Daten verschlüsseln, sonst droht Strafzahlung!

Viele der jüngst durch die britische Datenschutzbehörde verhängten Geldstrafen gegen Unternehmen hätten vermieden werden können, wenn Kundendaten verschlüsselt worden wären.

Das Information Commissioner’s Office (ICO) ist eine unabhängige Behörde des Vereinigten Königreichs, die den Datenschutz überwacht. Sie veröffentlichte neue professionelle Leitlinien für die Verschlüsselung von Daten. Obwohl die Verschlüsselung von Daten im britischen Datenschutzrecht  nicht zwingend vorgeschrieben ist, empfiehlt das ICO Unternehmen, die mit kundenbezogenen Daten arbeiten, sich dringend an den Leitlinien zu orientieren.

„In den letzten Jahren gab es zahlreiche Vorkommnisse, bei denen persönliche Daten gestohlen wurden oder verloren gingen. Auch unbefugte Dritte verschafften sich Zugang. Viele dieser Fälle wurden durch inadäquaten Datenschutz oder einen ungeeigneten Speicherort verursacht – einige Vorfälle durch beides. Der Datenschutzbeauftragte ist der Ansicht, dass in Zukunft regulatorische Maßnahmen an den Stellen ergriffen werden, wo derartige Verluste auftreten und Verschlüsselungssoftware zum Schutz von Daten nicht angewandt wurde“, lässt die Leitung verlauten.

Die Kommissionsleitung verweist auf eine Reihe von Vorfällen, in denen Unternehmen wegen Verletzung des Datenschutzes bestraft wurden. Damals waren persönliche Daten von mehr als 1.000 Menschen betroffen. Darunter auch Personen, die in Verdacht stehen, Beziehungen zur organisierten Schwerkriminalität zu pflegen. Die unverschlüsselten Daten auf den Wechseldatenträgern umfassen aber auch Informationen zu Kindsgefährdungen oder Kindern mit sonderpädagogischem Förderbedarf. Mehr als eine halbe Million Daten auf Back-Up-Festplatten waren für Finanzdienstleister unauffindbar – dazu kamen etwa 20.000 personenbezogene Daten auf zwei Laptops. Zur Erinnerung: Alle Daten waren unverschlüsselt!

Im Datenschutzgesetz des Vereinigten Königreichs von 1998, das von der Datenschutzrichtlinie stammt und sehr ähnlich der Datenschutzgesetzgebung der Europäischen Union ist, heißt es unter Punkt 7:
“Gegen unbefugte Dritte oder rechtswidrige Verarbeitung personenbezogener Daten und gegen den zufälligen Verlust oder Zerstörung oder Beschädigung von persönlichen Daten müssen geeignete technische und organisatorische Maßnahmen getroffen werden.”

Die ICO empfiehlt, dass Unternehmen eine Datenschutz-Folgenabschätzung durchführen, um Risiken für die Privatsphäre ihrer Projekte zu reduzieren. Allerdings sollte eine Verschlüsselung von Daten neben einer Reihe von anderen technischen und organisatorischen Sicherheitsmaßnahmen immer in Betracht gezogen werden.

Image credits: ©Yuri Samoilov/ flickr

Autor , ESET