7 min Zuletzt auktualisiert: 11.10.2023

DSGVO und Verschlüsselung – Wie Verschlüsselung dabei hilft, Unternehmensdaten in der Cloud zu schützen

Am 25. Mai 2018 änderte sich für Unternehmen weltweit einiges in Bezug auf die Handhabung und Speicherung von personenbezogenen Daten. Mit Inkrafttreten der neuen Europäischen Datenschutzgrundverordnung (DSGVO) müssen alle Firmen, welche in irgendeiner Form personenbezogene Daten von EU-Bürgern speichern oder verarbeiten neue Regeln in Bezug auf den Schutz dieser Daten beachten.

In unserem Gastbeitrag möchten wir Ihnen heute einen Überblick über einige der Änderungen durch die DSGVO geben und eine Lösung für das sichere Speichern und Handhaben von personenbezogenen Daten vorstellen – Ende-zu-Ende Verschlüsselung der Daten mit Boxcryptor.

Welche Änderungen und Anpassungen sind notwendig?

Jedes Unternehmen, unabhängig von seiner Größe oder dem Firmensitz, muss in den folgenden vier Feldern Anpassungen vornehmen, sobald die darin enthaltenen Daten Informationen über einen Bürger der Europäischen Union enthalten:

  1. Das sichere Speichern und Handhaben von personenbezogenen Daten
  2. Datenschutz-Konformität der internen Prozesse
  3. DSGVO-Konformität von Drittanbietern
  4. Auswertung und Dokumentation der Datenstruktur des Unternehmens

In diesem Artikel möchten wir insbesondere auf die notwendigen Anpassungen und Veränderungen in Bezug auf Punkt 1 eingehen.

Wie Verschlüsselung DSGVO konformes Speichern ermöglicht

Das Speichern und Handhaben personenbezogener Daten unterliegt mit Inkrafttreten der DSGVO strengeren Auflagen. Unternehmen sehen sich mit der Anforderung konfrontiert, notwendige „technische und organisatorische Maßnahmen“ (TOM) zum Schutz der Daten zu ergreifen und alle getroffenen Maßnahmen ebenso zu dokumentieren. (DSGVO S. 47)

Verschlüsselung (von Daten) nach Stand der Technik wird im Hinblick auf die DSGVO als eine adäquate TOM betrachtet und ist damit, ausgehend von der absoluten Notwendigkeit solche TOM umzusetzen, eine Maßnahme, welche von Datenschutzbeauftragten in Betracht gezogen werden sollte.

Doch es gibt noch einen weiteren, für Unternehmen äußerst relevanten, Aspekt sich für Verschlüsselung zum Schutz der Daten zu entscheiden: Sollte ein Unternehmen, welches eine Verschlüsselung nach Stand der Technik im Einsatz hat eine Datenpanne erleiden, muss dieses Unternehmen die betroffenen Nutzer, auf welche sich die Daten beziehen, nicht (!) darüber in Kenntnis setzen. Grund hierfür ist, dass verschlüsselte Daten auch bei Diebstahl für Dritte nicht auszuwerten sind, da die sichere Ende-zu-Ende Verschlüsselung eine unrechtmäßige Verwertung unmöglich macht.

Sobald Sie also sicherstellen, dass Personen ohne Autorisierung keinen Zugriff auf die von Ihnen gespeicherten personenbezogenen Daten erhalten – selbst wenn diese Daten in deren Besitz sein sollten, haben Sie die geeigneten Maßnahmen zum Schutz der Daten ergriffen und können somit empfindsame Strafen vermeiden.

Nicht vergessen: Im Falle eines Verstoßes gegen die DSGVO drohen Unternehmen, abhängig von der Art des Verstoßes, Strafzahlungen zwischen 10 und 20 Millionen Euro, oder aber 2-4% des weltweiten Jahresumsatzes – je nachdem was höher ausfällt. Zudem ergibt sich durch den Einsatz von Verschlüsselung ein weiterer schwerwiegender Vorteil: Da Unternehmen, welche die notwendigen TOM ergriffen haben, die betreffenden Nutzer von verlorenen (oder geklauten) Daten nicht über diesen Verlust informieren müssen, kommt es eben auch nicht zu Vertrauensverlust bei den Betroffenen.

