DSGVO und neue Technologien Datenschutzbewertung von Quantencomputern

Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Peter Schmitz |

Häufig wird behauptet, der Datenschutz behindere die Nutzung neuer Technologien. Dabei verlangt die Datenschutz-Grundverordnung ausdrücklich den Stand der Technik bei Schutzmaßnahmen. Entsprechend haben sich Aufsichtsbehörden für den Datenschutz auch bereits mit dem Thema Quanten-Computer befasst. Dies zeigt beispielhaft, wie man im Datenschutz neue Technologien bewertet.

Anbieter zum Thema

Es gibt viele Gründe, warum Quantencomputer erhebliche Auswirkungen auf den Datenschutz in Bezug auf Datensicherheit und Vertraulichkeit der Kommunikation haben könnten.
Es gibt viele Gründe, warum Quantencomputer erhebliche Auswirkungen auf den Datenschutz in Bezug auf Datensicherheit und Vertraulichkeit der Kommunikation haben könnten.
(Bild: gemeinfrei / Pixabay )

Die drei größten Hürden beim Einsatz neuer Technologien sind nach Ansicht der Unternehmen Anforderungen an den Datenschutz (79 Prozent, 2019: 74 Prozent), die Anforderungen an die technische Sicherheit (63 Prozent, 2019: 57 Prozent) sowie fehlende Fachkräfte (55 Prozent, 2019: 48 Prozent), so eine Umfrage des Digitalverbands Bitkom im April 2020.

Gleichzeitig setzen viele Unternehmen auf neue Technologien, um den Datenschutz voranzubringen. Fast jedes zweite Unternehmen (48 Prozent) hat für die Umsetzung der DSGVO (Datenschutz-Grundverordnung) spezielle Softwaretools genutzt.

Auch die Aufsichtsbehörden für den Datenschutz sehen Vorteile in neuen Technologien. Diese werden nicht nur als mögliches Risiko gesehen, auch wenn der Einsatz neuer Technologien ein wesentlicher Grund ist, eine Datenschutzfolgenabschätzung (DSFA, Artikel 35 DSGVO) vorzunehmen.

DSGVO fordert Stand der Technik

Neue Technologien, die sich als erfolgreich erweisen, werden in aller Regel zum Stand der Technik. Wie wichtig die Nutzung aktueller Technologien für den Datenschutz ist, zeigt deshalb auch die klare Forderung nach dem Stand der Technik, wenn es um die Sicherheit der Verarbeitung geht. An mehreren Stellen findet man den Bezug zum Einsatz aktueller Lösungen:

  • Artikel 25 DSGVO: Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen: Unter Berücksichtigung des Stands der Technik, (...) trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen der DSGVO zu genügen und die Rechte der betroffenen Personen zu schützen.
  • Artikel 32 DSGVO: Sicherheit der Verarbeitung: Unter Berücksichtigung des Stands der Technik, (...) treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Auch und gerade bei Verschlüsselung muss auf den Stand der Technik geachtet werden. Auch aus diesem Grund sind neue Technologien wie Quantum Computing ein Thema für den Datenschutz.

Bewertung von Quantencomputern

Quantencomputer können aufgrund der neuen, schnellen Methode zur Durchführung von Berechnungen für wissenschaftliche Entwicklungen von großem Nutzen sein. Sobald sie verfügbar sind, können sie jedoch die derzeit verwendete Kryptografie beschädigen und den Schutz (persönlicher) Daten untergraben“, sagt der Europäische Datenschutzbeauftragte.

Es gibt demnach viele Gründe, warum Quantencomputer erhebliche Auswirkungen auf den Datenschutz in Bezug auf Datensicherheit und Vertraulichkeit der Kommunikation haben könnten. Ein Grund ist die Fähigkeit, Kryptographie zu brechen. Quantum Computing kann viele der heutigen klassischen Kryptografien beschädigen und als solche die IT-Sicherheit erheblich beeinträchtigen, so der Europäische Datenschutzbeauftragte. Das Risiko erstreckt sich auf die wichtigsten Internet-Sicherheitsprotokolle. Fast alle heutigen Systeme, die Sicherheit, Datenschutz oder Vertrauen erfordern, wären betroffen.

Aufsichtsbehörden für den Datenschutz befassen sich (natürlich) auch mit den notwendigen Reaktionen auf eine solche technologische Entwicklung: Postquantenkryptographie oder quantensichere Kryptographie. Die Post-Quanten-Kryptographie wird aus Sicht des EU-Datenschützers jedoch wahrscheinlich mit Leistungsnachteilen verbunden sein und größere Rechenressourcen erfordern.

Gleichzeitig warnt der Datenschützer: Die Post-Quanten-Kryptographie ist noch nicht standardisiert. Es muss ausreichend und überzeugendes Wissen vorhanden sein, um in einer sogenannten Kryptoanalyse zu dem Schluss zu kommen, dass eine solche Lösung sowohl für das Quanten- als auch für das binäre Rechnen sicher ist. Das Nationale Institut für Standards und Technologie der USA (NIST) arbeitet an einem Post-Quanten-Kryptographie-Standard und schätzt, dass 2022 oder 2024 ein Entwurf mit einem ersten Algorithmus veröffentlicht wird. Nach der Standardisierung müssen Algorithmen in Standard-Internetprotokolle wie HTTPS integriert werden.

Datenschutz bremst nicht, sondern begleitet neue Technologien

Offensichtlich sehen sich die Datenschützer die möglichen Folgen von Quantum Computing kritisch, aber praxisnah an, genau wie es das BSI (Bundesamt für Sicherheit in der Informationstechnik) auch macht. Entsprechend hat der Europäische Datenschutzbeauftragte praktische Hinweise für Unternehmen:

  • Unternehmen sollten überlegen, wie lange sie die absolute Vertraulichkeit der Daten und den Schutz vor nachträglicher Entschlüsselung gewährleisten müssen. Bislang besteht auf absehbare Zeit keine unmittelbare Bedrohung durch einen Quantencomputer. Für Daten, die sehr lange sicher bleiben müssen, stellt diese Unsicherheit ein Problem dar, das möglicherweise einen frühen Übergang zur Post-Quanten-Kryptographie erfordert.
  • Aus diesem Grund könnten einige Organisationen daran interessiert sein, eine angemessene Risikobewertung sowie Notfall- und Migrationspläne zu erstellen. Solche Pläne sollten aber immer die Gewährleistung der Datensicherheit in Bezug auf die heutige Nicht-Quanten-Sicherheit priorisieren.
  • Bei der Umstellung auf Post-Quanten-Systeme sollten Unternehmen bestehende Risiken und die üblichen Überlegungen bei der Migration von Daten berücksichtigen, die Datensicherheit (Zuverlässigkeit, Verfügbarkeit) sowie Vertraulichkeit gewährleisten (z. B. wenn die Daten mit Post-Quanten-Kryptographie neu verschlüsselt werden).

Diese Praxistipps des EU-Datenschützers zeigen, dass der Datenschutz neue Technologien nicht bremsen will, sondern die Entwicklung begleitet. Letztlich sorgt der Datenschutz auch dafür, dass neue Technologien sicher und unter Beachtung von Compliance-Vorgaben eingesetzt werden können.

(ID:46944337)