Verschlüsselung und Pseudonymisierung

Cloud-Dienste DSGVO-konform nutzen

16. Februar 2023, 11:30 Uhr | Autor: Elmar Eperiesi-Beck / Redaktion: Diana Künstler

Bereits vor Inkrafttreten der DSGVO war klar, dass Behörden und Unternehmen außereuropäische Cloud-Dienste nicht mehr ohne Zusatzmaßnahmen für die Verarbeitung oder Speicherung personenbezogener Daten verwenden dürfen. Verschlüsselungs-Gateways können in diesem Fall ihre Vorteile ausspielen.

Der Artikel liefert unter anderem Antworten auf folgende Fragen:

Welche technisch-organisatorischen Maßnahmen sind laut EDPB für den Drittlandsdatenverkehr zu verwenden, um Cloud-Anwendungen DSGVO-konform abzusichern?
Wie können Verschlüsselungs-Gateways dazu beitragen, den Vorgaben der EDPB zu entsprechen?
Welche Vorteile ergeben sich für Unternehmen mit der Nutzung eines Verschlüsselungs-Gateways?
Was hat es mit den EU ESG-Anforderungen auf sich, die Unternehmen seit diesesm Jahr erfüllen müssen?
Was ist Tokenisierung?

Seit rund fünf Jahren regelt die DSGVO die Verarbeitung personenbezogener Daten. Bereits vor Inkrafttreten der Verordnung war klar, dass Behörden und Unternehmen außereuropäische Cloud-Dienste nicht mehr ohne Zusatzmaßnahmen für die Verarbeitung oder Speicherung personenbezogener Daten verwenden dürfen. An diesem Befund hat sich, zahlreichen kosmetischen Eingriffen vor allem beim Datenverkehr zwischen der EU und den USA zum Trotz, nichts geändert.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Was rät die KI?

In der Praxis aber kommt kaum ein Unternehmen, eine Behörde oder Schule ohne die Nutzung vor allem US-amerikanischer Cloud-Dienste aus. Wer sich nach einer Lösung dieses Problems um sieht, steht zum Glück nicht allein dar. Dem Zeitgeist folgend wird mancher sich an ein KI-Programm wie ChatGPT wenden, um Rat einzuholen, und wird nicht enttäuscht. Auf die Frage, wie sich technisch sicherstellen lässt, dass man Cloud-Computing DSGVO-konform nutzt, führt das KI-System als erste technische Maßnahme das Verschlüsseln personenbezogener Daten an. Laut ChatGPT werden dabei „die Daten auf dem Endgerät des Benutzers verschlüsselt, bevor sie zur Cloud übertragen werden.“

Wer würde das Urteil einer KI in einem solchen Fall in Frage stellen wollen? Ganz sicher nicht das European Data Protection Board (EDPB). Das EDPB hat nämlich definiert, welche technisch-organisatorischen Maßnahmen für den Drittlandsdatenverkehr zu verwenden sind, um Cloud-Anwendungen DSGVO-konform abzusichern. Konkret empfiehlt das Gremium die Verschlüsselung sensibler Daten vor der Übertragung in die Cloud. Traute Einigkeit also zwischen Künstlicher Intelligenz und menschlichen Datenschutzgremien. Technisch ist das natürlich nicht verwunderlich, denn die KI hat unter anderem von den Gremien gelernt, die die Vorgaben definieren.

Die Umsetzung mittels Verschlüsselungs-Gateways

Als effiziente und elegante Möglichkeit, den Vorgaben des EDPB zu folgen und Daten vor der Übertragung in die Cloud zu verschlüsseln, haben sich Verschlüsselungs-Gateways bewährt. Ein grundlegender Vorteil eines Gateways ist die Tatsache, dass eine Organisation die komplette Hoheit über ihre Daten behält, anders beispielsweise als bei der Verschlüsselung durch den Cloud-Anbieter. Externe und insbesondere Angreifer können die verschlüsselten Daten nicht entziffern. Die Organisation behält jederzeit die Kontrolle über die Verschlüsselung selbst und die verwendeten Schlüssel. Dadurch bewahrt sie auch die vollständige Datenautonomie und gewährleistet die Einhaltung der DSGVO — unabhängig vom verwendeten Cloud-Anbieter.

