DSGVO-konforme Datenlöschung – aber wie !?

Vorschläge für ein datenschutzkonformes Löschkonzept...

Werbung
Weg mit nicht mehr benötigten Daten - aber ein Löschkonzept nach DSGVO sieht definitiv anders aus !
Weg mit nicht mehr benötigten Daten - aber ein Löschkonzept nach DSGVO sieht definitiv anders aus !
☆ Dieser Artikel ist Teil unseres Special Datenschutz: Die DSGVO im Detail…

Datenschutz ist die wahre Herausforderung des IT-Zeitalters. Mit der europaweit gültigen DSGVO wird der Schutz personenbezogener Daten auf eine neue Ebene gehoben, indem einheitliche Datenschutzbestimmungen für einen Staatenbund mit über einer halben Milliarde Einwohnern vereinbart wurden.

Einer der wichtigsten Bausteine der DSGVO ist das „Recht auf Vergessenwerden“ und die damit einhergehenden Löschpflichten im Unternehmen.

Nicht länger benötigte personenbezogene Daten, für welche keine gesetzliche Grundlage zur langfristigen Aufbewahrung existiert, müssen dauerhaft von den IT-Systemen entfernt werden.

Gelöscht ist nicht gleich gelöscht…

Doch das ist gar nicht so einfach, wie es sich zunächst anhört.

Das simple Löschen eines Datensatzes, das Ziehen von Dateien in den Papierkorb oder Shell-Befehle wir „rm“, „del“ und „cp /dev/null“ entfernen mitnichten die Daten, sondern veranlassen das Betriebssystem nur dazu, diese auf dem Datenträger als „zum Löschen freigegeben“ zu markieren.

Sobald der Speicherplatz des Massenspeichers benötigt wird, können diese Areale vom Betriebssystem überschrieben werden. In der Zwischenzeit bleiben die Daten erhalten und sind theoretisch wiederherstellbar. Aus datenschutzrechtlicher Sicht ein klarer Verstoß.

Stellen Sie sich eine Festplatte (oder jeden anderen Datenträger) als ein Buch mit Inhaltsverzeichnis vor. Nur weil man einen Eintrag aus dem Inhaltsverzeichnis eliminiert, ist dieser nachwievor im Buch zu finden.

Bei einem datenschutzkonformen Löschkonzept muss hingegen sichergestellt werden, daß von der Originalinformation nichts auf dem Gerät zurückbleibt. Dauerhaft und unwiederbringlich.

Überschreiben ist das neue Löschen

Eine Option ist das Überschreiben von zu löschenden Daten mit zufälligen Sequenzen binärer Ziffern (umgangssprachlich als Nulldaten bekannt) oder anderen wahlfreien Zeichenfolgen.

Dieser Vorgang erfolgt gegebenenfalls mehrfach, um das Risiko eventueller Fehlfunktionen des Controllers während des Schreibens der neuen Daten zu minimieren. Je nach Anforderung an die Vertraulichkeit sind zwischen zwei und 35 Durchläufe üblich – ein mitunter zeitaufwändiges Verfahren.

Aber nur auf diese Weise gelöschte Daten sind nicht mehr auf dem Datenträger vorhanden und können auch nicht durch spezialisierte Tools oder Datenrettungs-Spezialisten wiederhergestellt werden.

Als Alternative für das Entfernen großer Datenmengen und unter der Maßgabe einer späteren Wiederverwendung des Datenträgers, bietet sich das sogenannte Low-Level-Formatieren an (Formatieren auf niedriger Stufe). Hierbei werden neben den Daten auch die Strukturen des Dateisystems eliminiert.

Zerstören mit Methode

Sind Datenträger zur Entsorgung vorgesehen, können zwar einerseits brachialere Verfahren zum Einsatz kommen, andererseits muss hier besonders gründlich vorgegangen werden, da die Medien zur Entsorgung üblicherweise das Unternehmen verlassen und in fremde Hände übergehen.

Hier bietet sich für magnetische Medien das Entmagnetisieren (degaussing) als schnelle und zuverlässige Methode an. Optische oder magneto-optische Datenträger können durch Schreddern bzw. jede andere Form der physikalischen Zerstörung unbrauchbar gemacht werden.

So oder so sind die Löschmaßnahmen an die Art der Datenträger anzupassen. Während das Überschreiben mit zufällig erzeugten Daten bei magnetischen Datenträgern (wie Festplatten, Bänder) zielführend ist, so wäre diese Methode bei SSDs nicht nutzbar:

Aufgrund technischer Eigenheiten (Schreiben belastet eine Speicherzelle mehr als Lesen), bestimmt ein Controller im Speicherchip, wohin neue Daten geschrieben werden – dies dient zur Verlängerung der Lebensdauer. Ein gezieltes Entfernen von Daten ist so allerdings unmöglich.

Besonders problematisch ist das sichere Löschen von Daten auf Geräten mit fest installierten Speicherelementen wie Smartphones und Tablets. Als letzte Maßnahme greift hier dann nur noch die mechanische Zerstörung, was mitunter hohe Kosten verursacht und auch aus Sicht des Umweltschutzes bedenklich ist.

Mit Blick auf die neuen Datenschutzvorschriften stellt sich die Frage, inwieweit die von Unternehmen gerne praktizierte Kostensparmaßnahme BYOD („bring your own device“) noch praktikabel erscheint. Immerhin müssten Mitarbeiter damit rechnen, daß ihre Geräte aus Datenschutzgründen irgendwann einmal dem Vorschlaghammer zum Opfer fallen könnten.

Nichts geht ohne Protokoll

Neben den technischen Abläufen erfordert ein datenschutzkonformes Löschkonzept auch die Erstellung eines Maßnahmenplans sowie die Protokollierung der Durchführung von Löschvorgängen.

Dies kann entweder automatisiert erfolgen oder handschriftlich, wobei es hier auf den Einzelfall ankommt, wie detailliert die Dokumentation ausfallen sollte. Grundsätzlich muss nachvollziehbar sein, ob und wie nicht mehr benötigte personenbezogene Daten entfernt wurden.

Für kleine Unternehmen mit wenigen Arbeitsplätzen und Endgeräten sollte eine tabellarische Auflistung ausreichend sein, die zeigt, in welchen Zeitabständen und mit welcher Methodik eine Prüfung des Datenbestands auf nicht länger benötigte Daten erfolgte und wann diese Daten entfernt wurden.

Datenschutz hat nicht immer Vorrang

Ob personenbezogene Daten zur Löschung freigegeben werden können oder nicht, hängt von multiplen Faktoren ab, z.B.:

  • Die Daten sind nicht länger für den Betriebsablauf erforderlich
  • Die gesetzliche Grundlage (z.B. Aufbewahrungspflicht) entfällt
  • Der Betroffene wünscht eine Löschung („Recht auf Vergessenwerden“)

Insbesondere gesetzliche Vorschriften (z.B. Buchführung, Steuergesetzgebung) oder vertragliche Pflichten (z.B. Haftung) erfordern oft eine langfristige Speicherung der Daten.

Wer also in vorauseilendem Gehorsam dem Datenschutz gegenüber allzu schnell agiert, läuft Gefahr, sich Nachteile an anderer Stelle einzuhandeln. Umso wichtiger ist deshalb das Ausarbeiten eines Löschkonzepts, welches die Speicherdauer der einzelnen Datenkategorien berücksichtigt.


Stand der Informationen: Mai 2018
Wichtig: Bitte beachten Sie die Nutzungsbedingungen und rechtlichen Hinweise für diesen Beitrag !

Werbung