Verschlüsselung außer Sicht

Die DSGVO in der Praxis – eine Jahresbilanz

16.09.2019
Von 


Marcel Mock ist CTO und Mitbegründer des Schweizer Sicherheitsexperten totemo. In dieser Funktion verantwortet er das gesamte technologische Portfolio und berät vorwiegend Großkunden. Davor war er als Head of Software Development bei WebSemantix AG tätig sowie als Consultant bei IBM Deutschland. Er ist Inhaber mehrerer Patente zum Thema E-Mail-Verschlüsselung.
Zum Jahrestag wurde der EU-weit geltende Datenschutz kritisiert und gelobt. Aus dem Blick geriet dabei lediglich etwas, wie praxisrelevant einzelne Aspekte des Regelwerks wirklich sind, so wie die verschlüsselte Kommunikation.

Im Mai 2019 jährte sich zum ersten Mal die "Scharfstellung" der EU-Datenschutz-Grundverordnung (DSGVO), die festlegt, wie Unternehmen und Organisationen die Daten europäischer Bürger erheben und verarbeiten dürfen. Aus diesem Anlass zogen viele Wirtschafts-, Technologie- und Rechtsexperten Bilanz. Im Fokus stand hierbei vor allem, inwieweit der Gesetzgeber einen Rahmen für die digitale Wirtschaft geschaffen hat, bei dem zugleich das Recht des Einzelnen gewahrt wird. Fakt ist: Unternehmen benötigen ein einheitliches Regelwerk, um sensible Informationen sicher und datenschutzkonform zu nutzen, gerade wenn sie grenzüberschreitend tätig sind.

Bereits vor der DSGVO waren Unternehmen nach dem Bundesdatenschutzgesetz verpflichtet, Nachrichten - etwa E-Mails - mit personenbezogenen Daten zu verschlüsseln.
Bereits vor der DSGVO waren Unternehmen nach dem Bundesdatenschutzgesetz verpflichtet, Nachrichten - etwa E-Mails - mit personenbezogenen Daten zu verschlüsseln.
Foto: Antonio Guillem - shutterstock.com

Nun bescheinigen Wirtschaftsjuristen der DSGVO ein hohes Abstraktionsniveau. Übersetzt heißt das: Die Grundverordnung regelt wenig Konkretes, 45 der 99 Artikel handeln rein formale Fragen ab. Außerdem machen die 70 Öffnungsklauseln das Regelwerk komplex. Sie erlauben den Nationalstaaten etwa, ihre eigenen Datenschutzgesetze in der Verwaltung anzuwenden. Dem einheitlichen und verbindlichen Datenschutz für Unternehmen und EU-Bürger könnten so Regeln gegenüberstehen, welche die 28 EU-Länder in ihren Behörden künftig praktizieren.

Innovatives Durchsetzungsrecht und ausbleibende Abmahnwelle

Datenschützer betonen das Durchsetzungsrecht, welches die DSGVO als innovatives Instrument bietet. Bei Datenschutzverstößen können sich Bürger und Unternehmen an die Landesdatenschutzbeauftragten als Aufsichtsbehörde wenden. Im Tätigkeitsbericht des Bundesbeauftragten für Datenschutz und Informationssicherheit (BfDI) für 2017/2018 finden sich 7.293 Selbstanzeigen durch Unternehmen gemäß Artikel 33 DSGVO. Sie sind vom 25. Mai bis 31. Dezember 2018 eingegangen.

Daneben registrierte die Behörde im selben Zeitraum 3.064 Beschwerden über Datenschutzverstöße gemäß Artikel 77 der DSGVO. EU-weit richteten sich die Beschwerden laut "Spiegel-Online" hauptsächlich gegen Werbeanrufe, Werbemails und Videoüberwachungssysteme. Die befürchtete Abmahnwelle blieb bisher aber aus: Der Bundesverband der Deutschen Industrie (BDI) geht von 75 Fällen aus, in denen Strafen von insgesamt 450.000 Euro verhängt wurden.

Lesetipp: Die 10 besten Tipps für eine sichere E-Mail-Verschlüsselung

Allerdings stellt sich die Frage der Verhältnismäßigkeit, wenn für Kegelvereine, den Metzger um die Ecke mit seinen drei Angestellten und IT-Konzerne dieselben Regeln gelten. Außerdem liefert das Regelwerk keine Antworten, wie bei den Zukunftstechnologien Big Data und Künstlicher Intelligenz mit personenbezogenen Daten umzugehen ist. Der BDI betrachtet die beiden Technologien und Datenschutz sogar als Gegensatz und fordert in diesem Zusammenhang europaweite Standards, etwa für die Anonymisierung der Daten. Ansonsten könne es passieren, dass Forschung und Entwicklung auf diesen Gebieten wegen des Datenschutzrechts ins außereuropäische Ausland abwandern.

