Technischer Datenschutz

Begriffsbestimmungen und Abgrenzung des technischen Datenschutzes

Im Rahmen der DSGVO werden sowohl direkt als auch indirekt Datenschutzziele formuliert. Um diese Schutzziele zu erreichen, sind die bestehenden Datenverarbeitungsprozesse zu analysieren und im Bedarfsfall Maßnahmen zu ergreifen, um die Erreichung der Datenschutzziele sicherzustellen.

Bekannt ist in diesem Zusammenhang der Begriff der „TOM“ – ausgeschrieben technische und organisatorische Maßnahmen.

Der technische Datenschutz bezieht sich dabei auf alle Maßnahmen, die „physisch“ umgesetzt werden können.

Abgegrenzt hiervon sind organisatorische Maßnahmen, wie zum Beispiel Mitarbeiterschulungen oder die Erstellung von Konzepten und Prozessen, wie z.B. Segregation of duties, 4-Augen-Prinzip oder Arbeitsanweisungen.

Technischer Datenschutz nach altem BDSG

Im alten Bundesdatenschutzgesetz war Grundlage des technischen Datenschutzes primär §9 BDSG, der jede Stelle, die personenbezogene Daten verarbeitet, erhebt oder nutzt, dazu verpflichtet hat, Schutzmaßnahmen zu treffen. Es bestand eine Unterteilung in die folgenden Bereiche:

  • Zutritt
  • Zugang
  • Zugriff
  • Weitergabekontrolle
  • Eingabekontrolle
  • Auftragskontrolle
  • Verfügbarkeitskontrolle
  • Trennungsgebot

Bereits damals war das sogenannte Verhältnismäßigkeitsprinzip verankert, nachdem der technische Datenschutz immer auch in der Relation zur Datenverarbeitung betrachtet werden muss. Durch die Datenschutzgrundverordnung wurde die oben genannte Unterteilung zu Gunsten der neuen Datenschutzziele aufgegeben.

Technischer Datenschutz nach DSGVO

Die Grundlage des technischen Datenschutzes ist heute primär Art. 32 DSGVO, in dem vorgeschrieben wird, dass der Verantwortliche bzw. Auftragsverarbeiter technische und organisatorische Maßnahmen unter Berücksichtigung des Standes der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen zu treffen hat, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Die Anforderungen an den technischen Datenschutz sind hierbei deutlich abstrakter gefasst und wurden an die Begrifflichkeiten in der Informationssicherheit angeglichen.

Sowohl aus dem alten BDSG als auch nach der DSGVO können zusätzliche Schutzziele herausgelesen werden, welche datenschutzspezifisch sind. Diese sind ebenso im Standarddatenschutzmodell 2.0 der deutschen Datenschutzaufsichtsbehörden beschrieben. Auch bei der Erreichung dieser Schutzziele können und müssen technische Datenschutzmaßnahmen unterstützen. Die Schutzziele sind im Einzelnen:

Transparenz

Durch Transparenz soll gewährleistet werden, dass sowohl der datenverarbeitende Verantwortliche, aber auch der Betroffene und Kontrollinstanzen in der Lage sind, die durchgeführten Verarbeitungen nachzuvollziehen und somit eine Auditierbarkeit herzustellen. Gerade in modernen KI-Anwendungen im Bereich Deep-Learning stellt dies eine große Herausforderung dar, da häufig nicht erklärt und nachvollzogen werden kann, wie Algorithmen ihre Outputs berechnen.

Nicht-Verkettbarkeit

Hierdurch soll garantiert werden, dass zwischen zwei unterschiedlichen Objekten keine Verbindung hergestellt werden kann. Ein Beispiel hierfür ist die Zusammenführung von Daten eines Datensubjektes, die für unterschiedliche Zwecke oder von unterschiedlichen Verantwortlichen erhoben wurden.

