In der DSGVO wird dem Verantwortlichen auferlegt, den "Stand der Technik" zu berücksichtigen beim "Datenschutz durch Technikgestaltung" (Art.25 DSGVO) und der "Sicherheit der Verarbeitung" (Art.32 DSGVO). Genaueres ist der DSGVO nicht zu entnehmen. Das ist auch nicht sinnvoll, denn der Stand der Technik ändert sich laufend und beinhaltet ein dynamisches Element. Verantwortliche müssen daher die technische Entwicklung im Blick behalten, in ihrer Risikobewertung beachten und die Änderungen einplanen in aktuelle und vor allem zukünftige IT-Projekte. Das sollte in der Übersicht der technisch-organisatorischen Maßnahmen (TOM) dargestellt werden und Thema in den jährlichen Besprechungen mit IT-Dienstleistern sein.
Beispiel Transportverschlüsselung
So müssen personenbezogene Daten beim Transport zwischen Webserver und Webbrowser verschlüsselt werden. Gleiches gilt beim Transport von E-Mails, VOIP und anderen digitalen Kommunikationsformen. Die Transportverschlüsselung ist bekannt durch die kryptografischen Protokolle SSL und dem besseren, weiterentwickelten TLS.
Die Qualität von kryptografischen Protokollen kann nie statisch betrachtet werden, also immer gleich gut sein. Ein historischer Überblick:
- SSL Versionen (alle veraltet)
- 1.0: Aufgrund von Sicherheitsproblemen nie öffentlich freigegeben.
- 2.0: Veröffentlicht 1995. Seit 2011 veraltet.
- 3.0: Veröffentlicht 1996. Seit 2015 veraltet.
- TLS Versionen
- 1.0: 1999 als Upgrade auf SSL 3.0 veröffentlicht. Seit 2020 veraltet.
- 1.1: Veröffentlicht 2006. Seit 2020 veraltet.
- 1.2: Veröffentlicht 2008.
- 1.3: Veröffentlicht 2018.
Stand der Technik für die Transportverschlüsselung ist zwingend also mindestens TLS Version 1.2 und besser Version 1.3. Alles andere ist veraltet und darf nicht mehr genutzt bzw. angeboten werden bei notwendiger Transportverschlüsselung.
Das BSI äußert sich in der Technischen Richtlinie TR-02102-2 dazu und aktualisiert regelmäßig.
Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) hat einen Arbeitskreis Stand der Technik initiiert und aktualisiert seine Handreichung zum Stand der Technik laufend.
Telefax / Fax nicht mehr Datenschutz konform!
Die Landesbeauftragte für Datenschutz Bremen weist im Mai 2021 darauf hin, dass das Telefax nicht den Anforderungen der DSGVO mehr entsprechen kann. Die Vertraulichkeit fällt zurück auf das gleiche Sicherheitsniveau wie eine unverschlüsselte E-Mail (Postkarten-Niveau):
- Bisher wurden beim Versand von Faxen exklusive Ende-zu-Ende-Telefonleitungen genutzt. Die technischen Änderungen in den Telefonnetzen von den stabilen "Kupferdraht"-Leitungen nun zur paketweisen Übertragung (IP-basiert) der Daten führen zu einem massiven Verlust der Vertraulichkeit, da in der Regel die IP-Pakete unverschlüsselt übertragen werden.
- Zudem kann nicht mehr davon ausgegangen werden, dass an der Gegenstelle der Faxübertragung auch ein reales eigenständiges Fax-Gerät existiert. So werden häufig softwarebasierte Systeme genutzt, die ankommende Faxe automatisiert in eine E-Mail umwandeln und diese dann an bestimmte E-Mail-Postfächer weiterleiten.
- Fax-Dienste -und -Protokolle enthalten an sich keinerlei Sicherungsmaßnahmen, um die Vertraulichkeit der Daten zu gewährleisten auf dem Transport oder als Ende-zu-Ende-Übertragung.
Durch den Wegfall der Kupferdraht-Verbindungen ist daher das Telefax in der Regel nicht mehr geeignet für die Übertragung personenbezogener Daten.
Für die Übertragung besonderer Kategorien personenbezogener Daten gemäß Artikel 9, Absatz 1 der DSGVO ist die Nutzung von Fax-Diensten unzulässig.
Weiterhin die sinnvollste Alternative sind Ende-zu-Ende verschlüsselte E-Mails, ordentlich gehostete Cloud-Lösungen oder ordentliche Einzelfallverschlüsselungen mit Datei-Packern u.ä.
Voice over IP / VOIP hat ähnliche Probleme
Wie beim Telefax hat sich zuvor schon das Telefonieren umfangreich verlagert auf die paketbasierte Übertragung. VOIP bietet im Protokoll Transport-Verschlüsselung sowie bieten VOIP-Geräte auch Ende-zu-Ende-Verschlüsselung. Das muss aber auch eingerichtet sein, was nicht immer die Standard-Einstellung ist. Handlungsbedarf! Sind Ihre VOIP-Telefone und -Apps wirklich ordentlich eingerichtet und ist gewährleistet, dass überall und nur die Transportverschlüsselung aktiv ist?
Begriffsbestimmung
Früher wurden in Verträgen die zu erbringende Leistung mit dem Hinweis auf "(allgemein) anerkannte Regeln der Technik" definiert. Das ist nur ein Mindeststand und spiegelt in der Drei-Stufen-Theorie nur die niedrigste Stufe wider. Der "Stand der Technik" geht viel weiter und ist anspruchsvoller. Am dynamischsten in dieser Theorie ist der "Stand von Wissenschaft und Technik", sind in dieser doch auch wissenschaftliche Erkenntnisse enthalten und der Standard nicht begrenzt durch das gegenwärtig Machbare / Realisierte.
Historisch ist der unbestimmte Rechtsbegriff "Stand der Technik" im Jahre 1978 im sogenannten Kalkar-Beschluss vom Bundesverfassungsgericht (BVerG 2 BvL 8/77) angesprochen und erläutert worden.
Quellen
- Technische Richtlinie TR-02102-2 Kryptographische Verfahren: Empfehlungen und Schlüssellängen Teil 2 – Verwendung von Transport Layer Security (TLS) des BSI, Stand 31.03.2021
- Handreichung zum 'Stand der Technik' vom Bundesverband IT-Sicherheit e.V. (TeleTrusT), Version 1.8 Stand 2021