linkedIn Logo   LINKEDIN
facebook LogoFACEBOOK
XING LogoXING
17.März 2023 | Team Datenschutz | Thema: Datenschutz

Löschen im Datenschutzrecht – Teil 2

Schlagwörter: DSGVO | Kommentar | Rechtsgrundlagen | Tipps

Im Blogartikel Löschen im Datenschutzrecht – Teil 1 haben wir dich in die Thematik des Löschens im Datenschutzrecht eingeführt. In Teil 2 erläutern wir, was man unter den Begriffen Löschung, Vernichtung, Anonymisierung, Sperrung, Einschränkung und Verschlüsselung versteht.

Löschen von Daten

Der Begriff des Löschens wird in der DSGVO nicht näher definiert. Im Standard-Datenschutzmodell (SDM) ist mit Löschen das Unkenntlich machen gespeicherter personenbezogener Daten gemeint. Nach einer Löschung dürfen keine Kopien oder Replikationen der Daten mehr in den Dateisystemen des Verantwortlichen oder möglicher Auftragsverarbeiter vorhanden sein. Sollten personenbezogene Daten durch Unkenntlichmachung gelöscht werden, so dürfen diese nicht wieder herstellbar sein.

  • Datenlöschung mittels Software

Eine sichere Datenlöschung kann durch den Einsatz professioneller Softwarelösungen erreicht werden, die den Datenträger mehrfach überschreiben. Professionelle Tools zur Datenlöschung bieten ausführliche Reporting Funktionen und die Verifizierung der erfolgreichen Löschung sowie Nachweise über die erfolgten Löschvorgänge an. Zudem besteht die Möglichkeit, Parameter und Löschalgorithmen auszuwählen oder selbst zu definieren. Datenschutzkonforme Anwendungen (z.B. Recruiting Plattformen, CRM-Lösungen) bieten ebenfalls Löschfunktionen an.

  • Datenlöschung mittels Hardware

Eine zuverlässige Methode zur endgültigen Datenlöschung stellt zudem die physikalische Zerstörung von Datenträgern dar. Eine gängige Methode ist das Schreddern. Ein Schredder ist ein mechanisches Gerät zum Zerkleinern von unterschiedlichen Materialien, d.h. der Datenträger wird zerstört, indem er in kleine Teile zerlegt wird.

Eine weitere Möglichkeit zur nachhaltigen Löschung ist die Entmagnetisierung mittels eines Degaussers. Ein Degausser ist ein elektrisches Gerät, mit dessen Hilfe magnetische Datenträger durch Entmagnetisierung zuverlässig gelöscht werden können. In einem Degausser wird der Datenträger einem starken Magnetfeld ausgesetzt. Durch die Entmagnetisierung werden die auf den Datenträgern befindlichen Informationen unwiederbringlich gelöscht, die Datenträger selbst werden jedoch auch unbrauchbar. Die Medien können anschließend umweltgerecht entsorgt werden. Daten können ebenfalls durch thermische Zerstörung des Datenträgers gelöscht werden (Erhitzen von Magnetplatten).

Vernichtung

Im Gegensatz zur Löschung ist mit dem Begriff „Vernichtung“ die Zerstörung von Datenträgern gemeint (analoge oder digitale). Vernichtung stellt eine unwiderrufliche Form des Löschens dar. Für eine datenschutzkonforme Umsetzung ist bei der Wahl der Vernichtungsmethode die DIN 66399 zu beachten.

