Demo-Tour jetzt buchen

Ihre Frage an uns


Einverständniserklärung Datenschutz
Mit den Bestimmungen zum Datenschutz bin ich einverstanden. Ich willige ein, dass Protelion die von mir zur Verfügung gestellten persönlichen Daten zur Bearbeitung meiner Anfrage elektronisch verarbeitet und mich, nach meinem ausdrücklichen Wunsch, zur Bearbeitung meiner Anfrage kontaktiert. Mein Einverständnis kann ich jederzeit mit Wirkung für die Zukunft widerrufen.

Vielen Dank für Ihre Anfrage.

OK
DE
EN ES

Hauptseite

/
 ... / 

Ressourcen

/
 ... / 

Blog

/
 ... / 
Schutz personenbezogener Daten: Verschlüsselung

Schutz personenbezogener Daten: Verschlüsselung

02.12.2025

In der heutigen, zunehmend digitalisierten und vernetzten Welt ist der Wert von Daten für eine Organisation – und für die Eigentümer dieser Daten – hoch geschätzt und unbestritten.

Technologien wie Big Data, Knowledge Discovery in Databases, Machine Learning und Data Mining sowie das exponentielle Wachstum personenbezogener Daten in Netzwerken haben zu einem erhöhten Bedarf geführt, Informationen langfristig angemessen zu schützen.

Die Verarbeitung großer Datenmengen trägt zur Schaffung von sozialem und wirtschaftlichem Mehrwert bei, sofern die Rechte der betroffenen Personen auf Privatsphäre und den Schutz ihrer personenbezogenen Daten gewahrt bleiben.

Personenbezogene Daten werden als alle Informationen definiert, die einer oder mehreren natürlichen Personen zugeordnet werden können. Eine Person kann direkt oder indirekt identifiziert werden, beispielsweise durch ihren Namen, eine Identifikationsnummer, Standortdaten, berufliche Informationen oder andere Merkmale.

Der Einsatz von Maskierungstechniken oder einfach die Verwendung von Verschlüsselung ist ein grundlegendes und unverzichtbares Element der Informationssicherheitsstrategie jeder Organisation, da sie hohe Garantien für die Vertraulichkeit der geschützten Daten bietet und zugleich das mit deren Verarbeitung verbundene Risiko reduziert.

Personenbezogene Informationen

Gemäß der Datenschutz-Grundverordnung (DSGVO) muss die Verarbeitung personenbezogener Informationen formell festgelegt sein, und die Daten müssen unter Beachtung von drei grundlegenden Prinzipien erhoben worden sein:

  • Verhältnismäßigkeit: Es dürfen nur die minimal erforderlichen Daten erhoben werden, um einen angeforderten Dienst bereitzustellen; unnötige zusätzliche Informationen dürfen niemals verlangt werden. Daten dürfen nur erhoben werden, wenn sie angemessen, relevant und nicht übermäßig sind.
  • Zweckbindung: Die betroffene Person muss ausdrücklich über den Zweck informiert sein, zu dem ihre personenbezogenen Daten erhoben werden.
  • Rechtmäßigkeit: Die Organisation, die die Daten erhebt, darf diese nur für die Zwecke verwenden, für die sie von der betroffenen Person autorisiert wurde.

Daher dürfen Daten nach ihrer Erhebung weder verarbeitet noch aufbewahrt werden, um andere Zwecke zu verfolgen als jene, denen die betroffene Person und Eigentümerin der Daten zugestimmt hat.

Darüber hinaus kann die betroffene Person vom Verantwortlichen für die Datenverarbeitung die endgültige Löschung ihrer personenbezogenen Daten verlangen, wenn diese als übermäßig oder unangemessen angesehen werden, für den Zweck ihrer Erhebung nicht mehr erforderlich sind, unrechtmäßig verarbeitet wurden oder wenn die Einwilligung widerrufen wurde.

