Der deutsche TeleTrusT – Bundesverband IT-Sicherheit e.V. hat eine „Handreichung“ zum sog. Stand der Technik veröffentlicht. Der Stand der Technik wird in Art. 32 Abs. 1 DSGVO als eines von mehreren Kriterien erwähnt, die bei der Bestimmung der Angemessenheit technischer und organisatorischer Massnahmen zu berücksichtigen sind. Der Stand der Technik liegt dabei zwischen
- dem „Stand der Wissenschaft und Forschung“, der höhere Sicherheit bietet, aber noch geringere Anerkennung geniesst und sich in der Praxis noch weniger bewährt hat, und
- den „allgemein anerkannten Regeln der Technik“, die niedrigere Sicherheit bieten.
Dabei wird der Stand der Technik umschrieben als
die im Waren- und Dienstleistungsverkehr verfügbaren Verfahren, Einrichtungen oder Betriebsweisen, deren Anwendung die Erreichung der jeweiligen gesetzlichen Schutzziele am wirkungsvollsten gewährleisten kann
Die Handreichung beschreibt nach Themen gegliedert technische Massnahmen und ordnet sie jeweils im Kontinuum zwischen den allgemein anerkannten Regeln der Technik und dem Stand der Wissenschaft und Forschung ein. Ein Beispiel:
Welche Maßnahme (Verfahren, Einrichtungen oder Betriebsweisen) wird in diesem Abschnitt beschrieben?
Zum Schutz der gespeicherten Daten sind folgende Maßnahmen sinnvoll:
- Verschlüsselte Übertragung der Dateien von und zum Dateiaustauschdienst
- Clientseitige Ende-zu-Ende-Verschlüsselung von Daten für den Empfänger vor der Übertragung in den Cloudspeicher
- Durch in den Datenaustauschdienst integrierte Verschlüsselung im zum Cloudspeicher gehörender Client-Software
- Durch separate Ende-zu-Ende-Verschlüsselungssoftware auf dem Client
Dabei sind insbesondere die folgenden Fragen zu beachten:
- Wer betreibt den Dienst und hat der Betreiber ggf. Zugriff auf die Daten?
- Wie sind die Daten beim Transport vom und zum Betreiber geschützt?
Wird der Dienst von einer vertrauenswürdigen Instanz betrieben, dann kann auf eine Ende-zu-Ende-Verschlüsselung der Daten selber unter Umständen verzichtet werden, sie ist aber grundsätzlich auch bei vertrauenswürdigen Betreibern sinnvoll.
Es sind Dateiaustauschdienste verfügbar, bei denen Daten vor dem Upload transparent, d.h. ohne besondere Aktion des Benutzers verschlüsselt und nach dem Download wieder entschlüsselt werden. Der Betreiber sieht dann nur verschlüsselte Daten. Alternativ kann auf eine Client-seitige Verschlüsselungssoftware zurückgegriffen werden, die für eine Ende-zu-Ende-Verschlüsselung der Daten vor dem Upload bzw. nach dem Download sorgt. Diese Lösungen erfordern allerdings in der Regel zusätzlichen Aufwand für den Anwender. Bei der Verschlüsselung sollte auf den Einsatz sicherer Verfahren zur Verschlüsselung und bei der Schlüsselerzeugung und Schlüsselhaltung geachtet werden.
Auf keinen Fall verzichtet werden darf auf die Verschlüsselung von Daten beim Transport von und zum Betreiber (Transportverschlüsselung, i.d.R. TLS).
Diese Massnahmen werden wie folgt eingeordnet:
Wichtig zu beachten ist, dass der Stand der Technik nur eines von mehreren Kriterien bei der Beurteilung der Angemessenheit ist. Die in der Handreichung beschriebenen Massnahmen sind daher nicht verpflichtend. Ein Unternehmen darf – und muss – z.B. auch die Wirtschaftlichkeit möglicher Massnahmen berücksichtigen.