Anonymisierung

Die Anonymisierung stellt eine weitere Form der Datenlöschung dar. Anonymisierte Daten sind nicht mehr personenbezogen; das Datenschutzrecht ist auf sie nicht mehr anwendbar. Aber Achtung: Anonymisierung stellt nach Meinung einiger Datenschutzvertreter*innen eine Verarbeitung dar, die einer Rechtsgrundlage bedarf. Anonymisierung bedeutet, dass der Aufwand zur Wiederherstellung eines Personenbezugs unverhältnismäßig hoch sein muss bzw. die Wiederherstellbarkeit nicht möglich ist. Die Anonymisierung ist in der Regel ein recht anspruchsvoller Verarbeitungsvorgang. Allgemein gilt, dass umso mehr Veränderungen notwendig sind, je einzigartiger die erfassten Informationen sind. Das Herauslöschen etwa nur von Namen oder weiteren personenbeziehbaren Daten aus einem Datensatz dürfte in der praktischen Umsetzung eher nicht ausreichend sein.

Sperrung

Das Sperren von elektronisch gespeicherten Daten stellt keine Form der Löschung dar. Eine Sperrung von Daten ist allerdings immer dann erforderlich, wenn nach Wegfall von Zweck und Rechtsgrundlage eine längere Datenspeicherung erforderlich ist, z.B. um Aufbewahrungspflichten zu erfüllen. Eine weitere Datenverarbeitung wird somit durch die Sperrung ausgeschlossen, ein Zugriff auf diese Daten ist nur erlaubt, um die zugrundeliegenden Zwecke (z.B. Aufbewahrung oder Verteidigung gegen Rechtsansprüche) zu erfüllen. Eine längere legitime Speicherdauer und der Schutz der Daten vor nicht zweckgemäßer Verarbeitung durch Sperrung ist sinnvoller Weise im sogenannten Löschkonzept zu dokumentieren.

Einschränkung

Eine Ausnahmeregelung wird für „nicht automatisierte Datenverarbeitungen“ in § 35 Abs. 1 BDSG definiert: Ist eine Löschung „im Falle nicht automatisierter Datenverarbeitung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich und ist das Interesse der betroffenen Person an der Löschung als gering anzusehen“, entfällt die Löschpflicht des Verantwortlichen und das Recht auf Löschung der betroffenen Person. An die Stelle der Löschung tritt die Einschränkung der Verarbeitung gemäß Art. 18 DSGVO. „Einschränkung“ bedeutet, dass die Daten nicht mehr für die Benutzenden verfügbar sein sollen („unavailable to users“). Es genügt nicht, die Daten nur mit einem Einschränkungsvermerk zu versehen. Vielmehr muss der Verantwortliche durch technische und organisatorische Maßnahmen eine weitere Verarbeitung der Daten effektiv unterbinden z.B. durch Sperrung oder Übertragung auf ein anderes Dateisystem.

Verschlüsselung

Das Verschlüsseln von Daten (unter Anwendung sicherer Verschlüsselungsverfahren) kann eine Form der Löschung darstellen, wenn anschließend der zur Entschlüsselung benötigte Schlüssel gelöscht wird.

Wann findet real keine Datenlöschung statt?

Keine Datenlöschung hingegen wird ausgelöst:

  • durch bloßes Austragen von Verweisen auf die weiterhin gespeicherten personenbezogenen Daten aus elektronischen Verzeichnissen.
  • durch Formatierung von Festplatten („Schnelles Formatieren“), da lediglich das Inhaltsverzeichnis (d.h. die Dateizuordnungstabelle) des Datenträgers gelöscht wird; die personenbezogenen Daten selbst aber bleiben unverändert.
  • durch das Verbieten der weiteren Verarbeitung personenbezogener Daten gegenüber Beschäftigten, Auftragsverarbeitern und Dritten.
  • durch Nutzen der vom Betriebssystem angebotenen Löschbefehle (delete, etc.), da die Daten nur in den Papierkorb verschoben werden. Die Daten verbleiben auf der Festplatte und werden nur als „gelöscht“ gekennzeichnet. Solange die freigegebenen Speicherbereiche nicht überschrieben werden, können die Daten problemlos mit einer herkömmlichen Datenrettungs-Software wiederhergestellt werden.

