Der externe Datenschutzbeauftragte

Als Dienstleister übernehmen wir alle Aufgaben des betrieblichen Datenschutzbeauftragten für Ihr Unternehmen.

Mehr Informationen

Datenschutz-Audits

Mit einer Zertifizierung nach dem Standard DS-BvD-GDD-01 kann Ihr Unternehmen nach außen dokumentieren, dass Sie den Datenschutz ernst nehmen und die Daten Ihrer Kunden bei Ihnen sicher sind.

Mehr Informationen

Computerforensik

Wer hat wann welche Tätigkeiten am PC oder Smartphone durchgeführt? Die Computerforensik findet die Antworten...

Mehr Informationen

Datenschutz

Ein hohes Datenschutzniveau ist heute ein wichtiges Qualitätsmerkmal für viele Unternehmen. Ein externer Datenschutzbeauftragter gewährleistet die Umsetzung der gesetzlichen Vorgaben.

Mehr Informationen

Datenschutz-Audits

Mit einem Datenschutz-Audit kann ein Unternehmen die Einhaltung der datenschutzrechtlichen Vorschriften nach außen dokumentieren. Für Auftragsdatenverarbeitungen ist insbesondere der Standard DS-BvD-GDD-01 interessant.

Mehr Informationen

Gutachten

Ob zur Strafverfolgung durch die Behörden, zur Beweisführung in zivilrechtlichen Verfahren oder zur Bewertung von Hard- und Software - häufig kann ein IT-Gutachen die benötigten Nachweise liefern.

Mehr Informationen

Computer-Forensik

Computerstraftaten haben in den letzten Jahren enorm zugenommen. Zur Beweisführung aber auch zur Verteidigung gegen unberechtigte Beschuldigungen können computerforensische Gutachten den entscheidenden Beitrag liefern.

Mehr Informationen

gdd-mitglied-pos
2016_01_29_Logo_Mitglieder_lowres

Datenschutzgerechte Datenlöschung

28. Juni 2016

Jedes Unternehmen, welches mit personenbezogenen Daten umgeht – und das dürfte auf so ziemlich jedes Unternehmen zutreffen – kommt irgendwann an den Punkt, an dem Daten gelöscht werden müssen. Die Gründe für die Datenlöschung sind vielfältig, einer kommt jedoch immer zu einem bestimmten Zeitpunkt zum Tragen: Es gibt keine Aufbewahrungspflicht (mehr). Das BDSG sagt in § 35 ganz deutlich, dass personenbezogene Daten, die nicht mehr benötigt werden, zu löschen sind.

Ganz einfach, oder?

Nun klingt es erst einmal fast trivial, Daten zu löschen. Auf einem Computer können Dateien gelöscht werden und Papier kann man shreddern. Der Teufel liegt allerdings im Detail. Der zu betreibende Aufwand hängt nicht nur von der Sensibilität der Daten ab, sondern auch vom Speichermedium. Einen guten, brauchbaren und auch aktuellen Leitfaden, wie man Daten sicher gelöscht bekommt, liefert die mittlerweile gut bekannte DIN EN ISO 66399.

Sicherheitsstufe bestimmen

Diese DIN teilt die Sensibilität von Daten in 7 Sicherheitsstufen ein. Je nach Speichermedium (hier werden in der DIN sechs Materialklassen definiert) kann dann exakt entschieden werden, wie die jeweiligen Daten zu vernichten sind. Allerdings gibt es keinen verbindlichen Katalog, welche Daten(arten) in welche Sicherheitsstufe einzuordnen sind. Hier ist also die erste Hürde zu nehmen. Wir empfehlen, diese Einordnung in Sicherheitsstufen stets mit Ihrem Datenschutzbeauftragten abzustimmen.

Zeitpunkt bestimmen

Ist die Eingruppierung erledigt, muss „nur noch“ bestimmt werden, welche Daten wann zu löschen sind – könnte man meinen. Hier sind nach Wegfall des Verarbeitungsgrunds noch eventuelle Aufbewahrungspflichten, die an vielfältigen Stellen verteilt über zahlreiche Gesetze und Verordnungen definiert werden, zu prüfen. Wurde dann die Entscheidung getroffen, welche Daten wie zu vernichten sind, kann theoretisch damit begonnen werden.

