Datenschutzprobleme trotz Verschlüsselung?

In einem Gespräch mit unserem Datenschutzbeauftragten gab es kürzlich die Diskussion, inwieweit Dropbox als IT Cloud Speicher für Inhalte mit personenbezogenen Daten genutzt werden darf, wenn die Daten an sich verschlüsselt sind, z.B. in einer TrueCrypt Container Datei. Um eine lange Geschichte abzukürzen: Wir haben Herrn Artur König, angestellt bei der Datev eG und TÜV geprüfter Datenschutzauditor, kontaktiert. Freundlicherweise darf ich seine E-Mail Antwort veröffentlichen. Als wichtiger Hinweis sei gesagt, dass dies seine persönliche Meinung und nicht die der Datev eG wiederspiegelt.

Abschließend sei noch vermerkt, dass er mit der Aussage auch zur weiteren Diskussion aufrufen möchte, damit die Problematik in Zukunft hoffentlich eindeutig geklärt werden kann. Ich hoffe auch auf rege Beteiligung in den Kommentaren durch Datenschützer, Rechtsanwälte und IT Verantwortliche, da ich dem Thema große Bedeutung beimesse.

Ergebnis unserer Evaluierung: Wir haben uns dafür entschieden, dass die Daten in DropBox mit TrueCrypt verschlüsselt abgelegt werden.

 

…wie so oft im Datenschutz gibt es auch hier keine 100%ige Wahrheit. Diese Frage ist noch nicht abschließend geklärt und wurde z.B. beim letzten Treffen der AG Rechtsrahmen des Kompetenzzentrums Trusted Cloud des BMWi diskutiert. Die Unternehmensvertreter in dem Gremium empfahlen, eher von einer Auftragsdatenverarbeitung (ADV) auszugehen, um das Risiko einer anderweitigen Ansicht der Aufsichtsbehörde zu minimieren.

Bei Teamdrive, einer „Cloud-Lösung“ mit verschlüsselter Übertragung und Hinterlegung von Dokumenten gingen die ULD-Gutachter von einem Nicht-Personenbezug aus, wiesen aber darauf hin, dass Teamdrive trotzdem mit den Kunden / Auftraggebern  eine ADV abschließt (siehe hier).

Auch in der sonstigen täglichen Praxis wird die Verschlüsselung oft mit dem Verlust des Personenbezugs gleichgesetzt, da auch die Aufsichtsbehörden der Meinung sind, dass der Verlust eines verschlüsselten Datenträgers keine Datenpanne gemäß §42a darstellt.

Allerdings gibt es auch deutliche Argumente dafür, dass verschlüsselte Daten dennoch personenbezogen sind, so dass ich insgesamt Ihrem DSB (im Zweifel) Recht geben muss:
1.) ein heute als unknackbar geltendes Verfahren, kann in 10 Jahren durchaus knackbar sein – dies darf nicht zu Lasten der Betroffenen gehen, d.h. persönliche Daten sind auch dann zu schützen, wenn sie erst nach Jahren geknackt werden können
2.) es gibt (bis auf das One-Time-Pad, was aber für die Cloud nicht praktikabel wäre) keinen 100%igen mathematischen Beweis für die Sicherheit der heute gängigen Verschlüsselungsverfahren
3.) deshalb würde ich eine Verschlüsselung eher mit einem Safe als mit den Buchstaben-Schnipseln vergleichen, weil es eben einen Weg gibt, das Ganze reversibel zu machen (den Schlüssel)
4.) Auch im BDSG finden sich Hinweise für eine Beibehaltung des Personenbezugs: so spricht das BDSG explizit in der Anlage zu § 9 BDSG bei der Verschlüsselung von einer technischen Maßnahme – und nicht von einem tatbestandsausschließenden Merkmal des BDSG

Dagegen kann man aber auch argumentieren, indem man sich auf §3 Abs. 6 BDSG bezieht, wo von einem „unverhältnismäßig hohen Aufwand“ die Rede ist, den ich bei heute anerkannten Verschlüsselungsverfahren bejahen würde. Wie ich schon sagte, leider ist hier nichts eindeutig, von daher würde ich eine Personenbeziehbarkeit im Zweifel eher bejahen, auch wenn ich mir selbst damit schwer tue, weil man – wenn man diesen Gedanken weiter denkt – theoretisch auch keine E-Mails versenden dürfte…

Dies muss aber nicht bedeuten, dass eine Auslagerung in die Cloud grundsätzlich ausgeschlossen ist! Auch wenn man die Verschlüsselung nur als technische Schutzmaßnahme ansieht, kann damit ein Schutzniveau erreicht werden, bei dem eine Auslagerung zu rechtfertigen wäre. Bei vielen Daten ließe sich die Auslagerung damit vertreten, dass keine schwerwiegenden Beeinträchtigungen drohen, wenn diese geschützten Informationen erst nach 10 Jahren bekannt werden. Es bleibt also bei der Entscheidung im Einzelfall.  Wichtig ist hier aber, dass der Schlüssel nur beim Auftraggeber bleibt und der Dienstleister keinen „Master-Key“ hat.
Für die Auslagerung kaufmännischer Daten wäre noch §146 AO zu erwähnen, wonach die Buchhaltung im Geltungsbereich des deutschen Rechts bzw. EU-Rechts aufzubewahren ist.