In vielen Berufszweigen ist er mittlerweile nicht mehr wegzudenken, der Laptop. Ermöglicht er doch dank Internet und Techniken wie VPN & Co. das Arbeiten von Zuhause, aus der Bahn oder dem Hotel. Durch die gestiegene Flexibilität bei den Arbeitsorten und den Arbeitszeiten steigt aber gleichzeitig das Risiko, dass das Notebook in unbefugte Hände gerät, geklaut wird oder auf andere Weise abhandenkommt. Eine valide Festplattenverschlüsselung kann in solchen Fällen erhebliche Schäden, unbefugte Zugriffe auf abgespeicherte personenbezogene Daten und letztlich auch Bußgelder verhindern. Wieso eine Festplattenverschlüsselung nicht nur sinnvoll, sondern in vielen Konstellationen Pflicht ist, erfahren Sie in diesem Beitrag.

Festplattenverschlüsselung als effektive Schutzmaßnahme

Der datenschutzrechtlich Verantwortliche muss technische und organisatorische Maßnahmen umsetzen, die gemäß Art. 32 DSGVO geeignet sind ein angemessenes Schutzniveau der verarbeiteten personenbezogenen Daten zu gewährleisten. Werden auf Endgeräten wie Laptops, Tablets, Smartphones etc. personenbezogene Daten verarbeitet und (auf der Festplatte) gespeichert, sind folglich technische und organisatorische Maßnahmen umzusetzen, die die Vertraulichkeit dieser personenbezogenen Daten gewährleisten.

Neben organisatorischen Maßnahmen wie z. B. interne Richtlinien und Handlungsanweisungen, die den Umgang mit Endgeräten, erlaubte Arbeitsorte (mobiles Arbeiten), Umgang mit Passwörtern etc. regeln (vgl. meinen Blogbeitrag zu „Homeoffice auch nach Corona“), können insbesondere technische Maßnahmen einen effektiven Schutz der personenbezogenen Daten gewährleisten. Werden personenbezogene Daten auf der Festplatte des Endgeräts gespeichert, zählt hierzu insbesondere eine wirksame Festplattenverschlüsselung.

Eine sogenannte Pre-Boot-Festplattenverschlüsselung sorgt dafür, dass nur die Person auf die auf der Festplatte des Endgeräts gespeicherten Daten zugreifen kann, die das Passwort zur Entschlüsselung der Daten kennt. Folglich kann auch nach einem Ausbau der Festplatte nur dann auf die Daten zugegriffen werden, wenn das zugehörige Passwort bekannt ist. Fehlt eine Festplattenverschlüsselung hingegen, können unbefugte Personen (mit gewissem technischen Know-how) auf die Daten zugreifen, sofern der Laptop in ihren Besitz gerät. Gleiches gilt, wenn das genutzte Passwort keinen hinreichenden Komplexitätsgrad aufweist und durch Brute-Force-Methoden errechnet werden kann.

Ist die Festplattenverschlüsselung korrekt implementiert, bewirkt diese einen wirksamen Schutz vor unbefugten Zugriffen und gehört für mobile Endgeräte wie Laptops, Tablets, Smartphones etc. bereits seit Jahren zum Stand der Technik (vgl. Handreichung zum „Stand der Technik“ des Bundesverbands IT-Sicherheit e.V.). Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt die Umsetzung dieser Maßnahme im IT-Grundschutz Kompendium. Eine Anleitung zur korrekten Einrichtung der Festplattenverschlüsselung für Windows (Bitlocker) finden Sie z. B. hier und hier, für Mac finden Sie diese hier.

Setzen Verantwortliche diese Maßnahme nicht um, kann ein Verstoß gegen Art. 32 DSGVO vorliegen, welcher sowohl zu einer meldepflichtigen Datenpanne als auch zu Sanktionen von Aufsichtsbehörden führen kann.

Meldepflichtige Datenpannen verhindern

Wird ein Laptop ohne Festplattenverschlüsselung, auf dem personenbezogene Daten gespeichert sind, geklaut oder kommt auf andere Weise abhanden, ist im Regelfall von einer meldepflichtigen Datenpanne gemäß Art. 33 DSGVO auszugehen. Befinden sich Daten auf der Festplatte, die zu einem hohen Risiko für die Rechte und Freiheiten der betroffenen Personen führen, sind zusätzlich die betroffenen Personen gemäß Art. 34 zu informieren. Ist hingegen eine Festplattenverschlüsselung mit ausreichend komplexem Passwort (vgl. BSI-Empfehlungen) zum Zeitpunkt des Diebstahls, Verlusts etc. aktiv, liegt zwar ein Datenschutzvorfall vor, aufgrund der Verschlüsselung besteht regelmäßig aber kein Risiko für die betroffenen Personen und die Verletzung des Schutzes personenbezogener Daten muss nicht gemeldet werden.

Eine Festplattenverschlüsselung führt im Falle des Diebstahls des Laptops also höchstwahrscheinlich dazu, dass die Datenschutzverletzung nicht gemeldet werden muss (vorausgesetzt, die Verfügbarkeit der Daten ist hierdurch nicht gefährdet). Auch dieser Umstand macht deutlich, wie sinnvoll und notwendig eine Festplattenverschlüsselung ist, um meldepflichtige Datenpannen bei Gerätediebstahl zu vermeiden.

Bußgeldrisiko

Wer keine angemessenen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO umsetzt, riskiert ein Bußgeld einer Aufsichtsbehörde nach Art. 83 Abs. 4 lit. a DSGVO. Für die Speicherung von personenbezogenen Daten auf Laptops kann also eine fehlende Festplattenverschlüsselung ein Bußgeld zur Folge haben.

Dies musste kürzlich auch eine Gemeinde in Polen feststellen, gegen deren Gemeindevertreter ein Bußgeld in Höhe von ca. 1.700 Euro verhängt wurde, nachdem diese eine Datenpanne aufgrund eines gestohlenen Laptops gemeldet hatte. Die zuständige Aufsichtsbehörde stellte bei der nachgelagerten Aufklärung des Vorfalls fest, dass keine Festplattenverschlüsselung für die Laptops der Gemeindemitarbeiter*innen eingerichtet war und damit zum Zeitpunkt des Diebstahls keine angemessenen technischen und organisatorischen Maßnahmen umgesetzt waren. Bei der Bußgeldbemessung hatte die Aufsichtsbehörde dabei auch berücksichtigt, dass der Laptop gefunden wurde und die Analyse des IT-Administrators ergab, dass das Betriebssystem des Computers seit dem Tag des Diebstahls nicht mehr ausgeführt worden war.

Fazit

Die Einrichtung einer Festplattenverschlüsselung auf mobilen Endgeräten (insbesondere Laptops) ist Stand der Technik und stellt eine leicht umsetzbare, kostengünstige und effektive Möglichkeit dar, um ein angemessenes Schutzniveau (Art. 32 DSGVO) für auf der Festplatte gespeicherte Daten zu gewährleisten. Gleichzeitig führt die Festplattenverschlüsselung in aller Regel dazu, dass bei Diebstählen keine Meldung der Datenpanne bei der zuständigen Aufsichtsbehörde vorzunehmen ist.