Papier ist einfach …

In der praktischen Umsetzung stehen die Unternehmen jetzt vor den nächsten Herausforderungen. Papier datenschutzgerecht zu vernichten ist heutzutage kein Problem mehr; im Zweifel kann sich der Unterstützung diverser Dienstleister im Rahmen einer Auftragsdatenverarbeitung bedient werden. Vollständige Festplatten sicher zu löschen stellt auch kein großes technisches Problem dar: Die Medien können vollständig überschrieben oder alternativ physisch zerstört werden. Auch hier kann ein entsprechender Dienstleister helfen. Das wirkliche Problem ist, Daten in laufenden Systemen datenschutzgerecht zu löschen.

… Software leider nicht

Angefangen bei der Löschung einzelner Dateien von einer Festplatte eines Rechners über die Löschung von Daten von Fileservern bis hin zur Löschung einzelner Datensätze aus relationalen Datenbanken oder aus gekaufter Standardsoftware steht man hier vor besonderen und teils unlösbaren Herausforderungen. Häufig hat das Unternehmen schlichtweg keinen Einfluss darauf, ob das Absetzen des „Löschen“-Kommandos auch wirklich löscht.

SQL-Server z. B. haben ausgeklügelte Strategien, ihren Speicher zu organisieren. Das höchste Ziel ist hier stets die Performance. Darunter „leidet“ dann letztlich der Datenschutz. Das Absetzen eines SQL „delete“ Statements bewirkt eben nicht zwingend, dass die Daten wirklich gelöscht werden. Diese können durchaus in Indexen, Rollback-Logs und an zahlreichen anderen Stellen noch vorhanden sein. Zusätzlich werden die Daten beim „delete“ auch nicht überschrieben, sondern lediglich der Speicher freigegeben. Greift man nun von außen in solche Systeme ein, um sicherzustellen, dass die Daten auch wirklich nicht wiederherstellbar gelöscht wurden, erzeugt man mit hoher Wahrscheinlichkeit Inkonsistenzen oder zumindest Instabilitäten.

Standardsoftware (wir nennen hier bewusst keine Produkte) zeigen häufig ein ähnlich gelagertes Verhalten. Das geht soweit, dass Daten ggf. nur ein Löschkennzeichen bekommen und ausgeblendet werden. Hier können sich über Jahre hinweg gelöscht geglaubte Daten ansammeln, auf die mit wenig Aufwand wieder zugegriffen werden könnte. Jetzt stelle man sich vor, eine solche Software setzt zur Datenspeicherung einen SQL-Server ein…

Nichts geht mehr

Bei solchen Systemen hat man schlichtweg keine Chance, datenschutzgerecht zu löschen. Was aber kann man tun? Aus Sicht der Aufsichtsbehörden dürfte der Königsweg sein, solche Software zu vermeiden. Das würde auch den Druck auf die entsprechenden Hersteller erhöhen, hier Abhilfe zu schaffen. Letztlich ist dieses Vorgehen zum jetzigen Zeitpunkt häufig nicht praktikabel, denn allzu oft gibt es keine adäquate Alternative. Hinzu kommt, dass ein solcher Systemwechsel in der Regel erhebliche Kosten erzeugt.

In vielen Fällen kann die nicht erfolgte Löschung zumindest als Sperrung bezeichnet werden. Hier bietet der bereits erwähnte § 35 BDSG vielleicht ein kleines Schlupfloch. Dort wird in Abs. 3 Nr. 3 nämlich erlaubt, nur zu sperren, statt zu löschen, wenn „eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist“. Offenbar kannte der Gesetzgeber die Problematik. Bedauerlicher Weise haben die Softwarehersteller bislang keine Lösung für dieses Problem angeboten.

Sicher ist: Mit dieser Argumentation wird man bei den Aufsichtsbehörden nicht immer durchkommen, obwohl auch dort das Wissen um diese Situation natürlich vorhanden ist.

Es ist also dringend anzuraten, das Thema Datenvernichtung grundsätzlich und unter Einbeziehung des Datenschutzbeauftragten anzugehen.