In diesem Zusammenhang sollten alle als sensibel eingestuften Informationen geschützt werden, insbesondere personenbezogene Daten, die zu besonderen Kategorien gemäß der Datenschutz-Grundverordnung (DSGVO) gehören, darunter unter anderem:

  • ethnische oder rassische Herkunft
  • politische Meinungen
  • religiöse oder weltanschauliche Überzeugungen
  • Gewerkschaftszugehörigkeit
  • genetische Daten
  • biometrische Daten zur eindeutigen Identifizierung einer Person
  • Gesundheitsdaten
  • Daten zum Sexualleben oder zur sexuellen Orientierung einer Person

Bei der Verarbeitung oder geplanten Verarbeitung der oben genannten Datentypen muss eine geeignete Schutzmethode eingesetzt werden. Es ist wichtig, die Sicherheit bereits zu Beginn jeder Datenverarbeitung zu berücksichtigen – bekannt als Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen –, was zudem durch die DSGVO vorgeschrieben ist.

Für andere Datentypen empfiehlt es sich, eine Risikoanalyse und -bewertung durchzuführen, wobei stets sicherzustellen ist, dass die Informationsverarbeitung keine schwerwiegenden Auswirkungen auf die betroffenen Personen, das Geschäft der Organisation oder die Privatsphäre von Wettbewerbern hat.

Datenschutz durch Technikgestaltung (Privacy by Design)

Die für die Erhebung personenbezogener Daten Verantwortlichen müssen eine Beschreibung der Verfahren zur Erhebung, Speicherung, Nutzung, Weitergabe und Löschung der Informationen bereitstellen und den Zweck darlegen, zu dem die Daten erhoben wurden.

Das Prinzip des Datenschutzes durch Technikgestaltung wird aus einer organisatorischen Perspektive betrachtet, bei der Datenschutzmaßnahmen nicht ausschließlich der Einhaltung geltender Vorschriften dienen, sondern Teil einer vordefinierten Datenschutzstrategie sind. Privacy by Design ist eine proaktive Maßnahme, die potenziellen Datenschutzverletzungen vorbeugt, bevor sie eintreten.

Organisationen müssen während des gesamten Lebenszyklus der Daten geeignete Schutzmaßnahmen für die Verarbeitung personenbezogener Informationen implementieren. Daher sind Verfahren festzulegen und Schutzmechanismen bereits bei der Konzeption von Datenbanken und Informationssystemen umzusetzen.

Bei der Anwendung dieses Prinzips ist es wichtig, eine anfängliche Klassifizierung der Daten vorzunehmen, die einzusetzenden Techniken zu definieren, die Verantwortlichen für die Verarbeitung zu identifizieren und sicherzustellen, dass die Organisation in der Lage ist, den Schutz der Informationen zu gewährleisten.

Datenschutz durch Technikgestaltung sollte berücksichtigen: die Art der Daten, das Risikoniveau für die betroffenen Personen, die Folgen einer Verletzung – einschließlich der Bewertung verursachter Schäden und Verluste –, die Zuverlässigkeit der angewandten Verarbeitungstechnik sowie den Umfang der Datenverarbeitung.

Datenschutz durch Voreinstellungen (Privacy by Default)

Dieses Prinzip basiert auf Verhältnismäßigkeit und Datennotwendigkeit. Das bedeutet, dass nur die für den angestrebten Zweck unbedingt erforderlichen Daten erhoben werden und eine wahllose Datenerfassung vermieden wird, da diese das Risiko einer Beeinträchtigung der Privatsphäre erhöht.

Standardmäßig müssen Organisationen sicherstellen, dass personenbezogene Daten mit dem höchsten Maß an Datenschutz verarbeitet werden und ausschließlich die für den jeweiligen Verarbeitungszweck notwendigen Daten genutzt werden.

Privacy by Default berücksichtigt bereits bei der Erfassung personenbezogener Daten: deren Umfang, die Dauer der Verarbeitung, die Aufbewahrungsfrist sowie den Grad der Zugänglichkeit der Daten.

Datenverschlüsselung

Auch wenn der Begriff der Verschlüsselung gelegentlich sehr technisch erscheint, ist es für das obere Management einer Organisation äußerst wichtig, das Konzept zu verstehen und die damit verbundenen Vorteile zu nutzen – insbesondere beim Schutz personenbezogener Informationen vor unbefugtem Zugriff und Manipulation.