Zumindest nach dem neuen Bundesdatenschutzgesetz (BDSG neu), welches zeitgleich mit der DSGVO in Kraft getreten ist, sind Unternehmen mit ausreichendem Schutz der Daten (z.B. via Boxcryptor) nicht dazu verpflichtet, die betreffenden Nutzer über eine Datenpanne in Kenntnis zu setzen. Auch nach Auffassung einiger Datenschutzbehörden (z.B. Bayerische Landesdatenschutzbehörde) gelten verschlüsselte personenbezogene Daten nicht mehr als personenbezogene Daten, da sie eben verschlüsselt und dadurch unlesbar sind. Dennoch empfehlen wir genau zu überlegen, ob das Verschweigen eines solchen Vorfalls unter Umständen nicht zu einem größeren Verlust des Vertrauens führen kann. Versichern Sie Ihren Partnern lieber, dass diese sich keine Sorgen um Datenmissbrauch machen müssen, da Ihre Daten durch den Einsatz von starker Verschlüsselung geschützt sind.

Verschlüsselungslösung für Unternehmen im Überblick

Entscheidend für die DSGVO Konformität in Bezug auf die Speicherung und Handhabung von personenbezogenen Daten ist, dass entsprechende TOM zum Schutz der Daten ergriffen wurden – Verschlüsselung nach Stand der Technik ist als solche aufgeführt.

Boxcryptor nutzt eine hybride Verschlüsselung und setzt dabei auf den AES-256 und den RSA-Verschlüsselungsstandard. AES-256 erfüllt militärische Vorgaben und kommt bei Banken, Regierungen und Geheimdiensten zum Einsatz. Bereits einen AES-Schlüsseln mit einer Länge von 128 Bit zu knacken würde mit heute existierenden Supercomputern mehr Zeit in Anspruch nehmen, als das angenommene Alter des Universums. Bei AES-256 potenziert sich dieser Zeitaufwand. RSA ist eines der aktuell am meisten verbreiteten, asymmetrischen Verschlüsselungssysteme und basiert auf dem mathematischen Problem, große Zahlen in ihre Primfaktoren zu zerlegen.

Boxcryptor implementiert einen kombinierten Verschlüsselungsprozess. Jede Datei bekommt dabei ihren eigenen, eindeutigen und zufällig generierten Dateischlüssel der bei der Erstellung der Datei generiert wird. Die hybride Verschlüsselung aus AES und RSA kommt aus Effizienzgründen zum Einsatz und stellt eine Voraussetzung für eine echte Ende-zu-Ende Verschlüsselung dar.

Für Unternehmen bietet Boxcryptor zwei attraktive Lizenzmodelle: Boxcryptor Company, für kleine bis mittlere Unternehmen und Boxcryptor Enterprise, für Unternehmen mit hohem Nutzerbedarf. Zusätzlich können auch Selbständige und kleine Teams von bis zu 5 Nutzern mit der Boxcryptor Business Lizenz ihre Geschäftsdaten sicher und DSGVO-konform speichern und austauschen.

Alle Boxcryptor-Lösungen für den geschäftlichen Gebrauch lassen sich nahtlos in bestehende Prozesse integrieren. Mit Features wie Single-Sign-on oder Azure Active Directory wird eine zusätzliche Sicherheitsschicht auf bestehende Geschäfts- und Nutzerverwaltungsprozesse gelegt. Mit dem Einsatz von Boxcryptor in Ihrem Unternehmen erfüllen Sie nicht nur wichtige Kriterien der Europäischen Datenschutzgrundverordnung, sondern schützen zudem noch die wichtigsten Daten in Ihrem Unternehmen zuverlässig vor unautorisiertem Zugriff und externen Hackerangriffen.

Dieser Beitrag befasst sich mit der sicheren Speicherung und Handhabung von Personenbezogenen Daten. Da aber auch die Punkte „Datenschutz-Konformität der internen Prozesse“, „DSGVO-Konformität von Drittanbietern“ und „Auswertung und Dokumentation der Datenstruktur des Unternehmens“ von gleichwertiger Bedeutung sind, legen wir Ihnen die Artikelserie zur Umsetzung der DSGVO bei Boxcryptor ans Herz. Hier geht es zu [Teil 1].

Unsere Auszeichnungen

DBA Siegel

Unsere Partner


lawpilots GmbH
Am Hamburger Bahnhof 3
10557 Berlin
Deutschland

+49 (0)30 22 18 22 80 kontakt@lawpilots.com
lawpilots GmbH hat 4.6362191958496 von 5 Sternen 2570 Bewertungen auf ProvenExpert.com