Eine sensible Angelegenheit: So handhaben Sie sensible personenbezogene Daten im Einklang mit der DSGVO
„Wenn Sie in Zeiten vor der DSGVO zu einem der größeren Datenverarbeiter gehörten und Ihnen ein Bußgeld auferlegt wurde, handelte es sich dabei um einen Rundungsfehler: Die Summe würde noch nicht einmal ausreichen, um die Firmenweihnachtsfeier zu bezahlen. Heutzutage werden jedoch Bußgelder verhängt, die in die Milliarden Euros gehen“, erklärte der Vorsitzende der Datenschutz- und Sicherheitsgruppe für DLA Piper UK Ross McKean Anfang dieses Jahres im Gespräch mit CNBC. Und das ist keine Übertreibung. Gemäß einer aktuellen Studie der Rechtsanwaltskanzlei sind die Geldstrafen für Verstöße gegen das Datenschutzgesetz der EU im vergangenen Jahr um das Siebenfache gestiegen. Insgesamt haben die Datenschutzbehörden des Blocks seit letztem Januar Bußgelder in Höhe von rund 1,25 Milliarden US-Dollar verhängt, was im Vergleich zum Vorjahr einen Anstieg von 180 Millionen US-Dollar darstellt.
Laut McKean lässt sich eines mit Sicherheit sagen: Die DSGVO hat bewirkt, dass alle Habachtstellung angenommen haben und den Datenschutzgesetzen und deren Vollstreckung Aufmerksamkeit schenken. Daran besteht kein Zweifel. Aber Fortschritte im Bereich der Technologie und insbesondere der Datenanalytik erschweren es zunehmend, dass die Gesetze klar kommuniziert und verstanden werden.
So entwickeln z. B. Versicherungsgesellschaften inzwischen Punktesysteme und Modelle für die Versicherbarkeit, die auf umfangreichen Sammlungen öffentlich zugänglicher und privater Daten basieren, erklärt George Tziahans, Experte für Information Governance. Diese Datensätze bieten einige der aufschlussreichsten Einblicke in die Gewohnheiten, Verhaltensweisen und personenbezogenen Daten von Einzelpersonen, aber führen auch zu einem ganz neuen Level informationssicherheitsbezogener Risiken. Tziahans betont: „All diese Daten sind wertvoll für die Entwicklung von Risikomodellen und dem Dienst am Kunden. Im gleichen Atemzug generieren sie jedoch eine Unmenge höchst sensibler privater Informationen.“
Da der vierte Jahrestag des Inkrafttretens der DSGVO vor der Tür steht, möchten wir noch einmal auf zwei grundlegende Konzepte der DSGVO zurückkommen: sensible personenbezogene Daten und personenbezogene Daten. Wir werden Ihnen einige eindeutige Beispiele für sensible personenbezogene Daten geben sowie einige, die eher Auslegungssache sind – und Ihnen erklären, wie Daten besonderer Kategorien rechtmäßig zu handhaben sind.
Was sind sensible personenbezogene Daten und – ebenso wichtig – was nicht?
Sensible personenbezogene Daten sind eine besondere Kategorie personenbezogener Daten, die Aufschluss über die rassische und ethnische Herkunft, die Vermögensverhältnisse, die politische Überzeugung, die weltanschauliche Haltung, Religion, Gewerkschaftsmitgliedschaft oder sexuelle Orientierung einer Person geben oder deren Gesundheitszustand, Sexualleben sowie genetische und biometrische Daten betreffen. Diese Daten genießen im Zuge der DSGVO besondere Berücksichtigung und Sicherung, da sie zur gesellschaftlichen Stigmatisierung oder Diskriminierung führen können. Viele Menschen sind in dem Glauben, dass die DSGVO sich ausschließlich mit sensiblen personenbezogenen Informationen befasst. Laut der DSGVO-Definition für personenbezogene Daten handelt es sich bei diesen jedoch um sämtliche Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, unabhängig von der Art der Informationen.
Trotzdem kann die Unterscheidung zwischen sensiblen und nicht sensiblen Daten genauso schwammig sein, wie die zwischen personenbezogenen und nicht personenbezogenen Informationen.
