Gratis
23. April 2019 - Recht auf Löschen und Vergessenwerden

Daten sicher löschen: Das müssen Sie beachten!

Drucken

Personenbezogene Daten sicher zu löschen, ist Teil der Datensicherheit und der Betroffenenrechte nach der Datenschutz-Grundverordnung (DSGVO). Neben den technischen Löschverfahren sind organisatorische Prozesse wichtig. Verantwortliche und Datenschutzbeauftragte müssen dabei die Verpflichtung, Daten zu löschen, genauso betrachten wie die gesetzlichen Aufbewahrungspflichten.

Das Löschen ist ein wichtiger bestandteil des Datenschutzes Das Löschen personenbezogener Daten ist ein wesentlicher Bestandteil des Datenschutzes (Bild: Anatoliy Babiy / iStock / Thinkstock)

Inhaltsverzeichnis
Sicheres Löschen: Was fordert die DSGVO?
Wann besteht keine Löschpflicht?
Wie sieht ein Konzept für sicheres Löschen aus?
Wie prüft man ein Löschkonzept?
Was ist technisch beim Löschen zu beachten?
Exkurs: Wie löscht Google die Daten?
Was ist jetzt zu tun?

Sicheres Löschen: Was fordert die DSGVO?

Unternehmen müssen personenbezogene Daten so speichern, dass sie eine Person nur so lange identifizieren können, wie es für den Verarbeitungszweck notwendig ist.

Wichtig: Es muss um einen Zweck gehen, der es auch erlaubt, die Daten zu verarbeiten. Alle anderen vermeintlichen Zwecke führen dazu, die Daten unzulässig zu verarbeiten.

Fällt dieser Zweck weg, etwa weil etwas verjährt oder weil das Vertragsverhältnis endet, sind die Daten zu löschen.

Eine Ausnahme gilt, wenn der Gesetzgeber andere Aufbewahrungs- oder Dokumentationspflichten vorschreibt.

Zieht der Betroffene seine Zustimmung zurück, dass ein Unternehmen seine Daten verarbeiten darf, ist dies ebenfalls Anlass, die Informationen zu löschen.

DSGVO sagt nichts zum „Wie“

Die Datenschutz-Grundverordung (DSGVO) schreibt zwar vor, personenbezogene Daten zu löschen. Sie beantwortet aber nicht die Frage, welche Verfahren dafür geeignet sind. Und sie empfiehlt auch kein bestimmtes Vorgehen.

In dieser Hinsicht gleicht die Datenschutz-Grundverordnung dem alten Bundesdatenschutzgesetz (BDSG-alt). Es blieb ebenfalls sehr unkonkret, wenn es darum ging, Verfahren technisch umzusetzen.

Verantwortliche müssen sich daher zunächst an den Grundsätzen der Datenverarbeitung orientieren, die die DSGVO vorgibt. Da ist zum einen der …

Grundsatz der Speicherbegrenzung

Zu den Grundsätzen für die Verarbeitung personenbezogenen Daten (Artikel 5 DSGVO) gehört die Speicherbegrenzung. Der Grundsatz besagt:

„Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke verarbeitet werden.“

Haben personenbezogene Daten, die für einen bestimmten Zweck erhoben wurden, diesen Zweck erfüllt, sind sie nicht mehr erforderlich.

Die Daten sind zu löschen, sofern keine weiteren rechtlichen Vorgeben dem entgegenstehen. Genauere Vorgaben enthält das Recht auf Vergessenwerden.

Das Recht auf Vergessenwerden

Der Artikel 17 DSGVO (Recht auf Löschung, Recht auf Vergessenwerden) nennt mehrere Anlässe dafür, dass die Löschpflicht eintritt. Darunter:

  • Die personenbezogenen Daten sind für die Zwecke, für die der Verantwortliche sie erhoben oder auf sonstige Weise verarbeitet hat, nicht mehr notwendig (siehe oben).
  • Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
  • Die betroffene Person widerspricht der Verarbeitung, und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor.
  • Der Verantwortliche hat die personenbezogenen Daten unrechtmäßig verarbeitet.
  • Die Löschung der personenbezogenen Daten ist erforderlich, um eine rechtliche Verpflichtung nach dem Unionsrecht zu erfüllen. Oder sie ist nach dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.