Unter Datenverschlüsselung versteht man den Prozess, bei dem Informationen mithilfe eines kryptografischen Algorithmus und eines oder mehrerer Verschlüsselungsschlüssel von einem lesbaren in einen unlesbaren oder geheimen Zustand überführt werden.

Durch die Verschlüsselung erhalten Daten Eigenschaften, die sie deutlich weniger anfällig für unbefugte Zugriffe machen und das Risiko der Offenlegung vertraulicher personenbezogener Informationen reduzieren.

Die Verschlüsselung sämtlicher Daten einer Organisation gilt als unpraktisch, insbesondere im Hinblick auf die täglich erforderlichen operativen Prozesse. Daher sollten alle als sensibel oder besonders wertvoll eingestuften Daten verschlüsselt werden.

Sobald die zu verschlüsselnden Daten identifiziert sind, sind folgende Aspekte zu berücksichtigen:

  • Das eingesetzte Verschlüsselungssystem darf nicht kompromittiert sein, das heißt, es darf zum Zeitpunkt der Nutzung keine bekannte Möglichkeit geben, es zu brechen.
  • Es muss ein geeignetes und robustes Schlüsselmanagementsystem vorhanden sein, einschließlich klar definierter Verfahren zur Verwaltung kryptografischen Materials.

Bei der Auswahl eines Verschlüsselungsverfahrens sind außerdem weitere Merkmale und Anforderungen zu berücksichtigen, etwa ob die Verschlüsselung intern erfolgt oder zur Übermittlung von Informationen an Dritte genutzt wird, der Ressourcenverbrauch, die Kosten und weitere Faktoren.

Unabhängig von der gewählten Lösung zum wirksamen Schutz der Vertraulichkeit und Integrität der Daten einer Organisation ist es entscheidend, einen ausreichend langen Verschlüsselungsschlüssel zu wählen und einen robusten Algorithmus ohne bekannte Schwachstellen einzusetzen.

Wird die Verschlüsselung nicht korrekt umgesetzt und werden personenbezogene Daten unbefugten Dritten zugänglich gemacht, so stellt dies – unabhängig davon, wie diese Daten weiterverarbeitet werden – eine öffentliche Offenlegung personenbezogener Daten im Sinne der DSGVO dar und kann von der zuständigen Aufsichtsbehörde sanktioniert werden.

Vor diesem Hintergrund ist es von entscheidender Bedeutung, die notwendigen Anstrengungen und Ressourcen in die Auswahl einer soliden Verschlüsselungsstrategie zu investieren, die es der Organisation einerseits ermöglicht, die geltenden Datenschutzvorschriften einzuhalten, und andererseits ihre Daten robust zu schützen und das notwendige Vertrauen bei ihren Kunden zu schaffen.

Die VPN-Technologie von Protelion verwendet zum Schutz der Daten den kryptografischen Standard AES mit gepaarten symmetrischen Schlüsseln von 256 Bit Länge. Dies gewährleistet eine robuste Verschlüsselung und verzichtet auf den sogenannten „Handshake“, der in nahezu allen Virtual Private Networks (VPNs) mit dem IPSec-Standard eingesetzt wird. Dabei tauschen die Datenübertragungsgeräte vor der Verschlüsselung Informationen mithilfe asymmetrischer Schlüssel aus, um sich auf den zu verwendenden Verschlüsselungsalgorithmus zu einigen.

Zurück zur Liste

Bloggen

Bloggen
Schutz personenbezogener Daten (Teil 2)
16.12.2025
Seit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) in Europa werden von Unternehmen zahlreiche Techniken eingesetzt, um die Verarbeitung und den Schutz personenbezogener
Mehr lesen
Bloggen
Datenschutz oder Datensicherheit: Das Gleichgewicht in einer zunehmend vernetzten Welt
07.10.2025
Vom Entsperren Ihres Telefons mit einem Blick bis hin zum Bewegen durch ein Sicherheitstor am Flughafen sammelt die Technologie leise Teile unseres Lebens.
Mehr lesen
Bloggen
Sicherheit des SNMP-Protokolls
18.10.2025
Das SNMP-Protokoll (Simple Network Management Protocol, einfaches Netzwerkverwaltungsprotokoll) besteht aus 3 wichtigsten Komponenten
Mehr lesen