Zum Beispiel behauptet eine kürzlich erschienene Studie, dass es mit einer Trefferquote von 81% möglich ist, die sexuelle Orientierung einer Person mithilfe einer Gesichtsaufnahme zu erkennen. Sollten Fotos von Gesichtern also als sensibel angesehen werden? Technisch gesehen hängt dies vom Konfidenzniveau der Prognose ab. Ist der Stromverbrauch einer Person sensibel? Er kann es sein, da er oftmals auf religiöse Aktivitäten schließen lässt (z. B. verbrauchen jüdische Menschen am Schabbat weniger Elektrizität). Ist eine Videoaufnahme einer Person sensibel? Sie kann es sein, da mithilfe von ausgeklügelten Bildverarbeitungstechniken anhand von Variationen in der Hautfarbe einer Person deren Pulsrate ermittelt werden kann – und eine abnormale Pulsfrequenz der Vorbote einer Vielzahl von Krankheiten sein kann.
Gemäß der DSGVO geben all diese Daten Aufschluss über den Gesundheitszustand, das Sexualleben oder gar die Religion einer Person. Und aus diesem Grund sollten sie alle als sensibel eingestuft werden.
Sensible Daten vs. personenbezogene Daten vs. vertrauliche Daten: Worin liegt der Unterschied?
In der DSGVO werden personenbezogene Daten als alle Informationen definiert, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, also wie Vor- und Nachname, Privatanschrift, Personalausweisnummer, Standortdaten auf Mobiltelefonen, IP-Adresse, Cookie-ID, Werbekennung und so weiter. Wenn beispielsweise ein medizinischer Datensatz den Namen, den Herkunftsort und die medizinische Diagnose des Patienten enthält, dann handelt es sich bei einem Eintrag (oder einer „Zeile“) innerhalb diesen Datensatzes um personenbezogene Daten, wenn der Patient, zu dem dieser Datensatz gehört, mit diesen Informationen identifiziert werden kann – also jeder mit Zugriff auf diesen Datensatz diesen dem Patienten zuordnen kann.
Aber Vorsicht: Die erste Regel der DSGVO-Datenklassifizierung ist, dass nicht alles so ist, wie es zu sein scheint.
Rec# | Name | Hometown | Diagnosis |
1 | Jerry Bilbo | LA | Meningitis |
2 | Tom Sawyer | NO | Prostate cancer |
3 | Carl Schwartz | LA | Bronchitis |
4 | John Smith | NYC | Alzheimer |
… | … | … | … |
Table 1. Perhaps non-personal data
Rec# | Hometown | Diagnosis |
1 | LA | Meningitis |
2 | LA | Prostate cancer |
3 | NO | Bronchitis |
4 | NYC | Alzheimer |
… | … | … |
Table 2. Perhaps personal data
Sie würden vielleicht davon ausgehen, dass Tabelle 1 personenbezogene Daten enthält, da die Namen der einzelen Personen in jedem Eintrag gespeichert sind. Jedoch kann es innerhalb der Bevölkerung (in unserem Beispiel einer Stadt) mehrere natürliche Personen mit dem gleichen Namen geben, von denen jedoch nicht alle in dem Datensatz enthalten sind. Wenn es also z. B. mehrere Einwohner in New York City mit dem Namen John Smith gibt, dann handelt es sich bei Datensatz #4 möglicherweise nicht wirklich um personenbezogene Daten. Wenn diese Daten in die Hände eines Hackers gelangen, könnte dieser nicht identifizieren, um welchen Einwohner New Yorks es sich hierbei handelt.
Und um den Schutz personenbezogener Daten noch ein wenig undurchsichtiger zu machen: Nur weil ein Datensatz nicht die Namen von natürlichen Personen enthält, bedeutet dies noch lange nicht, dass es sich nicht um personenbezogene Informationen handelt. Stellen Sie sich einmal vor, dass ein weiterer Hacker sich Zugriff auf Tabelle 2 und Tabelle 3 verschafft. Letztere enthält demografische Daten von Personen, inklusive die einiger Patienten aus Tabelle 2. Nun kann dieser Hacker sehen, dass es drei Personen mit dem Namen John Smith in New York City gibt, jeweils im Alter von 26, 35 und 65 Jahren. Da Alzheimer nur in extrem seltenen Fällen junge Menschen betrifft, ist es somit sehr wahrscheinlich, dass Eintrag #4 in Tabelle 2 zu Eintrag #3 in Tabelle 3 gehört.
