26.11.2014 — RA Hans Sebastian Helmschrott, LLM Eur.

Verschlüsselung von Daten beseitigt nicht datenschutzrechtliche Anforderungen

Beseitigt Verschlüsselung datenschutzrechtliche und strafrechtliche Probleme in der Cloud?

1.            Hintergrund

Nach § 4 BDSG bedarf die Verarbeitung personenbezogener Daten einer gesetzlichen Erlaubnis. Unter Verarbeitung fällt auch die Übermittlung von Daten an Dritte und deren Speicherung durch Dritte, § 3 Abs. 4 Nr. 3 BDSG. Damit bedarf die Benutzung von Cloud Diensten einer gesetzlichen Erlaubnis, sofern vom Cloud Dienst auch personenbezogene Daten betroffen sind, was in aller Regel beim Einsatz von Cloud-Diensten durch Unternehmen der Fall ist.

Zwar wird das Problem im Kontext von EU-Clouds in der Regel nicht virulent, da durch Vereinbarung sogenannter Auftragsdatenverarbeitungsvereinbarungen (ADV) nach § 11 iVm § 3 Abs. 8 BDSG fingiert wird, der Auftragnehmer sei datenschutzrechtlich dem Auftraggeber zuzuordnen, sodass es an einer zu rechtfertigenden Übermittlung mangelt. Dies beseitigt jedoch nicht die Erlaubnispflicht für die weiteren Verarbeitungshandlungen, insbesondere der Speicherung. Vor allem aber im Bereich von Cloud-Lösungen außerhalb der EU wird das Problem virulent, und zwar selbst dann wenn die sog. EU Standard Terms vereinbart sind und/oder aufgrund anderer Bestimmungen im Drittstaat ein vergleichbares Datenschutzniveau besteht.

Dazu ist es für bestimmte Berufsgruppen wie Ärzte, Anwälte etc. nach § 203 StGB strafbar, Dritten das Bestehen einer Mandats- oder sonstigen Vertragsbeziehungen mit dem Mandanten/Patienten etc. zu offenbaren. Dies gilt zB für Krankenhäuser, bei denen riesige Mengen an Patientendaten anfallen, die der Speicherung bedürfen.

2.            Die Diskussion

Anbieter von Cloud-Lösungen argumentieren häufig damit, ihre Lösung sei völlig unproblematisch, da aufgrund einer Verschlüsselung der Daten die vorstehenden Probleme gegenstandslos seien.

Hier ist zunächst zwischen den beiden vorgenannten Themenkomplexen zu unterscheiden.

Soweit datenschutzrechtliche Belange betroffen sind wird teilweise behauptet, durch die Verschlüsselung entfalle bereits der Personenbezug der Daten, da diese für den Empfänger lediglich Datenschnipsel seien und eben keine Auslesung von Informationen über eine Person zuließen. Mangels Personenbezug unterläge die Verarbeitung solcher Daten auch nicht den Bestimmungen des Datenschutzrechtes. Diese „subjektive“ Theorie stellt also darauf ab, ob die Daten für den konkreten Empfänger/Verarbeiter Personenbezug haben, oder nicht.

Diese Meinung ist jedoch wenig belastbar. Angesichts der OWI-Tatbestände des BDSG kann sich ein Unternehmer bereits aus Risikogesichtspunkten nicht auf diese Meinung verlassen.

Überzeugender sind ohnehin die Argumente der sog. „objektiven“ Theorie, nach denen es allein darauf ankommt, ob „irgendwer“ den Personenbezug herstellen kann.

Zwar überzeugen nicht alle Argumente der Anhänger dieser Theorie. So soll zB aus dem Umstand, dass die Verschlüsselung eine der im BDSG (bzw. dessen Anhang) erwähnten technisch-organisatorischen Maßnahmen (sog. TOMs) erwähnt wird, die ein Verarbeiter von personenbezogenen Daten erfüllen muss, folgen, dass durch die Verschlüsselung der Personenbezug nicht entfallen kann. Ansonsten, so die Vertreter dieser Theorie, bestünde mangels Personenzug gar keine Notwendigkeit zur Einführung solcher TOMs. Dem ist aber zu entgegnen, dass die vom BDSG gemeinte Verschlüsselung eine Verschlüsselung der Daten durch den Auftragnehmer ist. Wenn dieser also den Schlüssel zu den Daten besitzt, d.h. eine „Server-seitige“ Verschlüsselung erfolgt, besteht in jedem Fall Personenbezug, auch nach Meinung der „subjektiven“ Theorie.

