Ich versende personenbezogene Daten als verschlüsselte ZIP-Datei. Ist das zulässig und sicher?
Unter bestimmten Voraussetzungen, ja.
Der § 64 BDSG / Art. 32 DSGVO (Sicherheit der Verarbeitung) besagt, dass sowohl der Verantwortliche als auch der Auftragsverarbeiter alle erforderlichen technischen und organisatorischen Maßnahmen treffen muss, um bei der Verarbeitung personenbezogener Daten ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.
Das würde in diesem Fall bedeuten, dass es ausreichend ist, wenn die Daten als verschlüsselte, entsprechend der unten aufgeführten Anforderungen, ZIP-Datei versendet werden.
Anforderungen an ein sicheres Passwort:
Eine verschlüsselte ZIP-Datei bietet nur dann rudimentären Schutz, wenn das Passwort für die Verschlüsselung folgenden Kriterien entspricht:
- mindestens 8 Zeichen -> besser mehr
- Sonderzeichen
- Groß- und Kleinschreibung
- Zahlen
- Es sollte vermieden werden, Wortkombinationen oder logische Zahlen- oder Buchstabenreihen zu verwenden.
Unzureichend sind: 12345678, oder HelloWorld, abcdefghi, etc.
Und bitte nicht vergessen: Sofern Sie unverschlüsselte Passwörter zu dieser ZIP-Datei verschicken wollen, dann bitte niemals per Mail, sondern per SMS an das Handy des Empfängers.