- Datenschutz PRAXIS - https://www.datenschutz-praxis.de - DatenschutzPraxis

Daten sicher löschen: Das müssen Sie beachten!

Personenbezogene Daten sicher zu löschen, ist Teil der Datensicherheit und der Betroffenenrechte nach der Datenschutz-Grundverordnung (DSGVO). Neben den technischen Löschverfahren sind organisatorische Prozesse wichtig. Verantwortliche und Datenschutzbeauftragte müssen dabei die Verpflichtung, Daten zu löschen, genauso betrachten wie die gesetzlichen Aufbewahrungspflichten.

Inhaltsverzeichnis
Sicheres Löschen: Was fordert die DSGVO? [1]
Wann besteht keine Löschpflicht? [2]
Wie sieht ein Konzept für sicheres Löschen aus? [3]
Wie prüft man ein Löschkonzept? [4]
Was ist technisch beim Löschen zu beachten? [5]
Exkurs: Wie löscht Google die Daten? [6]
Was ist jetzt zu tun? [7]

Sicheres Löschen: Was fordert die DSGVO?

Unternehmen müssen personenbezogene Daten so speichern, dass sie eine Person nur so lange identifizieren können, wie es für den Verarbeitungszweck notwendig ist.

Wichtig: Es muss um einen Zweck gehen, der es auch erlaubt, die Daten zu verarbeiten. Alle anderen vermeintlichen Zwecke führen dazu, die Daten unzulässig zu verarbeiten.

Fällt dieser Zweck weg, etwa weil etwas verjährt oder weil das Vertragsverhältnis endet, sind die Daten zu löschen.

Eine Ausnahme gilt, wenn der Gesetzgeber andere Aufbewahrungs- oder Dokumentationspflichten vorschreibt.

Zieht der Betroffene seine Zustimmung zurück, dass ein Unternehmen seine Daten verarbeiten darf, ist dies ebenfalls Anlass, die Informationen zu löschen.

DSGVO sagt nichts zum „Wie“

Die Datenschutz-Grundverordung (DSGVO) schreibt zwar vor, personenbezogene Daten [8] zu löschen. Sie beantwortet aber nicht die Frage, welche Verfahren dafür geeignet sind. Und sie empfiehlt auch kein bestimmtes Vorgehen.

In dieser Hinsicht gleicht die Datenschutz-Grundverordnung dem alten Bundesdatenschutzgesetz (BDSG-alt). Es blieb ebenfalls sehr unkonkret, wenn es darum ging, Verfahren technisch umzusetzen.

Verantwortliche müssen sich daher zunächst an den Grundsätzen der Datenverarbeitung orientieren, die die DSGVO vorgibt. Da ist zum einen der …

Grundsatz der Speicherbegrenzung

Zu den Grundsätzen für die Verarbeitung personenbezogenen Daten (Artikel 5 DSGVO [9]) gehört die Speicherbegrenzung. Der Grundsatz besagt:

„Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke verarbeitet werden.“

Haben personenbezogene Daten, die für einen bestimmten Zweck erhoben wurden, diesen Zweck erfüllt, sind sie nicht mehr erforderlich.

Die Daten sind zu löschen, sofern keine weiteren rechtlichen Vorgeben dem entgegenstehen. Genauere Vorgaben enthält das Recht auf Vergessenwerden.

Das Recht auf Vergessenwerden

Der Artikel 17 DSGVO [10] (Recht auf Löschung, Recht auf Vergessenwerden) nennt mehrere Anlässe dafür, dass die Löschpflicht eintritt. Darunter:

Wann besteht keine Löschpflicht?

Einschränkung der Löschpflicht

Die Löschpflicht gilt nicht, wenn die personenbezogenen Daten (weiterhin) erforderlich sind,

Aufbewahrungspflichten

Verschiedene rechtliche und vertragliche Verpflichtungen können dazu führen, dass Verantwortliche personenbezogene Daten für eine bestimmte Zeit aufbewahren müssen.

Erst nach dieser Zeitspanne greift die Verpflichtung, die Daten zu löschen.

Ebenso müssen Verantwortliche Artikel 18 DSGVO [12] (Recht auf Einschränkung der Verarbeitung) beachten. Danach hat die betroffene Person unter bestimmten Bedingungen das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen.

Artikel 30 DSGVO [13] (Verzeichnis von Verarbeitungstätigkeiten [14]) sieht vor, dass das Verzeichnis (wenn möglich) die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien enthält.

Schließlich finden sich auch noch Löschvorgaben im neuen Bundesdatenschutzgesetz (§ 35 Recht auf Löschung).

Anzeige

EU-konformes Verfahrensverzeichnis [15] Ihr EU-konformes Verfahrensverzeichnis [16]
erstellen Sie mit einer modernen Software eine lückenlose, rechtssichere Dokumentation über alle Verfahren in Ihrem Unternehmen, die Sie jederzeit den Aufsichtsbehörden vorlegen können.

Jetzt testen! [15]


Wie sieht ein Konzept für sicheres Löschen aus?

Alternativen: von der physischen Vernichtung bis zur Anonymisierung

Der sicherlich radikalste Ansatz ist die physische Zerstörung von Datenträgern [17], zum Beispiel das Schreddern von DVDs oder CD-ROMs.

Das kommt allerdings nur infrage, wenn die gespeicherten Informationen auf einem externen Datenträger abgelegt sind.

