Verschlüsselung und Anonymisierung von personenbezogenen Daten mit Confidential Computing: Rechtliche Besonderheiten und Vorteile einer neuen Technologie

Aktuelles, Allgemein, Behörden, Datenschutz, Digitale Souveränität, Digitalisierung, Forschung, Gesetzgebung, Informationelle Selbstbestimmung, Internationales, IT-Sicherheit, Nachrichtendienste, Recht, Überwachung, Verbraucherschutz, Vergaberecht, Vertragsfreiheit
Comments

Der Einsatz von Confidential Computing kann aus rechtlicher Sicht mit Blick auf Compliance und Datenschutz am praxisrelevanten Beispiel von Verschlüsselung und Anonymisierung durchaus Vorteile bieten. Soweit man dem Konzept der relativen Anonymisierung folgt, kann durch Einsatz der neuen Technologie rechtlich sogar argumentiert werden, dass die verarbeiteten Daten zumindest für einen gewissen Zeitraum (nach Stand der Forschung liegt dieser Zeitraum zwischen 10-30 Jahren) nicht den datenschutzrechtlichen Anforderungen unterfallen, soweit sie ansonsten personenbezogen wären. Hierzu muss aber technisch-organisatorisch vorausgesetzt werden, dass ein sicheres Verschlüsselungsverfahren verwendet wird und die gesamte Datenverarbeitung von der Erhebung bis hin zur Löschung anonymisiert stattfindet. Mit den Vorteilen, die mit der anonymisierten Datenverarbeitung verbunden sind, sind jedoch ebenso neue Compliance-Pflichten gegeben, indem durch flankierende TOM das Risiko einer De-Anonymisierung möglichst gering zu halten ist. Auch ist regelmäßig zu überprüfen, ob das verwendete Verschlüsselungsverfahren noch den gängigen Standards entspricht bzw. zwischenzeitlich neu entdeckte Schwachstellen aufweist. Damit einher geht die (juristische) Erkenntnis, dass die Anonymität nicht (mehr) als statischer Begriff aufgefasst werden kann.

Selbst wenn man der relativen Theorie zur Anonymisierung nicht zu folgen vermag, bieten sich durch den Einsatz von Confidential Computing erhebliche Vorteile mit Blick auf Datensicherheit und Datenschutz. So können nicht nur die allgemeinen IT-Sicherheitsziele gefördert und unterstützt werden, sondern bei der Verarbeitung von personenbezogenen Daten kann die Technologie bei der Einhaltung der Datenschutzanforderungen gem. Art. 5, 24 und 32 DS-GVO Vorteile bieten sowie als Maßnahme des Datenschutzes durch Technikgestaltung ein praxisnahes Beispiel zur Umsetzung des Art. 25 DS-GVO darstellen.

Link zum Kurzgutachten: https://intrapol.org/wp-content/uploads/2022/09/Dennis-Kenji-Kipker-Rechtliche-Auswirkungen-von-Confidential-Computing-Kurzgutachten-Stand-9-2022.pdf

Weitere thematisch relevante Beiträge:

  • Verfassungsrechtliche Anforderungen an den Einsatz von vollzugspolizeilichen Body-Cams Der folgende Beitrag entspricht der Stellungnahme des Autors zur öffentlichen Anhörung im Innenausschuss des Hessischen Landtags am 10. September 2015 zum Gesetzentwurf der Landesregierung für ein Gesetz zur Änderung des…
  • Pressespiegel Digitalisierung: Oktober 2020 Digital Services Act der Europäischen Kommission: Mit dem Digital Services Act verfolgt die Europäische Kommission den Schutz kleinerer Plattformanbieter vor Großkonzernen wie Google, Facebook oder Amazon. Diese haben nach Ansicht…
  • Pressespiegel Digitalisierung: November 2020 Download der pdf-Version Dritter Entwurf für IT-Sicherheitsgesetz 2.0: Das Bundesinnenministerium veröffentlicht einen neuen Referentenentwurf für das IT-Sicherheitsgesetz 2.0. Nach erheblichen Verzögerungen soll das Gesetz im Frühjahr 2021 verabschiedet werden. Mit…

Schreibe einen Kommentar