Wann besteht keine Löschpflicht?

Einschränkung der Löschpflicht

Die Löschpflicht gilt nicht, wenn die personenbezogenen Daten (weiterhin) erforderlich sind,

  • um das Recht auf freie Meinungsäußerung und Information auszuüben,
  • um eine rechtliche Verpflichtung zu erfüllen, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder
  • um eine Aufgabe wahrzunehmen, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde,
  • um das öffentliche Interesse im Bereich der öffentlichen Gesundheit zu wahren,
  • um Archivzwecke, die im öffentlichen Interesse liegen, zu erfüllen, oder für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke, oder
  • um Rechtsansprüche geltend zu machen, auszuüben oder zu verteidigen.

Aufbewahrungspflichten

Verschiedene rechtliche und vertragliche Verpflichtungen können dazu führen, dass Verantwortliche personenbezogene Daten für eine bestimmte Zeit aufbewahren müssen.

Erst nach dieser Zeitspanne greift die Verpflichtung, die Daten zu löschen.

Ebenso müssen Verantwortliche Artikel 18 DSGVO (Recht auf Einschränkung der Verarbeitung) beachten. Danach hat die betroffene Person unter bestimmten Bedingungen das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen.

Artikel 30 DSGVO (Verzeichnis von Verarbeitungstätigkeiten) sieht vor, dass das Verzeichnis (wenn möglich) die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien enthält.

Schließlich finden sich auch noch Löschvorgaben im neuen Bundesdatenschutzgesetz (§ 35 Recht auf Löschung).

Anzeige

EU-konformes Verfahrensverzeichnis Ihr EU-konformes Verfahrensverzeichnis
erstellen Sie mit einer modernen Software eine lückenlose, rechtssichere Dokumentation über alle Verfahren in Ihrem Unternehmen, die Sie jederzeit den Aufsichtsbehörden vorlegen können.

Jetzt testen!


Wie sieht ein Konzept für sicheres Löschen aus?

Alternativen: von der physischen Vernichtung bis zur Anonymisierung

Der sicherlich radikalste Ansatz ist die physische Zerstörung von Datenträgern, zum Beispiel das Schreddern von DVDs oder CD-ROMs.

Das kommt allerdings nur infrage, wenn die gespeicherten Informationen auf einem externen Datenträger abgelegt sind.

Der TÜV SÜD weist darauf hin, dass ansonsten erst das mehrfache Überschreiben elektronischer Daten als hinreichend sicher gelten kann.

Eine Alternative dazu ist die Anonymisierung von Datensätzen. Sofern sich diese Daten  technisch keiner bestimmten Person mehr zuordnen lassen, sind sie für statistische Zwecke weiter nutzbar.

Wichtig ist laut TÜV zudem, daran zu denken, auch Kopien der Daten zu löschen.

Kopien entstehen häufig automatisch durch Backup– oder Sicherheitsmechanismen der eingesetzten Software. Sie liegen dann zum Beispiel in der Cloud.

Zwei-Stufen-Check empfehlenswert

Bevor Verantwortliche Daten löschen, raten die Experten des TÜV, die Daten in zwei Schritten zu überprüfen:

  • Zunächst gilt es zu prüfen, ob eine Verpflichtung zur Löschung der Daten vorliegt, und innerhalb welcher Frist ein Verantwortlicher die Daten löschen muss.
  • Im zweiten Schritt sollten Unternehmen prüfen, ob sie die Daten dennoch länger speichern dürfen, etwa weil nationales Recht sie dazu verpflichtet. Das gilt zum Beispiel bei Aufbewahrungspflichten im Steuerrecht.

