datenlöschung löschen schreddern vernichten 17 dsgvo

Datenschutz-gerechte Datenlöschung nach BGSG

Jedes Unternehmen, welches mit personenbezogenen Daten umgeht – und das dürfte so ziemlich jedes Unternehmen dieser Welt sein – kommt irgendwann an den Punkt, an dem Daten gelöscht werden müssen. Die Gründe für die Datenlöschung sind vielfältig, einer trifft jedoch immer zu: Es gibt keine Aufbewahrungspflicht (mehr). Das BDSG sagt in § 35 ganz deutlich, dass personenbezogene Daten, die nicht mehr benötigt werden, zu löschen sind.

Ganz einfach, oder?

Nun klingt es erst einmal fast trivial, Daten zu löschen. Auf einem Computer können Dateien gelöscht werden und Papier kann man schreddern. Der Teufel liegt allerdings im Detail. Der zu treibende Aufwand hängt nicht nur von der Sensibilität der Daten ab, sondern auch vom Speichermedium. Einen guten, brauchbaren und auch aktuellen Leitfaden, wie man Daten sicher gelöscht bekommt, liefert die mittlerweile gut bekannte DIN EN ISO 66399.

Sicherheitsstufe bestimmen

Diese DIN teilt die Sensibilität von Daten in 7 Sicherheitsstufen ein. Je nach Speichermedium (hier werden in der DIN sechs Materialklassen definiert) kann dann exakt entschieden werden, wie die jeweiligen Daten zu vernichten sind. Allerdings gibt es keinen verbindlichen Katalog, welche Daten(arten) in welche Sicherheitsstufe einzuordnen sind. Hier ist also die erste Hürde zu nehmen. Wir empfehlen, diese Einordnung in Sicherheitsstufen stets mit Ihrem Datenschutzbeauftragten abzustimmen.

Zeitpunkt bestimmen

Ist die Eingruppierung erledigt, muss “nur  noch” bestimmt werden, welche Daten wann zu löschen sind – könnte man meinen. Hier sind nach Wegfall des Verarbeitungsgrunds noch eventuelle Aufbewahrungspflichten, die an vielfältigen Stellen verteilt über zahlreiche Gesetze und Verordnungen definiert werden, zu prüfen. Hat man dann die Entscheidung getroffen welche Daten wie zu vernichten sind, kann theoretisch damit begonnen werden.

Papier ist einfach …

Praktisch stehen einem jetzt unter Umständen die nächsten Herausforderungen bevor. Papier datenschutzgerecht zu vernichten ist heutzutage kein Problem mehr, im Zweifel kann man sich der Unterstützung diverser Dienstleister im Rahmen einer Auftragsdatenverarbeitung bedienen. Vollständige Festplatten sicher zu löschen stellt auch kein großes technisches Problem dar: Vollständig überschreiben, danach physisch zerstören. Alternativ kann auch hier ein entsprechender Dienstleister helfen. Das wirkliche Problem ist, Daten in laufenden Systemen datenschutzgerecht zu löschen.

… Software leider nicht

Angefangen bei der Löschung einzelner Dateien von einer Festplatte eines Rechners über die Löschung von Daten von Fileservern bis hin zur Löschung einzelner Datensätze aus relationalen Datenbanken oder aus gekaufter Standardsoftware steht man hier vor besonderen und teils unlösbaren Herausforderungen. Häufig hat man schlichtweg keinen Einfluss darauf, ob das Absetzen des “Löschen”-Kommandos auch wirklich löscht.

SQL-Server z. B. haben ausgeklügelte Strategien, ihren Speicher zu organisieren. Das höchste Ziel ist hier stets die Performance. Darunter “leidet” dann letztlich der Datenschutz. Das Absetzen eines SQL “delete” Statements bewirkt eben nicht zwingend, dass die Daten wirklich gelöscht werden. Diese können durchaus in Indexen, Rollback-Logs und an zahlreichen anderen Stellen noch vorhanden sein. Zusätzlich werden die Daten beim “delete” auch nicht überschrieben, sondern lediglich der Speicher freigegeben. Greift man nun von außen in solche Systeme ein, um sicherzustellen, dass die Daten auch wirklich nicht wiederherstellbar gelöscht wurden, erzeugt man mit hoher Wahrscheinlichkeit Inkonstistenzen oder zumindest Instabilitäten.

Standardsoftware (wir nennen hier bewusst keine Produkte) zeigen häufig ein ähnlich gelagertes Verhalten. Das geht soweit, dass Daten ggf. nur ein Löschkennzeichen bekommen und ausgeblendet werden. Hier können sich über Jahre hinweg gelöscht geglaubte Daten ansammeln, auf die mit wenig Aufwand wieder zugegriffen werden könnte. Jetzt stelle man sich vor, eine solche Software setzt zur Datenspeicherung einen SQL-Server ein…

Nichts geht mehr

Bei solchen Systemen hat man schlichtweg keine Chance, datenschutzgerecht zu löschen. Was aber soll man jetzt tun? Aus Sicht der Aufsichtsbehörden dürfte der Königsweg sein, solche Software zu vermeiden. Das würde auch den Druck auf die entsprechenden Hersteller erhöhen, hier Abhilfe zu schaffen. Letztlich ist dieses Vorgehen zum jetzigen Zeitpunkt aber nicht praktikabel, denn häufig gibt es keine adäquate Alternative. Hinzu kommt, dass ein solcher Systemwechsel auch nicht zu vernachlässigende Kosten erzeugt.

In vielen Fällen kann die nicht erfolgte Löschung zumindest als Sperrung bezeichnet werden. Hier bietet der bereits erwähnte § 35 BDSG vielleicht ein kleines Schlupfloch. Dort wird in Abs. 3 Nr. 3 nämlich erlaubt, nur zu sperren, statt zu löschen, wenn “eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist”. Offenbar kannte der Gesetzgeber die Problematik. Bedauerlicher Weise haben die Softwarehersteller bislang keine Lösung für dieses Problem angeboten.

Sicher ist: Mit dieser Argumentation wird man bei den Aufsichtsbehörden nicht immer durchkommen, obwohl auch dort das Wissen um diese Situation natürlich vorhanden ist.

Es ist also dringend anzuraten, das Thema Datenvernichtung grundsätzlich und unter Einbeziehung des Datenschutzbeauftragten anzugehen.


Diesen Beitrag teilen