Der Hacker kann nun die Person mit dem Namen John Smith in Tabelle 2 auf einfache und eindeutige Weise identifizieren, wenn Tabelle 3 alle natürlichen Personen mit dem Namen John Smith in New York City enthält, indem er die Informationen zu Wohnort und Geburtsdatum kombiniert.
Rec# | Name | SSN | Hometown | Date of birth |
1 | Susan Smith | 2346758913 | NO | 12/12/1965 |
2 | John Smith | 4545454323 | NYC | 01/03/1991 |
3 | John Smith | 8375835937 | NYC | 08/05/1952 |
4 | John Smith | 3548469234 | NYC | 28/11/1982 |
5 | Ursula Mayden | 3484756773 | LA | 30/11/1954 |
… | … | … | … | … |
Table 3. All people in a city
Der Hacker kann nun die Person mit dem Namen John Smith in Tabelle 2 auf einfache und eindeutige Weise identifizieren, wenn Tabelle 3 alle natürlichen Personen mit dem Namen John Smith in New York City enthält, indem er die Informationen zu Wohnort und Geburtsdatum kombiniert.
Nun wundern Sie sich sicherlich: Wenn der zweite Hacker die Person hinter Eintrag #4 in Tabelle 2 identifizieren kann, aber dies dem ersten Hacker nicht gelingt, handelt es sich bei diesem Eintrag dann um personenbezogene Daten im Sinne der DSGVO oder nicht? Die Antwort ist hier in der Plausibilität des zweiten Hackerangriffs zu finden. Wenn die Wahrscheinlichkeit besteht, dass der zweite Hacker sich sowohl Zugriff auf Tabelle 1 als auch auf Tabelle 2 verschaffen kann, dann sind Eintrag #4 und Tabelle 1 als personenbezogene Daten von John Smith aufzufassen.
Bei sensiblen personenbezogenen Daten handelt es sich um eine Untergruppe von personenbezogenen Daten, die besondere Kategorien personenbezogener Daten umfasst, die bestimmten Verarbeitungsbedingungen unterliegen und unter besonderen Sicherheitsvorkehrungen gehandhabt werden müssen. Beispiele für sensible Daten sind Gewerkschaftsmitgliedschaft, biometrische Daten wie Gesichts-, Stimm-, Handflächen-, Retina- oder Ohrerkennung, Gesundheitsdaten wie die medizinische Vorgeschichte oder Fitness-Tracker-Daten, genetische Daten wie DNA und RNS und sämtliche Informationen, die die rassische und ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugungen oder sexuelle Orientierung einer Person preisgeben.
Dies bringt uns zu vertraulichen Daten und genauer gesagt dazu, wie sie sich von sensiblen Daten unterscheiden.
Bei vertraulichen Daten handelt es sich um eine breiter gefasste Kategorisierung aller Informationen, die von kommerziellem Wert sind und deren Offenlegung, Änderung oder Verlust der Wettbewerbsposition des Dateninhabers erheblichen Schaden zufügen könnte. Infolgedessen umfassen vertrauliche Daten mehr als nur personenbezogene Daten. In allen Organisationen sollten Verträge, Buchhaltungsinformationen, Geschäftsprozesse und selbst Quellcodes als vertrauliche Daten angesehen werden. Vertraulichkeit wird generell auf der Basis des potenziellen Schadens, der dem Dateninhaber entstehen kann, wenn die Daten in die falschen Hände gelangen, ermessen.
Komplexe und unstrukturierte Daten: Es ist kompliziert!
Um noch einmal auf das Thema der Datensammlung und deren Implikationen auf den Schutz sensibler Daten zurückzukommen: An dieser Stelle ist es wichtig anzumerken, dass die meisten Datensätze im Zeitalter von Big Data unzählige Nutzerattribute miteinander verschmelzen – von den Dingen, die der Nutzer gekauft hat, über den Ort, an dem sie gekauft wurden, bis hin zur Kreditkarte, die für die Kaufabwicklung verwendet wurde. Je komplexer der Datensatz, desto leichter lässt sich die Person identifizieren.