Leitlinie, um ein Löschkonzept zu entwickeln

Ein Löschkonzept muss die Gesamtheit der Löschpflichten und Aufbewahrungspflichten berücksichtigen und umsetzen. Das ist eine komplexe Aufgabe. Nur schrittweise vorzugehen sowie  Leitlinien zu nutzen, hilft.

Die Norm DIN 66398 gibt beispielweise Empfehlungen für Inhalt, Aufbau und Verantwortlichkeiten in einem Löschkonzept für personenbezogene Daten.

Die Norm beschreibt Vorgehensweisen, mit denen sich Löschfristen und Löschregeln für verschiedene Datenarten bestimmen lassen.

Dient die Norm als Grundlage, um ein Löschkonzept zu erarbeiten, spielen diese Begriffe eine Rolle:

  • Datenart: Alle Daten, die zu einem gemeinsamen Zweck verarbeitet werden
  • Löschfrist: Zeitspanne, nach der die Daten (in der Regel) gelöscht werden sollen, unter Beachtung von vertraglichen und rechtlichen Aufbewahrungsfristen
  • Startzeitpunkt: Festlegung, ab wann die Löschfrist zu laufen beginnt
  • Löschklassen: Zusammenfassung der Datenarten nach Löschfrist und Startzeitpunkt
  • Löschregel: Regel für jede Löschklasse
  • Umsetzungsregel: Konkretisiert die Löschregel unter Beachtung der genutzten Technik
  • Verantwortlichkeiten: Werden festgelegt für die Umsetzung der Löschung sowie für die Erstellung und Pflege des Löschkonzepts

Der Weg zum Löschkonzept

Grundsätzlich besteht der Weg zu einem eigenen Löschkonzept im Unternehmen nach DIN 66398 aus den folgenden Schritten:

  1. Datenarten bestimmen, die es in den Datenbeständen des Unternehmens gibt
  2. Datenarten in Löschklassen zusammenfassen
  3. Löschregeln für die Datenarten definieren
  4. konkrete Umsetzungsregeln definieren
  5. jeweils Verantwortliche für die Umsetzung bestimmen
  6. ergriffene und zu ergreifende Schritte
  7. dokumentieren und die Dokumentation pflegen

Wie prüfen Sie ein Löschkonzept?

Datenschutzbeauftragte sollten prüfen, ob das Löschkonzeot die folgenden Punkte regelt:

  • Werden Löschfristen / Aufbewahrungsfristen ermittelt, dokumentiert und auf Wiedervorlage gesetzt?
  • Werden die Dritten, an die die Daten weitergegeben wurden, dokumentiert?
  • Gibt es die Information, ob die Daten veröffentlicht wurden?
  • Gibt es ein Kennzeichen, dass Betroffene die Löschung oder Sperrung fordern beziehungsweise die Einwilligung zurückziehen?
  • Gibt es ein Kennzeichen, dass die Daten von der Löschverpflichtung ausgenommen sind (zum Beispiel wissenschaftliche Archivzwecke)?

Was ist technisch beim Löschen zu beachten?

Nicht jedes Löschverfahren und jede Anwendung für das Löschen von Daten erfüllt den Zweck, die Daten sicher zu löschen.

Datenschutzbeauftragte sollten diese Punkte überprüfen:

