DSGVO mit SimpleumSafe für Mac und iOS

Hamburg, 8. Mai 2018

Die DSGVO (Datenschutz Grundverordnung) trat am 25.05.2018 in Kraft und regelt den Umgang mit personenbezogenen Daten neu.

SimpleumSafe ist eine geeignete technische Lösung für den Schutz von digitalen personenbezogenen Daten gemäß DSGVO für Mac, iPhone und iPad.

Jeder Mensch und jedes Unternehmen in der EU unterliegen automatisch diesen neuen Regelungen. Die Zielsetzung ist unter anderem, dass jeder, der mit personenbezogenen Daten arbeitet, diese nur auf einer rechtlichen Grundlage erheben darf und dass diese Daten dann vor unberechtigtem Zugriff geschützt werden.
Dieser Artikel beschränkt sich auf den Schutz von digitalen personenbezogenen Daten.

Wichtig:

  • Die Verordnung wendet sich an JEDEN, der personenbezogene Daten verarbeitet. Auch an Selbstständige, Freelancer, Vereine etc.
  • Neu ist auch die Beweislastumkehr. Sie müssen nachweisen können, dass Sie diese Daten schützen.
  • Auch neu sind die drastisch höheren möglichen Strafzahlungen bei Nichteinhaltung.

Anwendungsbeispiele

  • Angebote, Verträge, Rechnungen, Bewerbungen, Zeugnisse, Gehaltsabrechnungen
  • Patientenakte, Prozessakte, Krankenhausberichte, Steuererklärungen
  • Gesprächsprotokolle, Berichte
  • Fotos (z.B. Schadengutachten, bewohnte Wohnungen, Krankheitsbilder, …)

Problemstellung

  1. Sie speichern digitale personenbezogene Daten auf dem iPhone oder Mac (Festplatte)
  2. Sie erstellen ein Backup auf einer externen Festplatte oder einer Netzwerk-Festplatte
  3. Sie kopieren Daten auf einen USB-Stick
  4. Sie speichern Daten in der Cloud (iCloud, Dropbox, …)
  5. Sie verwenden iCloud Foto-Stream, welches ihre Fotos in die iCloud kopiert.

Bedenken Sie nun, dass personenbezogene Daten immer vor unberechtigtem Zugriff geschützt sein müssen, dies gilt auch für den Fall eines Verlustes / Diebstahls. Im Falle eines Verlustes / Diebstahls, bei dem die Daten von unautorisierten Personen eingesehen werden können, müssen Sie im Allgemeinen immer alle betroffenen Personen informieren.

Zurzeit ist auch noch unklar, ob personenbezogene Daten überhaupt in der iCloud ohne weitere technische Vorkehrungen gespeichert werden dürfen, da Apple hierzu keinen Auftragsdatenverarbeitungsvertrag abschließt.

Lösung

Pseudonymisierung und Verschlüsselung (DSGVO Art. 32 Abs. 1a)

Digitale Daten sind Dateien die einen Dateinamen und einen Inhalt haben. Selbst der Dateiname kann oft schon Aufschluss über die Inhalte ermöglichen.
Gemäß DSGVO Art. 32 Abs. 1a stellen Pseudonymisierung und Verschlüsselung geeignete technische Maßnahmen für den Schutz von personenbezogenen Daten dar.
SimpleumSafe verschlüsselt alle Dateien mit AES-256, einem akzeptierten und bewährten Standard für starke Verschlüsselung. Dateinamen sind von „außen“ bei einem ungeöffneten Safe nicht erkenntlich.

Vertraulichkeit (DSGVO Art. 32 Abs. 1b)

Ein Zugriff auf die Daten mit SimpleumSafe ist nur mit einem Passwort oder beim iPhone mit ggf. biometrischen Authentifizierung möglich.

Integrität (DSGVO Art. 32 Abs. 1b)

Unter Integrität ist hier der Schutz der Daten vor Manipulation und Beschädigung (Hardware-Defekt) zu verstehen.
SimpleumSafe bietet einen Integritäts-Check, der alle Daten auf Lesbarkeit und fehlerfreie Entschlüsselbarkeit prüft.

Verfügbarkeit, Wiederherstellung nach technischem Zwischenfall (DSGVO Art. 32 Abs. 1b,c)

Sie können einen Safe, der mit SimpleumSafe erstellt wurde, mit Apple Time Machine oder einer anderen Sicherungslösung verschlüsselt sichern. Darüber hinaus besitzt SimpleumSafe selbst auch eine eigene Datensicherungs-Lösung die auch eine verschlüsselte Sicherung ermöglicht.
Somit ist auch Ihre Datensicherung verschlüsselt.
Für den Fall, dass Sie Ihr Passwort vergessen haben und eigentlich kein Zugriff mehr auf die Daten möglich ist, können Sie einen sogenannten Wiederherstellungsschlüssel zum Zurücksetzen Ihres Passwortes verwenden, sofern sie einen solchen Wiederherstellungsschlüssel zuvor erstellt haben.

Information aller betroffenen Personen bei einem Datenverlust oder Diebstahl

Wenn Sie Ihre Daten mit SimpleumSafe verschlüsselt haben und ein Safe durch Diebstahl in die Hände von Dritten gelangt, müssen Sie dies erfreulicherweise nicht mitteilen.
Hier greift DSGVO Art. 34 Abs. 3a:
„Die Benachrichtigung der betroffenen Person […] ist nicht erforderlich, wenn […] insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung […]“

Daten in der Cloud

SimpleumSafe verwendet für die Synchronisation mit der iCloud die „Hochsicherheitssynchronisation“. Selbst wenn die Synchronisationsdaten aus der Cloud geklaut und das Passwort bekannt wurde, können die Daten dennoch nicht entschlüsselt werden.
In diesem Fall ist der Cloud-Anbieter kein Auftragsdatenverarbeiter gem. DSGVO, da er keine Einsicht in die Daten erlangen kann.

Fotos mit personenbezogenen Informationen erstellen

Verwenden Sie die Möglichkeit mit SimpleumSafe auf dem iPhone direkt Fotos zu erstellen und unmittelbar verschlüsselt im Safe abzulegen. Diese Fotos werden dann nicht in der Foto-Bibliothek abgespeichert. Somit können Sie problemlos Kundendokumente abfotografieren etc.

DSGVO Verzeichnis von Verarbeitungstätigkeiten

Wir haben für Sie auch ein Beispiel-Dokument für „Sicherheit der Verarbeitung“ gem. DSGVO Art. 32 Abs. 1 für SimpleumSafe erstellt. Dies können Sie auf Ihre Verwendung anpassen und Ihrem „Verzeichnis von Verarbeitungstätigkeiten“ hinzufügen.

Sicherheit der Verarbeitung mit SimpleumSafe

2018-09-24T08:37:53+00:00