Stellen Sie sich einmal einen Datensatz vor, der aus Kreditkartentransaktionen besteht. Er beinhaltet den Tag und den Standort der Kreditkartenzahlungen – u. a. auch vier von John ausgeführte Transaktionen. Wenn ein Hacker den ungefähren Standort und Tag von Johns Transaktionen kennt, ist es sehr wahrscheinlich, dass nur Johns Datensatz diese vier Transaktionen beinhaltet. Somit wird ein Hacker mit diesem Wissen Johns Datensatz finden können, selbst wenn Johns Name, Anschrift und Kreditkartennummer mittels Pseudonymisierung aus dem Datensatz entfernt wurden.
Ist es also möglich, dass ein Hacker sich auf diese Weise Zugriff auf Johns Datensatz verschafft? Ja, das ist es. Studien haben gezeigt, dass bereits vier Transaktionen ausreichen, um einen einzigartigen Datensatz in einem Datensatz von 1,1 Millionen Personen mit einer Treffergenauigkeit von 90% zu identifizieren. Aber das ist noch nicht alles. Eine weitere Studie hat herausgefunden, dass 6-8 von einer Person angesehene Filme ebenfalls als Identifikator dienen können, um diese Person unter 500.000 Netflix-Nutzern zu identifizieren. Für die Re-Identifikation können die Datensätze mit IMDb verglichen werden, wo Personen oftmals Filme unter Verwendung ihres echten Namens bewerten.
Aber lassen Sie uns nicht vergessen, dass strukturierte Daten nur ein Teil im Puzzle des vollständigen Datenbilds sind.
Im Gegensatz zu ihrem strukturierten Gegenstück sind unstrukturierte Daten nicht klassifiziert oder organisiert – oder klassifizierbar und organisierbar. Dazu gehören E-Mails, Kundenrezensionen, Blogbeiträge, Social-Media-Statusangaben oder Video-, Audio- und Protokolldateien. So kann z. B. die Schlagzeile „Person verkauft Mustang in Innsbruck“ in einer Zeitung als personenbezogene Daten angesehen werden, besonders dann, wenn es in ganz Innsbruck nur eine Person im Besitz eines Mustangs gibt. Auch der Quellcode einer Software kann so eingestuft werden, selbst wenn keine direkten Informationen zur Urheberschaft enthalten sind, da Entwickler meist einen einzigartigen Programmierungsstil haben.
Rechtliche Bedingungen für die Verarbeitung sensibler personenbezogener Daten
Gemäß der Europäischen Kommission, können Organisationen nur dann sensible Daten verarbeiten, wenn eine der folgenden Bedingungen erfüllt wird:
- Die ausdrückliche Einwilligung der Person wurde eingeholt.
- Eine Organisation wird von Rechts wegen dazu verpflichtet, die Daten zu verarbeiten.
- Die lebenswichtigen Interessen der Person sind gefährdet.
- Es handelt sich um eine Organisation ohne Gewinnerzielungsabsicht, die Daten von Mitgliedern verarbeitet.
- Die personenbezogenen Daten wurden von der Person öffentlich gemacht.
- Die Daten werden zur Geltendmachung eines Rechtsanspruchs benötigt.
- Die Daten werden aus Gründen eines erheblichen öffentlichen Interesses, für die Zwecke der Gesundheitsvorsorge oder Arbeitsmedizin, eines öffentlichen Interesses im Bereich der öffentlichen Gesundheit, für Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zweche verarbeitet.
Weitere Details zu den DSGVO-Bedingungen für die Datenverarbeitung könnenhiernachgelesen werden..
Um ein häufig auftretendes Missverständnis aus dem Weg zu räumen: Eine Einwilligung der Person sollte nicht das A und O für DSGVO-konforme Datenverarbeitung darstellen. Tatsächlich sollte es sich dabei um Ihre letzte Option handeln, auf die Sie zurückgreifen, wenn keine andere rechtliche Grundlage für die Datenverarbeitung existiert. So benötigen Sie möglicherweise personenbezogene Daten einer Person, um einen Vertrag zu erfüllen, wie dies oftmals der Fall ist. Wenn Sie diese Daten auf der Einwilligung Ihres Kunden basierend verarbeiten, werden Sie Ihren Vertragspflichten von dem Augenblick an nicht länger nachkommen können, in dem der Kunde seine Einwilligung entzieht.
