Eine Arbeitsgruppe der Datenschutzkonferenz (AG DSK) kommt in einer Bewertung zu «Microsoft Onlinediensten» zum Schluss (PDF), dass die Verschlüsselung der verarbeiteten Daten regelmässig nicht möglich sei, beispielsweise wenn Daten im Browser angezeigt werden müssen. Als Anbieter einer Lösung für die Verschlüsselung von personenbezogenen beziehungsweise sensiblen Daten sieht sich die e3 aufgefordert, diese Bewertung kurz zu kommentieren.alten.
Für die meisten Geschäftstätigkeiten eines datenverarbeitenden Providers ist es erforderlich, auf personenbezogene Daten zuzugreifen. Entgegen der landläufigen Meinung ist es aber in aller Regel nicht erforderlich, dass der Provider hierzu unverschlüsselte, nicht pseudonymisierte Daten benötigt. Die Datenverarbeitung kann auch im verschlüsselten Zustand erfolgen. Auch ohne die Daten im Klartext lesen zu können, kann der Provider die überwiegende Mehrheit der vertraglichen Leistungspflichten erfüllen.
«Bring Your Own Encryption»
Ob die Verschlüsselung einen wirklichen Mehrwert für den Datenschutz bringt, hängt dann von drei Faktoren ab: Erstens wer den Schlüssel hält (Nutzer oder Provider), zweitens welcher Verschlüsselungsmechanismus zum Einsatz kommt und drittens wo (beim Nutzer oder Provider) die Verschlüsselung erfolgt. Dies gilt immer auch für die Entschlüsselung, das heisst, die Umwandlung der verschlüsselten Inhalte in Klartext. Geschieht nur einer dieser Aspekte unter der Kontrolle des Providers ohne Datenschutzäquivalenz mit der DSGVO, bringt die Verschlüsselung primär Mehraufwände und kaum Nutzen, das heisst, den gewünschten respektive erforderlichen Datenschutz, mit sich. Viele Provider lassen sich diesbezügliche Massnahmen – oft allerdings nur mit geringem Zusatznutzen (zum Beispiel einer höheren Konformität mit den Gesetzen) – teuer bezahlen. Schlussendlich halten sie aber die Kontrolle über einzelne oder mehrere Komponenten der Verschlüsselung.
Die Lösung für dieses Problem wird unter dem Term «Bring Your Own Encryption» oder kurz BYOE zusammengefasst. Die Lösung bringt mit sich, dass Verschlüsselung und Datenverarbeitung nicht durch denselben Provider, optimalerweise nicht auf derselben Plattform und wenn möglich innerhalb der Landesgrenze (natürlich auch innerhalb der EU) des Data Owners zu erfolgen haben.
Die Krux ist, dass die datenverarbeitenden Provider heute wenig Interesse haben, solche BYOE-Lösungen zu unterstützen. Sie müssten entsprechende Schnittstellen anbieten und sicherstellen, dass die Verarbeitung verschlüsselter Daten noch funktioniert. Der erforderliche Mehraufwand hält viele Provider davon ab. Wir von der e3 meinen: Aus Sicht des Informations- und Datenschutzes im Speziellen und eingedenk der sich verschärfenden geopolitischen Situation im Allgemeinen ist dies unverständlich.
Datenschutz heute und morgen
BYOE-Lösungen sind zwar neu, aber überraschend effektiv – und wenn der Provider «mitmacht» auch ohne funktionale Verluste umzusetzen. BYOE-Lösungen erhöhen die Provider-Kosten um rund 10 bis 20 Prozent, bieten demgegenüber die Vorteile, dass nicht nur die unterschiedlichsten Datenschutz-Regulatorien vieler Länder (gleichzeitig) erfüllt werden können, sondern dass auch auf zukünftige Änderungen einfach und flexibel reagiert werden kann. Angesichts der potenziellen Risiken in diesem Bereich ist eine BYOE-Lösung eine günstige Absicherung gegen Cybercrime und Verletzungen von Privacy Regulatorien. Denn die Kosten aufgrund erfolgreicher Cyber-Attacken oder für die Korrektur nicht Compliance-konformer Vorfälle sind um ein Vielfaches höher.
Lesen sie unter www.centraya.com mehr dazu, was mit einer BYOE-Lösung möglich ist. Nehmen Sie an einem unserer Webinare teil oder buchen Sie einen unverbindlichen Beratungstermin. Mit Centraya lösen Sie Ihre Herausforderungen im Bereich Daten- und Informationsschutz zukunftsgerichtet. Wir unterstützen Sie, Ihre Daten lokal und global, sicher verschlüsselt und Compliance-konform zu verwalten.
DE 
EN 