Was ist GDPR?
Die DSGVO (Datenschutz-Grundverordnung, englisch GDPR) ist ein umfassendes Datenschutzgesetz der Europäischen Union, das regelt, wie Organisationen personenbezogene Daten von Personen innerhalb der EU und des Europäischen Wirtschaftsraums erheben, verarbeiten, speichern und teilen.
Auch bekannt als: GDPR, General Data Protection Regulation
Die DSGVO legt sieben Grundprinzipien für die Datenverarbeitung fest: Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz; Zweckbindung; Datensparsamkeit; Richtigkeit; Speicherbegrenzung; Integrität und Vertraulichkeit; sowie Rechenschaftspflicht. Die Verordnung räumt betroffenen Personen erhebliche Rechte über ihre Daten ein, darunter das Recht auf Auskunft, Berichtigung, Löschung (das „Recht auf Vergessenwerden"), Datenportabilität und Widerspruch gegen die Verarbeitung.
Das Prinzip der Integrität und Vertraulichkeit (Artikel 5 Abs. 1 lit. f) verlangt, dass personenbezogene Daten mit „angemessener Sicherheit" verarbeitet werden – einschließlich des Schutzes vor unbefugtem Zugriff, versehentlichem Verlust oder Vernichtung. Artikel 32 schreibt Organisationen ausdrücklich vor, technische Maßnahmen proportional zum Risiko zu implementieren, und nennt Verschlüsselung und Pseudonymisierung als geeignete Maßnahmen. Datenpannen müssen Aufsichtsbehörden innerhalb von 72 Stunden gemeldet werden, mit möglichen Bußgeldern von bis zu 4 % des weltweiten Jahresumsatzes oder 20 Millionen Euro.
Die DSGVO-Prinzipien der Datensparsamkeit und Speicherbegrenzung haben direkte Auswirkungen darauf, wie Organisationen mit Zugangsdaten und Geheimnissen umgehen. Passwörter, API-Schlüssel oder Zugriffstoken in persistenten E-Mail-Threads oder Chat-Protokollen aufzubewahren, schafft unnötige Datenbestände, die geschützt und letztlich gelöscht werden müssen. Organisationen, die keine angemessenen Sicherheitsmaßnahmen für alle gespeicherten Daten – einschließlich operativer Geheimnisse – nachweisen können, sind regulatorischen Risiken ausgesetzt.
Wie Vaulted GDPR verwendet
Vaulted entspricht den DSGVO-Kernprinzipien durch sein Design. Datensparsamkeit wird durch selbstzerstörende Links erreicht, die Geheimnisse nach einer konfigurierten Anzahl von Views oder einem Ablaufzeitraum automatisch löschen: Es werden keine Daten über ihren beabsichtigten Verwendungszweck hinaus aufbewahrt. Das Speicherbegrenzungsprinzip wird durch automatischen TTL-basierten Ablauf im Datenspeicher durchgesetzt. Clientseitige AES-256-GCM-Verschlüsselung und die Zero-Knowledge-Serverarchitektur gewährleisten Integrität und Vertraulichkeit: Selbst die Vaulted-Infrastruktur kann nicht auf den geteilten Klartext zugreifen, was den Umfang möglicher Meldepflichten bei Datenpannen reduziert.