Der TÜV SÜD weist darauf hin, dass ansonsten erst das mehrfache Überschreiben elektronischer Daten als hinreichend sicher gelten kann.

Eine Alternative dazu ist die Anonymisierung [18] von Datensätzen. Sofern sich diese Daten  technisch keiner bestimmten Person mehr zuordnen lassen, sind sie für statistische Zwecke weiter nutzbar.

Wichtig ist laut TÜV zudem, daran zu denken, auch Kopien der Daten zu löschen.

Kopien entstehen häufig automatisch durch Backup [19]– oder Sicherheitsmechanismen der eingesetzten Software. Sie liegen dann zum Beispiel in der Cloud.

Zwei-Stufen-Check empfehlenswert

Bevor Verantwortliche Daten löschen, raten die Experten des TÜV, die Daten in zwei Schritten zu überprüfen:

Leitlinie, um ein Löschkonzept zu entwickeln

Ein Löschkonzept muss die Gesamtheit der Löschpflichten und Aufbewahrungspflichten berücksichtigen und umsetzen. Das ist eine komplexe Aufgabe. Nur schrittweise vorzugehen sowie  Leitlinien zu nutzen, hilft.

Die Norm DIN 66398 [20] gibt beispielweise Empfehlungen für Inhalt, Aufbau und Verantwortlichkeiten in einem Löschkonzept für personenbezogene Daten.

Die Norm beschreibt Vorgehensweisen, mit denen sich Löschfristen und Löschregeln für verschiedene Datenarten bestimmen lassen.

Dient die Norm als Grundlage, um ein Löschkonzept zu erarbeiten, spielen diese Begriffe eine Rolle:

Der Weg zum Löschkonzept

Grundsätzlich besteht der Weg zu einem eigenen Löschkonzept im Unternehmen nach DIN 66398 aus den folgenden Schritten:

  1. Datenarten bestimmen, die es in den Datenbeständen des Unternehmens gibt
  2. Datenarten in Löschklassen zusammenfassen
  3. Löschregeln für die Datenarten definieren
  4. konkrete Umsetzungsregeln definieren
  5. jeweils Verantwortliche für die Umsetzung bestimmen
  6. ergriffene und zu ergreifende Schritte
  7. dokumentieren und die Dokumentation pflegen

Wie prüfen Sie ein Löschkonzept?

Datenschutzbeauftragte sollten prüfen, ob das Löschkonzeot die folgenden Punkte regelt:

Was ist technisch beim Löschen zu beachten?

Nicht jedes Löschverfahren und jede Anwendung für das Löschen von Daten erfüllt den Zweck, die Daten sicher zu löschen.

Datenschutzbeauftragte sollten diese Punkte überprüfen:

Exkurs: Wie löscht Google die Daten?

Löschverfahren bei der Google Cloud

Google hält die Kundendaten nicht nur einmal vor: Es repliziert die Daten auf mehreren Systemen und kopiert sie zum Schutz vor Datenverlust auf Sicherungssysteme.

Das ist aus Gründen der notwendigen Verfügbarkeit erforderlich, es ist aber bei der Löschung der Daten zu berücksichtigten.

Google verweist darauf, dass es die Daten an mehreren Standorten repliziert. Dabei würden die geografischen Einschränkungen für die Speicherorte, die der Kunde vorgibt, beachtet.

Löschanforderungen lassen sich für bestimmte Cloud-Inhalte, Projekte und für das ganze Google-Cloud-Konto stellen.

Abhängig vom genauen Löschwunsch markiert Google die Daten zum Löschen. Sie sind für den Kunden unzugänglich und nicht mehr in der Nutzeroberfläche ersichtlich.

Möglichkeit der Wiederherstellung

Gelöscht sind die Daten dann aber noch nicht. Google ist es möglich, Daten wiederzuherstellen [22], falls der Kunde eine Löschung fehlerhaft anforderte.

Nach dem Wiederherstellungs-Zeitraum findet die eigentliche logische Löschung statt.

Es gibt aber weiterhin Kopien der Daten in den Sicherungsdatenträgern (Backups). Die Backups werden durch jeweils neue Sicherungen überschrieben.

Das Löschen von Backup-Daten erfolgt verschlüsselt [23] (kryptografisches Löschen).

Nach diesem Vorgang lassen sich die Speichermedien weiter nutzen, bis sie außer Betrieb gesetzt werden.

Ist das vollständige Löschen eines Speichermediums nicht möglich, zerstört Google das Speichermedium physisch.

Wichtig: Löschverfahren kann Monate dauern

Das Löschverfahren ist nicht nur mehrstufig, es dauert auch eine ganze Weile.

Google spricht offiziell

Damit Sie die Löschfristen auch einhalten, ist es wichtig, dass in der Zwischenzeit jeder Zugriff und jede Verarbeitung ausgeschlossen sind.

Hinsichtlich der Sicherheit lässt sich sagen, dass Google mit den Google-Cloud-Services G Suite [24] und Google Cloud Platform an allen Standorten weltweit die Sicherheitsanforderungen des BSI nach C5 [25] erfüllt. Dazu gehören auch die Anforderungen an eine „Sichere Datenlöschung“.

Was ist jetzt zu tun?

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker, Analyst und IT-Fachjournalist im Bereich IT-Sicherheit und Datenschutz.