Verschlüsselung im Kontext der DSGVO: Datenschutz muss keine Hexerei sein!

Verschlüsselung im Kontext der Datenschutzgrundverordnung

Veröffentlicht am Veröffentlicht in Rechtgesign

Wer Daten, insbesondere solche mit Personenbezug, ohne Verschlüsselung versendet oder versenden lässt, bspw. über das Kontaktformular einer Internetpräsentation oder einen ungeschützten Mail-Client, der kommuniziert im „Klartext“, vergleichbar mit einer Postkarte, die auch ein Jeder lesen kann. Wird diese elektronische Klartextnachricht dann, auf dem Weg zum Empfänger, abgefangen, so können Unbefugte diese nicht nur problemlos mitlesen, sondern auch manipulieren oder gar zerstören. Dies stellt datenschutzrechtlich ein großes Problem dar, insbesondere vor dem Hintergrund, dass personenbezogene Daten besonders schutzwürdig sind, was bereits im Grundgesetz Art. 2 Abs. 1 durch das „Recht auf informationelle Selbstbestimmung“ verankert ist:

Art. 2 Abs. 1 GG

Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit, soweit er nicht die Rechte anderer verletzt und nicht gegen die verfassungsmäßige Ordnung oder das Sittengesetz verstößt.

Rechtslage

Ob und wie ein elektronisch kommunizierender Unternehmer oder auch der Betreiber einer Internetpräsentation personenbezogene Daten seiner Nutzer über Kontaktformulare oder seiner Kunden im Onlineshop verarbeiten darf, regelt bislang das Telemediengesetz (§ 13 Abs. 7 TMG) i.V.m. dem Bundesdatenschutzgesetz (§ 9 BDSG). Hierzu hatten wir in unserem Beitrag unter https://www.anumo.de/ssl-verschluesselung/ vom 01. April 2017 bereits berichtet.

Rechtsgrundlagen

Mit Inkraftsetzung der Datenschutz-Grundverordnung (DSGVO) zum 25. Mai 2018, hierzu hatten wir in unserem Beitrag unter https://www.anumo.de/datenschutz-grundverordnung-dsgvo/ vom 25. Februar 2018 berichtet, ändert sich an der dies betreffenden Rechtslage zunächst nichts, außer das die Rechtsgrundlagen ergänzt und zugleich auch weiter manifestiert werden. Art. 5 f. DSGVO verlangt in den „Grundsätzen für die Verarbeitung personenbezogener Daten“ hierzu folgendes:

Art. 5 f. DSGVO

Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);

Die bedeutet, dass der Betreiber einer Internetpräsentation – nach wie vor – gewährleisten muss, dass personenbezogene Daten bei der elektronischen Übertragung, insbesondere während des Transports, von Dritten nicht unbefugt gelesen, kopiert, verändert oder entfernt werden dürfen. Gegenwärtig stehen für die Erfüllung dieser Forderung „Verschlüsselungsverfahren nach dem Stand der Technik“ (bspw. SSL (Secure Sockets Layer) oder auch TLS (Transport Layer Security )) zur Verfügung, welche sich mit geringem Kostenaufwand implementieren lassen, insofern sollten diese auch implementiert werden!

Verschlüsselung des Website-Datenverkehrs

Für die sichere Übertragung von Webseiten-Inhalten kann und sollte ein sog. SSL-Zertifikat genutzt werden (zu erkennen am „s“ in der Protokollangabe der Internetadresse „https://“). Dies ist eine – zumindest wirtschaftlich betrachtet – geringe Hürde, um den (alten und neuen) gesetzlichen Anforderungen ausreichend Rechnung zu tragen und möglichen „Gefahren“ entgegenzuwirken. Auch wird damit das Vertrauen der Besucher einer Internetpräsentation gesteigert, zudem schützt eine SSL-Verschlüsselung gegen Phishing-Attacken und erzielt eine höhere Platzierung bei Suchmaschinen.

Verschlüsselung von E-Mail

Der Anspruch an den Schutz personenbezogener Daten gilt natürlich nicht nur für die Verschlüsselung des Website-Datenverkehrs, gleiches gilt natürlich auch für den Versand von Nachrichten mit E-Mail-Programmen wie bspw. Apple Mail, Microsoft Outlook, Google Gmail oder Mozilla Thunderbird. Auch hier ist eine adäquate Verschlüsselungstechnik (bspw. SSL oder besser noch die Weiterentwicklung TLS (Transport Layer Security)) zu verwenden. Hierzu bietet jeder moderne Mail-Client die Möglichkeit, das verschlüsselte Senden und Empfangen von Nachrichten in den Einstellungen zu konfigurieren, ein Zertifikat ist hierzu i.d.R. nicht notwendig.

Informationspflichten

Jeder Betreiber einer Internetpräsentation muss in (s)einer Datenschutzerklärung über die Art, den Umfang und den Zweck der Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten seiner Nutzer, sowie auch über das gesetzliche Auskunfts- und Widerrufsrecht aufklären. Dies gilt umso mehr für Kontakt- und auch sonstige Formulare, welche sich der elektronischen Datenverarbeitung auf einer Internetpräsentation bedienen. Bitte denken Sie in diesem Zusammenhang auch unbedingt an das Thema „Auftragsdatenverarbeitung“, hierzu hatten wir in unserem Beitrag unter https://www.anumo.de/webhosting-als-auftragsdatenverarbeitung/ vom 15. März 2017 berichtet.

Was können wir für Sie tun?

Gerne bieten wir Ihnen die Einrichtung eines entsprechenden „SSL-Schutz“ auf Ihrer Internetdomain, sowie eine entsprechende Anpassung Ihrer Internetpräsenz (sofern notwendig) dahingehend an, bei Bedarf unterstützen wir Sie auch gerne beim Thema „E-Mail“. Sollten Sie interessiert sein, so nehmen Sie bitte Kontakt zu uns auf.

Copyright

Sie dürfen diesen Blog-Artikel unter der „CC BY-ND 3.0 DE“-Lizenz vervielfältigen und weiterverbreiten. Bitte beachten Sie hierzu unsere Nutzungsbedingungen unter https://www.anumo.de/nutzungsbedingungen#lizenzierung.

Gefällt Ihnen dieser Inhalt? Teilen Sie gerne: