Verschlüsselung und Anonymisierung von personenbezogenen Daten mit Confidential Computing: Rechtliche Besonderheiten und Vorteile einer neuen Technologie

Der Einsatz von Confidential Computing kann aus rechtlicher Sicht mit Blick auf Compliance und Datenschutz am praxisrelevanten Beispiel von Verschlüsselung und Anonymisierung durchaus Vorteile bieten. Soweit man dem Konzept der relativen Anonymisierung folgt, kann durch Einsatz der neuen Technologie rechtlich sogar argumentiert werden, dass die verarbeiteten Daten zumindest für einen gewissen Zeitraum (nach Stand der Forschung liegt dieser Zeitraum zwischen 10-30 Jahren) nicht den datenschutzrechtlichen Anforderungen unterfallen, soweit sie ansonsten personenbezogen wären. Hierzu muss aber technisch-organisatorisch vorausgesetzt werden, dass ein sicheres Verschlüsselungsverfahren verwendet wird und die gesamte Datenverarbeitung von der Erhebung bis hin zur Löschung anonymisiert stattfindet. Mit den Vorteilen, die mit der anonymisierten Datenverarbeitung verbunden sind, sind jedoch ebenso neue Compliance-Pflichten gegeben, indem durch flankierende TOM das Risiko einer De-Anonymisierung möglichst gering zu halten ist. Auch ist regelmäßig zu überprüfen, ob das verwendete Verschlüsselungsverfahren noch den gängigen Standards entspricht bzw. zwischenzeitlich neu entdeckte Schwachstellen aufweist. Damit einher geht die (juristische) Erkenntnis, dass die Anonymität nicht (mehr) als statischer Begriff aufgefasst werden kann.

Selbst wenn man der relativen Theorie zur Anonymisierung nicht zu folgen vermag, bieten sich durch den Einsatz von Confidential Computing erhebliche Vorteile mit Blick auf Datensicherheit und Datenschutz. So können nicht nur die allgemeinen IT-Sicherheitsziele gefördert und unterstützt werden, sondern bei der Verarbeitung von personenbezogenen Daten kann die Technologie bei der Einhaltung der Datenschutzanforderungen gem. Art. 5, 24 und 32 DS-GVO Vorteile bieten sowie als Maßnahme des Datenschutzes durch Technikgestaltung ein praxisnahes Beispiel zur Umsetzung des Art. 25 DS-GVO darstellen.

Link zum Kurzgutachten: https://intrapol.org/wp-content/uploads/2022/09/Dennis-Kenji-Kipker-Rechtliche-Auswirkungen-von-Confidential-Computing-Kurzgutachten-Stand-9-2022.pdf

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.