Fazit

Es gibt, abhängig von der Art der Datenträger, unterschiedliche Möglichkeiten, die Daten sicher zu löschen. Auch bezogen auf den Schutzbedarf der Daten sollte eine geeignete Methode für die Löschung oder Vernichtung ausgewählt werden. Für die datenschutzkonforme Vernichtung von Daten sollte die DIN 66399 beachtet werden. Für die sichere Datenlöschung können Unternehmen auf Softwarelösungen, Schredder oder Degausser zurückgreifen. Alternativ kann die Entsorgung von Daten (Löschung/ Vernichtung) auch an einen externen Dienstleister ausgelagert werden, der die Entsorgung im Auftrag gemäß Art. 28 DSGVO übernimmt. Wichtig zur Erfüllung der Rechenschaftspflichten und ggf. Compliance-Vorgaben ist für jedes Unternehmen zudem, Datenlöschungen lückenlos zu dokumentieren. Löschvorgänge sollten im besten Fall mit einem manipulationssicheren Report oder durch Zertifikate oder Löschprotokolle (ggf. auch vom Dienstleister) belegt werden.  In der DSGVO gibt es keine Aussagen dazu, wie lange Löschprotokolle aufbewahrt werden sollen. Ausgehend von der sich aus § 31 OWiG ableitenden dreijährigen Verjährungsfrist von Bußgeldangelegenheiten wegen eines Verstoßes gegen die DSGVO oder das BDSG empfehlen wir eine Aufbewahrungsfrist von drei Jahren für Löschprotokolle.

Empfehlungen

  • Bei hochsensiblen Daten ist immer eine physikalische Zerstörung der Datenträger in Erwägung zu ziehen.
  • Defekte Datenträger sollten vor deren Entsorgung grundsätzlich immer zerstört werden, bevor Daten in die Hände von unbefugten Dritten gelangen könnten.
  • Sollen mobile Datenträger (Festplatten, Laptops, Mobiltelefone, USB-Sticks etc.) innerhalb des Unternehmens weiterverwendet werden, etwa Übergabe an eine/n andere/n Beschäftigte/n oder bei Rückgabe des Laptops an die Leasingfirma oder bei Weiterverkauf, so sind sie mit einem geeigneten Softwaretool komplett zu überschreiben, mindestens dreimal – bei hochsensiblen Daten siebenmal.
  • Werden Daten physisch an Dritte weitergegeben, sollten möglichst neue Datenträger verwendet werden. Ist dies nicht möglich, so sollten die „alten“ Datenträger mehrfach überschrieben und keinesfalls nur formatiert werden.

Siehe auch Teil 1 in diesem Blog.

 

Quellen/Links:

Datenschutzgrundverordnung (DSGVO): https://dsgvo-gesetz.de/

Bundesdatenschutzgesetz (BDSG): https://dsgvo-gesetz.de/bdsg/

Gesetz über Ordnungswidrigkeiten (OWiG): https://www.gesetze-im-internet.de/owig_1968/

Din-Normen: https://www.din.de/de

zurück
Themen
Schlagwörter
DSGVOTippsGirls-DayRechtsgrundlagenTADPFSicherheitEuGH-UrteilRechtsprechungprocado-internEU-RichtlinieGesetzSicherheitsrisikoKommentarkleine ReiheSocial MediaDatenschutzverstossBussgeldAkademieIHKSchulungenManaged Service ProviderMSPVerarbeitungsverzeichnisDatentransferEU-US Privacy Shield 2.0IT-SicherheitIT-SupportCybercrimePhishingSocial EngeneeringAufsichtsbehördenMicrosoft 365AbmahnungGoogle Fontsprivate E-Mail-NutzungTKGLogistikTrackingOffenlegungRechtswidrige AnfragenTransparenzberichtHistorischesAuftragsverarbeitungMonitoringCovidkuriosesJobJahresrückblick
Löschen im Datenschutzrecht – Teil 1Postit PräsenzschulungIHK-Zertifikatslehrgang Modul 1 Betriebliche*r Datenschutzbeauftragte*r: Grundlagen...