Der Einsatz eines Verschlüsselungs-Gateways entspricht zudem moderner, datenzentrischer IT-Sicherheit. Diese setzt sich in Behörden und Unternehmen in dem Maße durch, in dem die Einsicht reift, dass traditionelle IT-Sicherheitsmaßnahmen illegalen Datenzugriff und Datenverlust nicht zuverlässig vermeiden können. Auch verschlüsselte Daten sind zwar nicht vor unbefugtem Zugriff oder versehentlicher Veröffentlichung aufgrund eines technischen oder menschlichen Fehlers geschützt. Für Außenstehende sind sie allerdings vollkommen wertlos, weil sie nicht gelesen und genutzt werden können. Eine höhere Sicherheit für Daten kann es nicht geben.

Die Vorteile überwiegen

Nach jeder neuen Entscheidung eines Gerichts oder der Datenschutzkonferenz, die einmal mehr bestätigt, dass sich außereuropäische Cloud-Dienste nicht DSGVO-konform nutzen lassen, entsteht eine Diskussion, die den Eindruck erweckt, Datenschutz stehe Innovationen im Wege. Das Gegenteil ist der Fall. Nicht nur lassen sich prinzipiell alle Cloud-Dienste durch den Einsatz eines Verschlüsselungs-Gateways ohne relevante Funktionsbeeinträchtigungen DSGVO-konform nutzen, sondern der Einsatz eines Gateways bietet viele weitere Vorteile. Exemplarisch seien drei genannt: Durch den Einsatz eines Gateways können Unternehmen

wirtschaftliche Vorteile erzielen,
(Sicherheits-)Risken minimieren
und ihren ESG-Score verbessern.

Bei entsprechender Kommunikation kann ein Unternehmen die Tatsache nutzen, dass Datenschutz für stets mehr Konsumenten ein wichtiges Argument ist, sich für oder gegen einen Anbieter zu entscheiden. Zudem erwarten immer mehr Unternehmen von ihren Geschäftspartnern die Einhaltung einer Reihe von Vorgaben. Der Umgang mit sensiblen Daten spielt dabei eine wichtige Rolle.

Seit diesem Jahr müssen viele Unternehmen in der EU ESG-Anforderungen erfüllen und erhalten einen entsprechenden ESG-Score. ESG beschreibt einen Ansatz, um zu bewerten, in welchem Maße Unternehmen sich für Ziele einsetzen, die über die Gewinnmaximierung für ihre Aktionäre, Eigentümer, Stakeholder etc. hinausgehen. Das Regelwerk fordert Unternehmen unter anderem dazu auf, sensible Daten vor unbefugtem Zugriff sowie absichtlicher oder fahrlässiger Offenlegung zu schützen. Das lässt sich am besten durch den Einsatz eines Verschlüsselungs-Gateways gewährleisten.

Gegenwart und Zukunft

Um zum Abschluss einen Bogen zurück zu KI und Sprachmodellen wie ChatGPT zu schlagen: Diese Modelle werden mit einer enormen Menge an Daten trainiert. Gerade um auf Basis bestehender allgemeiner Modelle wie ChatGPT spezifischere Anwendungen für Bereiche wie das Gesundheits- oder Personalwesen zu erstellen, werden auch sehr viele personenbezogene Daten benötigt. Das führt zu einem Konflikt mit der DSGVO. Auch dieser lässt sich durch den Einsatz eines Verschlüsselungs-Gateways auflösen beziehungsweise vermeiden. So werden Verschlüsselungs-Gateways bereits seit Jahren für die Entwicklung, den Test und die Schulung von Software auf Basis realistischer Daten genutzt. Die DSGVO schreibt vor, dass sensible Informationen nur für die Zwecke verwendet werden dürfen, zu denen sie erhoben wurden. Daher lassen sich Produktionsdaten nicht einfach so in einer Entwicklungsumgebung einsetzen.

Speziell fordert die DSGVO eine Pseudonymisierung der Daten, verstanden als die Verarbeitung personenbezogener Daten auf eine Weise, dass die personenbezogenen Daten „ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können“ (Art. 4, Abs. 5 DSGVO). Technisch leistet ein Verschlüsselungs-Gateway diese Aufgabe unter anderem durch „Tokenisierung“. Als Tokenisierung bezeichnet man hierbei die Erzeugung von Ersatzwerten für Originalwerte. Das sorgt für zusätzliche Sicherheit und Wahrung der DSGVO. Dasselbe Verfahren sollte für das Training von KI-Modellen mit personenbezogenen Daten genutzt werden.

Verschlüsselung, Pseudonymisierung und Tokenisierung von Daten sind also nicht nur wichtige Bestandteile einer zeitgemäßen Datenschutzkultur, sondern wichtige Elemente beim Bau der Datenzukunft.