Was ist Verschlusselung?
Verschlusselung bedeutet, Daten in einen unlesbaren Code umzuwandeln. Nur jemand mit dem richtigen Schlussel kann die Daten wieder lesbar machen. Vergleichen Sie es mit einem Tresor: Der Inhalt ist noch da, aber ohne den Code kommen Sie nicht heran.
Die DSGVO erwahnt Verschlusselung in Artikel 32 als eine der empfohlenen Massnahmen zum Schutz personenbezogener Daten. Das macht sie zu einer der wenigen technischen Massnahmen, die das Gesetz namentlich nennt.
Wann ist Verschlusselung notig?
Artikel 32 verlangt “geeignete technische und organisatorische Massnahmen” unter Berucksichtigung des Stands der Technik, der Kosten und des Risikos. Verschlusselung ist nicht in jeder Situation Pflicht, aber in folgenden Szenarien praktisch unvermeidbar:
- Laptops und mobile Gerate, die ausserhalb des Buros genutzt werden
- USB-Sticks und externe Festplatten mit personenbezogenen Daten
- Sensible Daten wie medizinische Informationen, Finanzdaten oder Ausweisnummern
- Daten, die uber das Internet gesendet werden (Formulare, E-Mails)
- Backups, die extern aufbewahrt werden
Drei praktische Schritte
1. Vollverschlusselung auf allen Laptops
- Windows: BitLocker (in Windows Pro und Enterprise integriert)
- Mac: FileVault (in macOS integriert)
- Linux: LUKS
Es kostet nichts extra, verlangsamt Ihren Computer kaum und schutzt Sie bei Diebstahl oder Verlust.
2. TLS auf Ihrer Website
Wenn Ihre Website Formulare enthalt, in denen Besucher personenbezogene Daten eingeben, muss der Datenverkehr mit TLS verschlusselt sein (erkennbar am Schloss und “https” in der Adressleiste).
3. Verschlusselte E-Mail fur sensible Daten
Normale E-Mail ist nicht verschlusselt - vergleichbar mit einer Postkarte, die jeder unterwegs lesen kann.
Optionen:
- Verwenden Sie ein sicheres Nachrichtenportal
- Verschlusseln Sie Anhange mit einem Passwort
- Verwenden Sie S/MIME oder PGP, wenn Ihre Organisation dafur bereit ist
Der grosse Vorteil: weniger Meldepflicht bei Datenschutzverletzungen
Wenn personenbezogene Daten gestohlen werden, aber ordnungsgemaess verschlusselt waren und der Schlussel nicht durchgesickert ist, besteht kein reales Risiko fur die Betroffenen. Die Aufsichtsbehorde wird in der Regel urteilen, dass eine Meldung nicht erforderlich ist.
Ein gestohlener Laptop mit aktiviertem BitLocker? Dokumentieren Sie es in Ihrem Register, aber wahrscheinlich mussen Sie es nicht melden. Derselbe Laptop ohne Verschlusselung? Dann haben Sie eine meldepflichtige Verletzung.
Haufige Fehler
- Verschlusselung aktivieren, aber den Schlussel schlecht verwalten
- Nur die Festplatte verschlusseln, USB-Sticks vergessen
- Denken, ein Passwort auf einer Excel-Datei sei “Verschlusselung”
- Die Website noch auf http laufen lassen
Beginnen Sie heute
Verschlusselung muss nicht kompliziert sein. Beginnen Sie damit, die Festplattenverschlusselung auf allen Laptops zu aktivieren. Das dauert eine halbe Stunde pro Gerat und schutzt Sie sofort.
GDPRWise erfasst, welche Systeme personenbezogene Daten verarbeiten und ob sie angemessen gesichert sind.