Vollverschlüsselung schützt vor Cyber-Kriminellen DSGVO und die digitale Kommunikation
22. Juni 2018Kommunikationssysteme sollten grundsätzlich auf Datenschutz ausgelegt sein. Denn dabei kommen immer personenbezogenen Daten mit ins Spiel. Unter dem Aspekt der Konformität zur Datenschutzgrundverordnung (DSGVO) sind das zum einen die Informationen zu den Nutzern, die in den Kommunikationssystemen vorgehalten werden. Und zum anderen geht es aber auch um die Inhalte der Kommunikation, die sich auf personenbezogene Daten beziehen können.
DSGVO-konform
Wollen Unternehmen ihre digitale Kommunikation DSGVO-konform gestalten, müssen sie sich zunächst einmal klar machen, dass sie es dabei mit zweierlei Fällen von personenbezogenen Daten zu tun haben. Das sind zum einen die Informationen zu den Nutzern, die in den Kommunikationssystemen vorgehalten werden, also ihre Kontaktdaten und eventuell weiterführende Informationen wie Berufsbezeichnung, Ausbildung oder akademischer Grad.
Zum anderen können aber auch die Inhalte der Kommunikation personenbezogene Daten aufweisen – etwa, wenn Mitarbeiter in Chats Angaben zu Dritten machen, oder wenn sie Kundenlisten, Bewerbungsunterlagen oder Arbeitsverträge an ihre E-Mails anhängen. Beide Fälle sind zu berücksichtigen.
Der erste Fall, also der Schutz der Nutzerdaten, ist im ersten Schritt vor allem ein organisatorisches Thema. Unternehmen sollten sich einen Überblick verschaffen, welche Daten sie in ihren Kommunikationssystemen vorhalten, ob es für alle davon eine Rechtsgrundlage gibt, gegebenenfalls Einwilligungen einzuholen sind oder ob bestimmte Daten gelöscht werden müssen.
Empfehlenswert ist, derartige Fragen gemeinsam mit Experten abzuklären, die abschätzen können, wie groß das Risiko bestimmter Aspekte ist. Wie die Gerichte die DSGVO auslegen werden, ist naturgemäß noch nicht erprobt. Deshalb ist es sinnvoll, auf die Erfahrungen der Experten in der Umsetzung bisheriger Datenschutzgesetze zurückzugreifen.
Privacy-Vorgaben
Aber auch bei den eingesetzten IT-Systemen sind einige zentrale Aspekte zu beachten, um die persönlichen Daten der Nutzer zu schützen. So sollten Unternehmen Kommunikationssysteme nutzen, die den Prinzipien „Privacy by Design“ und „Privacy by Default“ folgen. Dann können sie die Einhaltung der DSGVO leichter nachweisen. Diese Prinzipien verlangen von einem IT-System, dass es grundsätzlich auf Datenschutz ausgelegt ist und die datensparsamste Variante voreingestellt mitbringt.
Ein Beispiel dafür wären etwa Fehlermeldungen, die ein Kommunikationssystem an seinen Anbieter schickt. Sie sind natürlich wichtig, damit der Anbieter sein System immer weiter verbessern kann. Den beiden Prinzipien folgend sollten sie aber so gestaltet sein, dass der Hersteller nur ablesen kann, von welchem Gerät die Meldungen übermittelt werden, aber nicht, welcher Nutzer konkret dahintersteckt. Außerdem sollten sie so voreingestellt sein, dass sie nicht automatisch verschickt werden, sondern nur, wenn der User dem zu Beginn ausdrücklich zugestimmt hat.
Eine weitere zentrale Anforderung ergibt sich aus dem Recht auf Vergessenwerden, das die DSGVO Personen ausdrücklich einräumt. Verlässt ein Mitarbeiter ein Unternehmen, kann er verlangen, seine personenbezogenen Daten zu löschen, solange dies nicht anderen rechtlichen Vorgaben im Wege steht. Für die digitalen Kommunikationssysteme bedeutet das: Es genügt nicht, wenn sie es nur ermöglichen, den Mitarbeiter zu entfernen und alle seine empfangenen und gesendeten Nachrichten zu löschen.
Er wird dann auch weiterhin noch in den Konversationshistorien anderer Mitarbeiter vorhanden sein, sodass ihm nach wie vor bestimmte Inhalte und Interaktionen namentlich zugeordnet werden können. Deshalb sollte das System die Möglichkeit bieten, Personen rückwirkend zu anonymisieren, beispielsweise durch die Umwandlung ihrer Namen in Personalnummern. Dann erscheint diese Person ab dem Zeitpunkt der Umwandlung in allen historischen Verläufen nicht mehr unter seinem Namen, sondern unter dieser Nummer.
Vollverschlüsselung schützt
Zudem verlangt die DSGVO, personenbezogene Daten auch ausreichend vor dem Zugriff von Cyber-Kriminellen zu schützen. Eine gute Möglichkeit, dies bei der digitalen Kommunikation zu gewährleisten, ist die Vollverschlüsselung. Sie umfasst nicht nur eine Ende-zu-Ende-Verschlüsselung der Daten während ihrer Übertragung, sondern auch die Verschlüsselung sämtlicher ruhender Daten auf Servern und Endgeräten.
Damit sind sowohl die persönlichen Daten der Nutzer geschützt, als auch eventuelle personenbezogene Informationen, die sich in den Inhalten der Nachrichten oder ihren Anhängen befinden. Führen Hacker eine sogenannte „Man in the Middle“-Attacke durch, um Daten während der Übertragung abzugreifen, erhalten sie maximal einen unentschlüsselbaren Datensalat. Dasselbe Ergebnis finden sie vor, wenn es ihnen gelingen sollte, in die Server des Kommunikationssystems oder die Endgeräte der Nutzer einzudringen.
Diese Aspekte zeigen: Nutzen Mitarbeiter Kommunikationsdienste wie WhatsApp oder Slack und Filesharing-Services wie Google Drive oder Dropbox, wird das für die Unternehmen durch die DSGVO endgültig zum unkalkulierbaren Risiko. Sie bieten allesamt keinen ausreichenden Schutz personenbezogener Daten. So liest WhatsApp beispielsweise die Adressbücher der Mitarbeiter inklusive E-Mail-Kontakten und Telefonnummern von Kollegen, Kunden oder Partnern aus und gibt diese Daten an die Konzernmutter Facebook weiter.
Google Drive und Dropbox nutzen nur eine unzureichende Verschlüsselung und erleichtern damit Hackern ihr Handwerk. Zudem sind solche Tools meist US-amerikanischen Ursprungs, womit eine Datenhaltung in den USA einhergeht. Die DSGVO verlangt aber, personenbezogene Daten nicht in Drittländern zu speichern, in welchen ein zu niedriges Datenschutzniveau herrscht. Das ist derzeit mutmaßlich in Ländern außerhalb der EU der Fall. Aus diesen Gründen sollten Unternehmen bei ihrer digitalen Kommunikation dringend auf solche US-amerikanischen Cloud-Dienste verzichten. Sie sollten stattdessen auf europäische Anbieter vertrauen, die ihre Dienste ausschließlich innerhalb der EU hosten und ihre Lösungen auf dem Fundament der DSGVO aufgebaut haben.
Fabio Marti
ist Director Business Development beim Spezialisten für vertrauliche digitale Kommunikation Brabbler AG.