Praxisrelevantes Verschlüsseln von E-Mails

In der Praxis bereits angekommen ist hingegen das Verschlüsseln von personenbezogenen Daten. Diese Maßnahme führt die DSGVO im Artikel 32 explizit als geeignet auf, um für einen ausreichenden Datenschutz zu sorgen. Bereits vor der DSGVO waren Unternehmen nach dem Bundesdatenschutzgesetz verpflichtet, Nachrichten - etwa E-Mails - mit personenbezogenen Daten zu verschlüsseln.

Eine mögliche Konsequenz bei Nichtbeachtung zeigt der Tätigkeitsbericht des Sächsischen Landesdatenschutzbeauftragten Andreas Schurig von 2015 bis 2017 auf. Er wertet es als Verstoß gegen die Verschwiegenheitspflicht (nach § 203 Strafgesetzbuch), wenn Berufsgeheimnisträger E-Mails unverschlüsselt versenden, obwohl diese personenbezogene Daten enthalten. Umgekehrt entbindet die DSGVO bei Verschlüsselung von der Pflicht, bei Datenschutzverletzungen die betroffenen Personen zu informieren.

Nichtsdestotrotz hat sich das neue Regelwerk auch auf die E-Mail-Verschlüsselung ausgewirkt. Während Unternehmen aus stark regulierten Branchen wie Banken und Versicherungen sowie Pharmaunternehmen schon länger auf eine Ende-zu-Ende-Verschlüsselung setzen, interessieren sich aktuell insbesondere der Handel und die Lebensmittelindustrie für solche Lösungen.

Lesetipp: Diese Daten sollte jedes Unternehmen verschlüsseln

Hintergrund ist, dass viele große Handelsketten mit den Lebensmittelherstellern nur verschlüsselt kommunizieren wollen, um sich in Bezug auf Bestellmengen, Preise und andere Konditionen nicht in die Karten schauen zu lassen. Überdurchschnittlich hohes Interesse zeigen daneben viele kleinere und mittlere Unternehmen, darunter Notare und Ärzte, die zu den erwähnten Berufsgeheimnisträgern zählen.

Außerdem zeichnet sich noch ein weiterer Trend ab: Unternehmen, die bereits E-Mail-Verschlüsselung einsetzen, suchen eine Lösung, die mehr Funktionalität bietet. Schließlich wollen sie alle möglichen Szenarien DSGVO-konform abdecken. Oft paart sich dieser Anwenderwunsch mit dem Bestreben, die E-Mail-Anwendung in der Cloud zu hosten.

Zudem drängen immer mehr Anbieter auf den Markt, die andere sichere Kommunikationsmittel ins Spiel bringen. Allerdings entpuppen sich viele der Innovationen als Insellösungen, da sie nicht auf allgemeingültigen Standards basieren und aufgrund ihrer mangelnden Verbreitung den Kommunikationsfluss im Geschäftsalltag eher hemmen als beschleunigen. Analog gibt es zwar sichere Messenger, die sich jedoch nicht als Alternative gegen den Platzhirsch WhatsApp durchsetzen können.

Lesetipp: Phishing- und Ransomware-Attacken

Insofern kann gerade die E-Mail durch ihre Omnipräsenz punkten. Sie ist auch ein sicheres Kommunikationsinstrument, wenn die Verschlüsselung benutzerfreundlich sowie einfach zu administrieren ist und sowohl eine Transport- als auch Inhaltsverschlüsselung greift. Bei einer Cloud-basierten E-Mail-Anwendung gilt es, verschlüsselte Daten und Schlüssel getrennt voneinander aufzubewahren, so dass der Cloud Provider die Daten nicht selbst entschlüsseln kann. Die Verschlüsselung sollte also direkt am Endgerät erfolgen, bevor Nachrichten in die Cloud gehen.

Standards setzen

Die DSGVO wird uns weiter beschäftigen und neue Fragen aufwerfen, die sich in der Praxis ergeben. Jedoch kann man dem BDI in seiner generellen Einschätzung zustimmen. Dieser sieht mit dem Regelwerk den Grundstein gelegt für einen gemeinsamen Markt in der Digitalisierung und sagt voraus: Die DSGVO habe das Zeug, sich zu einem weltweiten Standard zu entwickeln. Dem ist lediglich hinzuzufügen, dass es im Kleinen anfängt und gelebt werden muss - wie bei der E-Mail-Verschlüsselung.