Jedoch ist richtig, dass selbst aktuelle Verschlüsselungen immer einem „Verfallsdatum“ unterliegen und irgendwann „geknackt“ werden können. Auch der Umstand, dass dann eben neu verschlüsselt werden kann bzw. immer eine aktuelle, sichere Verschlüsselung zu wählen ist, hilft vor dem Hintergrund evt. bereits erfolgter Kopier- und Speichervorgänge des „alten“ Datensatzes nichts. Die Verschlüsselung führt also zwar dazu, dass die personenbezogenen Daten in einer „Hülle“ transportiert werden, ändert aber an ihrer Natur als personenbezogene Daten nichts.

Dies ergibt sich mittelbar auch aus § 3 Abs. 6 BDSG. Demnach unterfallen Daten, die so verändert wurden, dass die personenbezogenen Einzelangaben nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft ermittelt werden können, weiterhin als „anonymisierte Daten“ dem BDSG. Dies ist mit verschlüsselten Daten vergleichbar.

Aus datenschutzrechtlicher Sicht ändert die Verschlüsselung also nichts an dem Umstand, dass es sich bei den verschlüsselten Daten weiterhin um personenbezogene Daten handelt, für deren Übermittlung und Verarbeitung in der Cloud ggfs. - außerhalb einer Auftragsdatenverarbeitung in der EU - einer gesetzlichen Erlaubnis bedarf.

Muss sich der Unternehmer nun aber auf einen solchen Erlaubnistatbestand berufen, insbesondere die Generalnorm des § 28 BDSG, wirkt sich die Verschlüsselung aus. Denn nach § 28 BDSG darf ein Unternehmer Daten verarbeiten und an Dritte übermitteln, wenn dies zur Wahrung seiner Geschäftsinteressen erforderlich ist und dem nicht überwiegende Interesse des Betroffenen entgegenstehen. Insbesondere bei der hiernach zu erfolgenden Interessenabwägung ist der Umstand der Verschlüsselung und damit der erhöhten Zugriffssicherheit zugunsten des Unternehmers zu berücksichtigen.

Anders ausgedrückt führt eine durch ihn initiierte „end-to-end“ Verschlüsselung zwar nicht zum Wegfall des datenschutzrechtlichen Regimes, erleichtert dem Unternehmer dessen Erfüllung aber.

Aus strafrechtlicher Betrachtung kommt es alleine darauf an, ob dem Dritten, hier dem Cloud Anbieter, also etwas offenbart wurde. Hier lässt sich oben genannte „subjektive“ Theorie leichter begründen, da es hier tatsächlich auf die  Wahrnehmbarkeit durch den konkreten Empfänger ankommt.

Aus strafrechtlichen Gesichtspunkten, jedoch nicht aus datenschutzrechtlichen Gesichtspunkten, überzeugt die Argumentation der Cloud Anbieter.

3.            Fazit

Die werblichen Behauptung von Cloud-Anbietern, die Möglichkeit der Verschlüsselung von Daten in der Cloud führe zur Beseitigung aller datenschutzrechtlicher Probleme, greift zu kurz und sind mit Vorsicht zu genießen. Zwar kann eine Verschlüsselung helfen, im Rahmen des Datenschutzes erforderliche Abwägungen zugunsten des Cloud Anwenders ausgehen zu lassen. Grundsätzlich bleibt das Erfordernis einer datenschutzrechtlichen Rechtfertigung oder der Abschluss flankierender Verträge (ADV) jedoch auch trotz Verschlüsselung erhalten.

Die strafrechtliche Bewertung, die aber nur für Berufsgeheimnisträger wie Anwälte, Ärzte, Krankenhäuser etc. relevant ist, kann aufgrund des anderen Blickwinkels anders ausfallen.

Wichtig ist aber für beide Bereiche, das entscheidend bleibt, wer den (oder einen) Schlüssel für die verschlüsselten Daten besitzt. Ist dies der Cloud Anbieter oder hat sich dieser ein „Hintertürchen“ offengehalten, fällt die Wertung sowohl datenschutzrechtlich als auch strafrechtlich negativ aus.

Dieser Beitrag wurde veröffentlicht unter IT-Recht, Tags: Datenschutzrecht, Auftragsdatenverarbeitung, Verschlüsselung, Cloud Computing, CaaS, SaaS