaments nach Verabschiedung der Verordnung. Die EU-weit gültigen Regelungen drehen sich daher vor allem darum, wie man personenbezogene Daten sicher speichert und verarbeitet.

Die Datenschutzgrundverordnung muss nicht von den einzelnen Ländern in Gesetze gegossen werden, bevor sie am 25. Mai 2018 wirksam wird. „Die Übergangsphase von zwei Jahren ist angesichts der Vielzahl der Regelungen und der Komplexität des Datenschutzes in der Praxis relativ kurz und zwingt die Verantwortlichen, sich unverzüglich mit den Auswirkungen der EU-Datenschutzgrundverordnung auf ihr Unternehmen zu beschäftigen und die entsprechenden Maßnahmen einzuleiten“, sagt Uwe Wöhler, Lead Solutions Consultant bei HP Enterprise (HPE).

Hohe Strafen als Abschreckung

Versäumen die Unternehmen die Frist, drohen ihnen empfindliche Strafen. Bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, mindestens jedoch 20 Millionen Euro, können die Aufsichtsbehörden nach Artikel 83 von den Unternehmen für Verstöße verlangen. Auf Rücksicht sollten die Unternehmen nicht hoffen. Die Verordnung fordert ausdrücklich, dass jede Aufsichtsbehörde sicherstellt, dass die Geldbuße „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist“.

Betroffen von der neuen Regelung sind fast alle Unternehmen, da man ohne die Speicherung und Verarbeitung personenbezogener Daten in der heutigen digitalisierten Wirtschaft kaum mehr auskommt. So fallen in die Kategorie ‚personenbezogene Daten‘ alle Informationen, die Personen identifizierbar machen; beispielsweise Namen, Standortdaten, Online-Kennungen oder Merkmale, „die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind“.

Pseudonomysierung und Verschlüsselung

Wie die Unternehmen den Datenschutz sicherstellen, überlässt das Europäische Parlament weitgehend den Unternehmen. Die Verordnung schreibt lediglich „geeignete technische und organisatorische Maßnahmen“ vor. Sie gibt aber auch Hinweise, was die Gesetzgeber von den Unternehmen erwarten und nennt mehrfach Verschlüsselung oder Pseudonymisierung als geeignete Verfahren, um ein angemessenes Schutzniveau zu realisieren.

Dabei definiert die GDPR/DSGVO die Pseudonymisierung als „die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden“.

Tokenisierung: ein sicherer Lösungsansatz

Ein möglicher Lösungsansatz, große Teile der Anforderungen der DSGVO zu erfüllen ist die Tokenisierung. Bei ihr werden die sensiblen Daten durch zufällig erzeugte Tokens ersetzt. Bei ihr werden die Originaldaten sowie die Zuordnungen lokal in einer Datenbank gespeichert, wie das auf die Tokenisierung spezialisierte Unternehmen CipherCloud erklärt. Im Unterschied zur Verschlüsselung besteht bei der Tokenisierung normalerweise keine mathematische Beziehung zwischen Originaldaten und Token. So reduziert sich das Risiko, dass Daten kompromittiert werden. So könnte beispielsweise die Kreditkartennummer 4362 4890 2300 8650 durch das Token 4362 0405 3604 8650 ersetzt und für Datendiebe unbrauchbar gemacht werden. Weils sich durch die Tokenisierung die Struktur der Daten nicht wesentlich ändert, können Anwendungen und Prozesse mit Tokens genauso operieren wie mit den Originaldaten.

Das Verfahren ist laut CipherCloud ein in der Praxis vielfach bewährtes Mittel. So würden bereits 40 Prozent der Banken und Finanzdienstleister Tokenisierung nutzen, um sensible Personendaten wie Sozialversicherungsnummern, Geburtsdaten und Steuernummern zu schützen.

 GDPR-konform: Dank einer automatischen Tokenisierung oder Verschlüsselung sind die Klar-Daten nur für autorisierte Nutzer sichtbar.
GDPR-konformer Datenschutz: Dank einer automatischen Tokenisierung oder Verschlüsselung sind die Klar-Daten nur für autorisierte Nutzer sichtbar.

Schutz vor Zugriff des Service Providers und staatlicher Organisationen

Werden die Daten in geeigneter Art und Weise tokenisiert, kann man überdies die Vorgaben der DSGVO bezüglich der Übermittlung personenbezogener Daten an Drittländer außerhalb der Europäischen Union oder an internationale Organisationen erfüllen. „Die Absicherung der Daten durch Verschlüsselung oder Tokenisierung bevor man sie in die Cloud überträgt, ist für alle Unternehmen, die über die Implementierung einer Cloud-Lösung nachdenken, eine Antwort auf die rechtlichen Herausforderungen“, schreibt Professor Dr. Patrick Van Ecke, Partner bei der international tätigen Anwaltskanzlei DLA Piper, in einem Whitepaper. Die entscheidende Passage in der Aussage des Rechtsanwalts ist „bevor man sie in die Cloud überträgt“.

Überlässt man die Verschlüsselung jedoch dem Cloud-Provider, dann ist dieser im Besitz des Schlüssels und könnte somit die Originaldaten wieder herstellen. „Ist der Cloud-Provider nicht im Besitz der Schlüssel für die Entschlüsselung, dann kann der Kunde sicher sein, dass die Daten bis zu einem gewissen Maß sicher vor staatlicher Intervention ist“, fährt Van Ecke fort. Damit werden eventuelle Bedenken der IT-Verantwortlichen entkräftet, die fürchten dass sie bei Cloud-Lösungen die Kontrolle über die Daten aus der Hand geben.

Maßnahmenbündel zum Schutz der Daten

Trotz der genannten Vorteile, ist die Tokenisierung dennoch keine Allzweckwaffe. „Tokenisierung eignet sich bestens, wenn es um den Schutz von Datenbanken und der darin enthaltenen Daten geht“, erklärt Holger Moenius, Regional Sales Director bei CipherCloud. „Geht es jedoch um die Absicherung von Dateien, also von eher unstrukturierten Daten, dann ist es sinnvoll, auf Verschlüsselung zu setzen.“

Lesen Sie auch:
GDPR – Viele Unternehmen sind sich der Herausforderung nicht bewusst

Deshalb kann die Tokenisierung immer nur ein Element eines umfassenden Maßnahmenkatalogs sein, der die gesetzlichen Anforderungen erfüllt und die personenbezogenen Daten sowie die Unternehmensdaten schützt. „Bei der Datensicherheit geht es immer um ein ganzes Bündel an Technologien, die man individuell auf die Gegebenheiten des jeweiligen Unternehmens zuschneiden muss“, betont HPE-Manager Wöhler, dessen Unternehmen erst kürzlich eine Technologie-Partnerschaft mit CipherCloud eingegangen ist.