这就是(德国)联邦数据保护法的加密方式

2019-08-20 04

  在过去几个月中,我们就欧盟的通用数据保护条例(GDPR)进行了大量而且非常密集的讨论。到目前为止,我们已达到截止日期,GDPR已生效。但对于位于德国的公司,我们需要遵守“联邦数据保护法”(Bundesdatenschutzgesetz:BDSG)。BDSG根据GDPR的新要求进行了调整,并于2018年5月25日作为BDSG(neu)生效。

  什么是BDSG(neu)?

  许多公司在调整期间将两年内将GDPR的要求转化为实际措施时遇到了问题。GDPR在很多方面都相当模糊。由于GDPR的模糊表述而产生的一些问题,在作出第一次法院裁决之前,可能会更准确地解释。国家数据保护法的目的是将GDPR的要求纳入更切实的框架。重要的是要知道,就国家法律而言,欧洲法律(GDPR)被认为在申请中享有首要地位。GDDS的实施在BDSG(neu)的第2部分(§22-44)中有详细说明。BDSG给出了重要性加密,这在第3部分(§45-84)中是显而易见的。尽管这部分仅涉及欧盟指令2016-680的实施 - 因此,负责预防,识别,揭露,起诉或惩罚刑事或行政违法行为的公共机构 - 它揭示了加密现在声称的重要性。每个欧盟成员国都有一定的范围将GDPR的要求转化为立法框架,并可以在最多40个所谓的“开放条款”中使用该范围。

  BDSG(neu)中提到的加密

  在涉及个人数据保护时,通用数据保护法规没有明确谈论加密 - 但它确实需要采取适当的“技术和组织措施”(TOM)来保护这些敏感数据。在BDSG中,加密在四个段落中提到,这使德国法律比欧洲GDPR更有形。尽管如此,两个立法框架的目标都是以同样的程度保护个人数据,这是最好的方式。但如前所述,有关加密的规范仅适用于公共机构,截至目前。私人组织是否会受到法律调整的影响,未来仍有待观察,但似乎有可能。

  §22BDSG(neu)中提到的加密:处理特殊类别的数据

  BDSG(neu)第22段的主题是特别值得保护的个人数据。为此目的,首先列出的是立法者应该受到特别保护的信息。之后,列出“......保护相关人员利益的适当和具体措施......”。除了提高所有参与处理个人数据的人员的意识或任命数据保护官员的项目外,名单上的第七项是个人数据加密。该项目也可能来自GDPR - 但与BDSG(neu)相反,GDPR中没有特别提及个人数据的加密。

  §48BDSG(neu)中提到的加密:处理特殊类别的数据

  第48段还涉及个人数据的处理。在这一短段的第一段中,再次声明,只有在完成任务绝对必要时才能接受个人数据的处理。在第二段中,列出了对有关人员合法利益的充分保障。该清单包括8个项目。除了个人数据的加密(项目7)之外,还有与其他项目分开的处理项目以及列出的隔离控制期间的定义,以及其他项目。

  §64BDSG(neu)中提到的加密:数据处理安全性的要求

  BDSG(neu)的这一段涉及对数据处理安全性的要求。在该段中,指出必须在负责人的同时考虑所涉及的风险,成本和当前的技术状态来实施保护措施。作为这样的措施,特别突出了假名和加密。对于立法者来说,重要的是:1。处理系统和服务的机密性,完整性,可用性和弹性永久保护。2.在发生物理或技术事故时,可以快速恢复对任何存储的个人数据的可用性和访问权限。§64BDSG(neu)

  在第64段第3段中,为了实现先前定义的措施,要实施14个控制措施,其中3个控制措施可以通过最先进的加密技术特别好地实现:

  ?防止未经授权的读取,复制,修改或删除数据媒体(“数据媒体控制”)?防止未经授权的个人数据输入以及未经授权检查,修改或删除存储的个人数据(“存储控制”)?确保被授权使用自动处理系统的人员只能访问其访问授权所涵盖的个人数据(“数据访问控制”)

  §64BDSG(neu)中所述的其他控制涉及设备访问控制,用户控制,通信控制,输入控制,传输控制,恢复,可靠性,完整性,处理控制,可用性控制和可分离性。

  §66BDSG(neu)中提到的加密:通知受个人数据泄露影响的数据主体

  第66段规定,如果有任何违反其数据保护的情况,必须通知有关的人。此通知必须毫不拖延地发生 - 但是,如果存在保护个人数据的安全措施,则无法通知数据泄露数据主体。本节再次明确地提到加密:“...特别是那些使个人数据无法被任何未经授权访问的人所知的那些,例如加密”。

  结论 - 加密可以帮助您在晚上睡觉

  数据加密是众多措施之一,立法者规定了保护个人数据。然而,作为数据保护措施,需要特别强调加密,因为它相对容易实现。虽然BDSG(neu)仅适用于公共机构,但截至目前,对于私人组织也可以预期类似的数据保护要求的发展。考虑到这一点,私人组织可以通过采用易于使用,用户友好且直观可用的加密解决方案(如Boxcryptor),轻松地在其基础架构中实施加密。Boxcryptor在敏感数据之上放置了额外的安全层,您作为公司必须通过各种手段进行保护。不要紧,您需要保护的数据是个人数据,您是否有义务在GDPR下进行保护,或者是否是内部的业务相关数据,您希望防止未经授权的访问:使用端到端加密,数据确实如此不仅仅是在其存储位置安全休息,而且在转移到存储位置时也已经受到安全保护。通过这种方式,我们使公司能够从云提供的优势中获益:始终提供数据,同步,版本控制等。

  编辑:

  在本文的前一版本中,我们将BDSG(neu)描述为有效,不受所有公共和私人实体的限制。我们已经意识到这个描述是错误的,我们的社区成员。事实上,BDSG(neu)的第2部分和第3部分在适用于修订条款中描述的公共机构方面受到限制。对于由于我们的错误文章造成的任何不便或困惑,我们深表歉意,并希望感谢我们的社区以这种方式关注和支持我们。