Intervenierbarkeit

Die Intervenierbarkeit soll sicherstellen, dass betroffene Datensubjekte in der Lage sind, ihre Betroffenenrechte, insbesondere die Berichtigung, Löschung und Einschränkung der Verarbeitung ihrer Daten, durchzusetzen. Herausforderungen bestehen hier häufig im Bereich der Löschung von Datensätzen in Datenbanken, welche in vielen Altsystem nicht vorgesehen ist. Zusätzlich bestehen hier Reibungspunkte beim Einsatz von Blockchaintechnologie, welche „by-design“ keine Änderung (rückwirkende Korrektur vorheriger Daten) oder Löschung von Daten vorsieht.

Abgeleitet werden können diese unter anderem aus den Prinzipien „privacy-by-design“ und „privacy-by-default“ in Art. 25 DSGVO sowie aus den in Art. 5 festgelegten Datenschutzgrundsätzen.

Technische Mittel können mittels geeigneter Einstellungen auch auf Seite des Betroffenen einen wichtigen Beitrag zum Datenschutz leisten. Bekannt sind diese Technologien auch unter dem Schlagwort „Privacy Enhancing Technologies.

Maßnahmen zur Umsetzung

Zur Umsetzung des technischen Datenschutzes stehen Unternehmen bereits heute viele Technologien zur Verfügung. Im Folgenden werden einige essenzielle Maßnahmen für Unternehmen kurz dargestellt:

Verschlüsselung von Kommunikationsverbindungen mittels TLS

Um zu verhindern, dass Daten auf dem Transportweg abgehört oder unbemerkt manipuliert werden, wird heutzutage als technische Datenschutzmaßnahme im Normalfall das TLS-Protokoll eingesetzt. Die aktuelle Version des TLS-Protokolls ist die Version 1.3, welche zusätzlich einige weitere, datenschutzfreundliche Eigenschaften aufweist. Unter anderem betrifft dies „Perfect Forward Secrecy“, das heißt, dass für jede neue Verbindung zwischen Client und Server neue Schlüssel ausgehandelt werden. Dies gewährleistet, dass selbst in dem Falle, bei dem ein Schlüssel kompromittiert wird, nicht die komplette Kommunikation entschlüsselt werden kann.

Verschlüsselung allgemein

Durch Verschlüsselung kann sichergestellt werden, dass personenbezogene Daten bzw. Informationen vor unberechtigter Kenntnisnahme geschützt werden. Dies gilt sowohl auf dem Übertragungsweg (in-transit), aber auch während der Speicherung (at-rest).

Mit steigender Leistungsfähigkeit von Computern muss regelmäßig geprüft werden, ob Verschlüsselungsverfahren noch als sicher betrachtet werden können.

Eine große Herausforderung im Bereich der asymmetrischen Kryptographie wird ebenfalls die Entwicklung von Quantencomputern sein.

Durchsetzung starker Passwörter oder einer 2-Faktor-Authentifizierung

Unsichere Passwörter sind häufig Ursache von Datenschutzvorfällen oder mindestens an einem Punkt innerhalb einer Angriffskette beteiligt.

Mit Hilfe technischer Mittel können Richtlinien für Passwörter durchgesetzt werden, um zu verhindern, dass Nutzer Passwörter wählen, die leicht mit Hilfe von oder Rainbowtables (verlinkung) geknackt werden können. Dies ist umso wichtiger, da die Erfahrung zeigt, dass Nutzer alleine durch Vorschläge und organisatorische Anweisungen nicht dazu motiviert werden können, ihre Passwörter sicher zu gestalten.

Auch die Datenschutzbehörden haben die Wichtigkeit sicherer Passwörter erkannt und Richtlinien zur Absicherung von Telemediendiensten herausgegeben, die sich zu großen Teilen mit dem Thema „sichere Passwörter“ auseinandersetzt.

Sofern ein hoher Schutzbedarf für Daten in einem System vorliegt, kann durch den Einsatz und das Erzwingen einer 2-Faktor-Authentifizierung als technische Datenschutzmaßnahme die Sicherheit noch einmal deutlich erhöht werden. Hierfür steht eine große Auswahl an technischen Maßnahmen, zum Beispiel Time-Based-One-Time Passwords oder Hardwaretokens, zur Verfügung.