Technische Kontrollmaßnahmen für den bestmöglichen Schutz sensibler Daten
1. Minimieren Sie mit Ende-zu-Ende-Verschlüsselung das Risiko einer Datenoffenlegung
Die DSGVO empfiehlt die Verwendung von Verschlüsselung, um Daten vor Offenlegung und Diebstahl zu schützen. Jedoch bieten nicht alle Verschlüsselungsmethoden den gleichen Schutz, wenn Ihre Dateien in die falschen Hände geraten. Um den bestmöglichen Schutz zu gewährleisten, sollten die Verschlüsselungsschlüssel vom Endbenutzer kontrolliert werden und dem Serviceanbieter zu keinem Zeitpunkt des Verschlüsselungs- und Entschlüsselungsvorgangs zugänglich sein.
Mit Tresorits Ende-zu-Ende-Verschlüsselung werden die Verschlüsselungscodes, die Ihre Daten entschlüsseln, auf Ihrem Gerät gespeichert. Im Gegensatz zur In-Transit- oder At-Rest-Verschlüsselung (auch wenn diese Schlüsselmanagement-Module umfasst), ver- oder entschlüsseln wir Ihre Daten niemals auf unseren Servern. Tresorit hat zu keinem Zeitpunkt Zugriff auf die von Ihnen in Ihren Dateien gespeicherten personenbezogenen Daten. Diese sind einzig für Sie und die von Ihnen befugten Personen zugänglich.
2. Verwenden Sie Pseudonomysierung und Anonymisierung
Pseudonymisierung bedeutet, dass alle zur Identifikation einer Person beitragenden Informationen innerhalb eines Datensatzes so ersetzt oder entfernt werden, dass die personenbezogenen Daten nicht länger ohne Einbezug zusätzlicher Informationen einem spezifischen Datensubjekt zugeordnet werden können. Dies ist eine großartige Methode, um Ihren Datenbeständen eine zusätzliche Sicherheitsebene hinzuzufügen, aber mehr auch nicht. Pseudonymisierte personenbezogene Daten sind immer noch personenbezogene Daten.
Anonymisierte Daten hingegen sind es nicht. Bei der Anonymisierung handelt es sich um einen irreversiblen Vorgang, der die direkte oder indirekte Identifizierung der Datensubjekte unmöglich macht. Tools für die Anonymisierung personenbezogener Daten umfassen das Hashen von Daten (One-way Hashing) und Verschlüsselungstechniken, in denen der Entschlüsselungscode gelöscht wird. Bedenken Sie jedoch, dass Anonymisierung Daten auch entwertet.
3. Entwickeln Sie eine wasserdichte Strategie fürs Identitäts- und Zugriffsmanagement
Die DSGVO bestimmt, dass nur diejenigen Personen, die personenbezogene Daten im Zuge ihrer Arbeit handhaben müssen, Zugriff auf diese haben sollten. Mit Tresorits Zugriffsberechtigungen können Sie garantieren, dass personenbezogene Daten nur mit den Mitarbeitern geteilt werden, die diese für die Erfüllung ihrer Aufgaben benötigen – und all Ihre Teammitglieder sind auf derselben Wellenlänge, was die Verwendung wichtiger Datenschutz-Tools angeht.
Tresorits Admin-Center ist eine zentrale Übersichtsseite für die Datenverwaltung. Es hilft Ihnen, im Blick zu behalten, was mit personenbezogene Daten enthaltenden Dateien innerhalb Ihrer Firma geschieht, sowie Sicherheitsrichtlinien festzulegen und durchzusetzen und firmeneigene Geräte zu verwalten. Passwortschutz, Downloadbeschränkung und Ablaufdatum bieten zusätzlichen Schutz für vertrauliche Dokumente, wenn diese inner- oder außerhalb Ihrer Organisation geteilt werden.
About the author
Gergely Acs is an Assistant Professor at the Budapest University of Technology and Economics (BUTE), Hungary, and member of the Laboratory of Cryptography and System Security (CrySyS). Before joining CrySyS Lab, Gergely was a research scholar and engineer at INRIA, France. His research focuses on different aspects of data privacy and security including privacy-preserving machine learning, data anonymization, and data protection impact assessment (DPIA). He received his M.S. and Ph.D. degrees from BUTE.
This post is an updated and expanded version of the original which was published on in 2017. The last update occurred on June 15, 2023, by the Tresorit Team.