  • Kann die Löschanwendung alle vorgesehenen Typen von Endgeräten (Betriebssysteme beachten!) und Speichermedien unterstützen?
  • Wurden in der Löschanwendung alle vorgesehenen Endgeräte und Speichermedien registriert?
  • Hat die Löschanwendung zum Zeitpunkt der Löschung tatsächlich Zugriff auf alle vorgesehenen Endgeräte und Speichermedien?
  • Unterstützt die Löschanwendung die Datenfernlöschung, auch für den Notfall (Verlust von Geräten beziehungsweise Speichermedien)?
  • Verwendet die Löschanwendung ein Verfahren nach dem Stand der Technik?
  • Protokolliert die Löschanwendung alle Löschprozesse, allerdings ohne die zu löschenden Daten ungewollt zu speichern?
  • Wird das Löschprotokoll oder Lösch-Zertifikat, das die Anwendung erzeugt, hinterfragt hinsichtlich der tatsächlichen Aussagekraft?
  • Werden die Entwicklung des Löschkonzepts und die Datenschutzkontrolle nicht vernachlässigt, weil die Löschanwendung scheinbar alles automatisch löschen und die Löschung selbst überprüfen kann?
  • Lässt sich das interne Löschkonzept mit der Löschanwendung tatsächlich umsetzen (zu löschende Geräte / Speichermedien, zu löschende Dateien, Löschfristen)?

Exkurs: Wie löscht Google die Daten?

Löschverfahren bei der Google Cloud

Google hält die Kundendaten nicht nur einmal vor: Es repliziert die Daten auf mehreren Systemen und kopiert sie zum Schutz vor Datenverlust auf Sicherungssysteme.

Das ist aus Gründen der notwendigen Verfügbarkeit erforderlich, es ist aber bei der Löschung der Daten zu berücksichtigten.

Google verweist darauf, dass es die Daten an mehreren Standorten repliziert. Dabei würden die geografischen Einschränkungen für die Speicherorte, die der Kunde vorgibt, beachtet.

Löschanforderungen lassen sich für bestimmte Cloud-Inhalte, Projekte und für das ganze Google-Cloud-Konto stellen.

Abhängig vom genauen Löschwunsch markiert Google die Daten zum Löschen. Sie sind für den Kunden unzugänglich und nicht mehr in der Nutzeroberfläche ersichtlich.

Möglichkeit der Wiederherstellung

Gelöscht sind die Daten dann aber noch nicht. Google ist es möglich, Daten wiederzuherstellen, falls der Kunde eine Löschung fehlerhaft anforderte.

Nach dem Wiederherstellungs-Zeitraum findet die eigentliche logische Löschung statt.

Es gibt aber weiterhin Kopien der Daten in den Sicherungsdatenträgern (Backups). Die Backups werden durch jeweils neue Sicherungen überschrieben.

Das Löschen von Backup-Daten erfolgt verschlüsselt (kryptografisches Löschen).

Nach diesem Vorgang lassen sich die Speichermedien weiter nutzen, bis sie außer Betrieb gesetzt werden.

Ist das vollständige Löschen eines Speichermediums nicht möglich, zerstört Google das Speichermedium physisch.

Wichtig: Löschverfahren kann Monate dauern

Das Löschverfahren ist nicht nur mehrstufig, es dauert auch eine ganze Weile.

Google spricht offiziell

  • von etwa zwei Monaten, bis die Daten von aktiven Systemen gelöscht sind
  • und von sechs Monaten, bis die Daten aus dem Backup verschwunden sind.

Damit Sie die Löschfristen auch einhalten, ist es wichtig, dass in der Zwischenzeit jeder Zugriff und jede Verarbeitung ausgeschlossen sind.

Hinsichtlich der Sicherheit lässt sich sagen, dass Google mit den Google-Cloud-Services G Suite und Google Cloud Platform an allen Standorten weltweit die Sicherheitsanforderungen des BSI nach C5 erfüllt. Dazu gehören auch die Anforderungen an eine „Sichere Datenlöschung“.

Was ist jetzt zu tun?

  • Prüfen Sie, ob die Löschprozesse die rechtlichen Vorgaben aus der DSGVO und die gesetzlichen oder vertraglichen Aufbewahrungspflichten erfüllen.
  • Kontrollieren Sie, ob die Löschverfahren die technischen Anforderungen an ein sicheres Löschen von Daten erfüllen.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker, Analyst und IT-Fachjournalist im Bereich IT-Sicherheit und Datenschutz.