Mobile Device Management

Die Nutzung mobiler Arbeitsgeräte wie Tablets und Smartphones, aber auch Notebooks, erfreut sich immer größerer Beliebtheit. Diese Geräte stellen aber auch eine besondere Herausforderung im Bereich technischer Datenschutz dar. Dabei kann es sich sowohl um betriebliche Geräte, aber auch um den Einsatz privater Geräte im Unternehmenskontext handeln. Durch den Einsatz sogenannter Mobile-Device-Management Lösungen kann technisch sichergestellt werden, dass private Daten und Unternehmensdaten voneinander getrennt bleiben.

Zum Schutz von Schadsoftware kann das MDM beitragen, indem hierdurch geregelt werden kann, welche Anwendungen überhaupt auf dem Gerät installiert werden dürfen. Dies verhindert ebenfalls, dass Beschäftigte Anwendungen installieren, welche danach firmeninterne Kontaktdaten an Unbefugte weitergeben (z.B. WhatsApp) – häufig sind den Beschäftigten diese Vorgänge im Hintergrund bei der Installation von Anwendungen gar nicht bewusst.

Backups

Um die Verfügbarkeit von Daten sicherzustellen, ist es erforderlich, regelmäßig Backups anzufertigen. Technische Backups sollten immer von einem organisatorischen Konzept begleitet werden, welches regelt, wie die geeigneten Backupparameter zu entwickeln sind. Nur so kann sichergestellt werden, dass technische Backupmaßnahmen im Bedarfsfall auch die geplante Wirksamkeit entfalten können.

Analyse und Kontrolle des Netzwerkverkehrs

Auch die Analyse und Kontrolle des Netzwerkverkehrs, unter anderem durch eine Netztrennung, kann als technische Datenschutzmaßnahme die Einhaltung der datenschutzrechtlichen Vorschriften unterstützen. Durch die Aufteilung in verschiedene Sicherheitsbereiche kann gewährleistet werden, dass Personen nur zu den Ressourcen Zugang haben, welche für die Arbeit benötigt werden.
Ebenso kann im Bedarfsfall gewährleistet werden, dass möglicherweise auch unterschiedliche Verantwortliche in einem physikalischen Netz logisch getrennt voneinander arbeiten können.

Mit Analysemaßnahmen können zusätzlich Angriffe, aber auch Datenabflüsse erkannt und durch weitere technische Datenschutzmaßnahmen verhindert werden. Auch hier ist es wieder wichtig, dass technischen Maßnahmen durch organisatorische begleitet werden, da insbesondere automatisierte Analysen des Netzwerkverkehrs nur dann Wirksamkeit entfalten können, wenn geregelt ist, wer Meldungen auswertet und wie vorzugehen ist.

Echte Hacker kennenlernen?
Gerne zeigen wir Dir bei einer Tasse Kaffee genauer, was ein Penetration Test unserer Auffassung nach bieten muss. Ruf uns einfach an, klassisch aber auch per Kontaktformular!
Zum Kontakt

Identity und Accessmanagement

Mit Hilfe technischer Datenschutzmaßnahmen zum Identity- und Accessmanagement kann das Unternehmen sicherstellen, dass nur berechtigte Personen Zugriff auf personenbezogene Daten erhalten. Identity- und Accessmanagementlösungen setzen dabei auf Maßnahmen zur Identifizierung, Authentifizierung und Autorisierung auf dem Stand der Technik.
ANDERE BEITRÄGE

Inhaltsverzeichnis

Wir verwenden Cookies, um Ihnen die bestmögliche Erfahrung zu bieten. Wenn Sie unsere Website weiterhin besuchen, stimmen Sie der Verwendung von Cookies zu, wie in unserer Datenschutzerklärung beschrieben.