{"id":392,"date":"2013-03-22T08:16:05","date_gmt":"2013-03-22T08:16:05","guid":{"rendered":"http:\/\/www.wiesbadener-kreis.de\/?p=392"},"modified":"2013-03-22T08:16:05","modified_gmt":"2013-03-22T08:16:05","slug":"verschlusselung-personenbezogener-daten","status":"publish","type":"post","link":"http:\/\/www.wiesbadener-kreis.de\/?p=392","title":{"rendered":"Verschl\u00fcsselung personenbezogener Daten"},"content":{"rendered":"<p>Infolge der mittlerweile ber\u00fchmten \u201eRaucherpause\u201d waren aus einem Klinikum in Baden-Baden \u00fcber 200\u00a0000 Datens\u00e4tze von Patienten verschwunden, so dass das Klinikum gem\u00e4\u00df \u00a7 42a BDSG entsprechende Anzeigen in zwei \u00fcberregionalen Tageszeitungen (\u201eDie Welt\u201c, \u201eFrankfurter Rundschau\u201c) schalten musste (vgl. <a href=\"http:\/\/kurzlink.de\/raucherpause\">http:\/\/kurzlink.de\/raucherpause<\/a>). Es handelte sich um drei Datensicherungskassetten, die ein Mitarbeiter vom Serverraum zum Tresor bringen sollte, und die er nach einer Zigarettenpause schlichtweg vergessen hatte. Hier stellt sich nun die Frage, was w\u00e4re gewesen, wenn diese Daten verschl\u00fcsselt gespeichert worden w\u00e4ren? In der Tat ist es so, dass es sich nach dem jetzigen BDSG f\u00fcr den \u201eEmpf\u00e4nger\u201c, wer auch immer dies sein mag, \u00a0nicht um personen\u00adbezogene Daten gehandelt h\u00e4tte, da dieser keine M\u00f6glichkeit h\u00e4tte, einen Personenbezug herzustellen (subjektive Betrachtungsweise des BDSG, vgl. Art.-29-Gruppe, Arbeitspapier 136). Damit w\u00e4re \u00a7\u00a042a BDSG nicht anwendbar, man h\u00e4tte sich viele Kosten erspart! Dies ist auch dann der Fall, falls z. B. ein USB-Stick oder ein Laptop mit verschl\u00fcsselten personen\u00adbezogenen Daten verlorengeht: Hier besteht zun\u00e4chst keine Anzeigepflicht nach \u00a7\u00a042a BDSG. Schaut man allerdings auf das Europarecht (z. B. Art. 4\u00a0(1) des Entwurfs der Europ\u00e4ischen Daten\u00adschutz-Grund\u00adverord\u00adnung), sieht es anders aus: Hier sind alle Mittel des Verant\u00adwor\u00adtlichen oder eines Dritten heranzuziehen; damit w\u00e4ren dann die Daten wieder zu entschl\u00fcsseln und also personenbezogen.<\/p>\n<p>Interessant ist in diesem Zusammenhang die Frage, ob es bei verschl\u00fcsselten personenbezogenen Daten zum sicheren L\u00f6schen dieser Daten ausreichend ist, den Schl\u00fcssel sicher zu l\u00f6schen, da dann niemand mehr die M\u00f6glichkeit h\u00e4tte, \u00a0die Daten zu entschl\u00fcsseln und einen Personenbezug herzustellen. Das w\u00e4re auch eine bequeme L\u00f6sung, falls die Daten an verschiedenen Stellen redundant aufbewahrt werden: Mit dem (verh\u00e4ltnism\u00e4\u00dfig einfachen) L\u00f6schen des Schl\u00fcssels w\u00e4ren alle Daten gel\u00f6scht! Einen Haken gibt es hierbei aber doch: es ist n\u00e4mlich nicht klar, ob nicht etwa schlaue Mathematiker in naher oder ferner Zukunft einen Algorithmus zum \u201eKnacken\u201c dieser Verschl\u00fcsselung finden, ganz ausge\u00adschlossen ist das jedenfalls nicht!<\/p>\n<p>Insgesamt ist es aber zu empfehlen, personenbezogene Daten generell zu verschl\u00fcsseln (h\u00e4ufig ist es ohnehin vorgeschrieben, z. B. bei E-Mails), soweit das m\u00f6glich ist, jedenfalls ist eine Verlangsamung aufgrund der erh\u00f6hten Rechenleistung heute kaum mehr ein Argument. Allerdings lassen sich verschl\u00fcsselte Daten (heute noch) nicht verarbeiten, dazu m\u00fcssen sie jeweils wieder entschl\u00fcsselt werden, was gerade beim Cloud-Computing ein erheblicher Nachteil ist. Werden die Daten aber nur zum Speichern und\/oder Verteilen in die Cloud geschickt (z. B. mit \u201eDropbox\u201c), sollten sie in jedem Fall verschl\u00fcsselt werden!<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Infolge der mittlerweile ber\u00fchmten \u201eRaucherpause\u201d waren aus einem Klinikum in Baden-Baden \u00fcber 200\u00a0000 Datens\u00e4tze von Patienten verschwunden, so dass das Klinikum gem\u00e4\u00df \u00a7 42a BDSG entsprechende Anzeigen in zwei \u00fcberregionalen Tageszeitungen (\u201eDie Welt\u201c, \u201eFrankfurter Rundschau\u201c) schalten musste (vgl. http:\/\/kurzlink.de\/raucherpause). Es handelte sich um drei Datensicherungskassetten, die ein Mitarbeiter vom Serverraum zum Tresor bringen sollte, und &hellip; <\/p>\n<p class=\"link-more\"><a href=\"http:\/\/www.wiesbadener-kreis.de\/?p=392\" class=\"more-link\"><span class=\"screen-reader-text\">\u201eVerschl\u00fcsselung personenbezogener Daten\u201c <\/span>weiterlesen<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[1],"tags":[],"_links":{"self":[{"href":"http:\/\/www.wiesbadener-kreis.de\/index.php?rest_route=\/wp\/v2\/posts\/392"}],"collection":[{"href":"http:\/\/www.wiesbadener-kreis.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/www.wiesbadener-kreis.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/www.wiesbadener-kreis.de\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/www.wiesbadener-kreis.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=392"}],"version-history":[{"count":2,"href":"http:\/\/www.wiesbadener-kreis.de\/index.php?rest_route=\/wp\/v2\/posts\/392\/revisions"}],"predecessor-version":[{"id":394,"href":"http:\/\/www.wiesbadener-kreis.de\/index.php?rest_route=\/wp\/v2\/posts\/392\/revisions\/394"}],"wp:attachment":[{"href":"http:\/\/www.wiesbadener-kreis.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=392"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/www.wiesbadener-kreis.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=392"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/www.wiesbadener-kreis.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=392"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}