Lösch und weg? Datenlöschung und die DSGVO
Vor gut fünf Jahren ist die DSGVO, die europäische Datenschutzgrundverordnung, in Kraft getreten. Sie regelt seitdem den grundsätzlichen Umgang mit personenbezogenen Daten. Die DSGVO sorgt aber auch nach wie vor für viel Diskussion, wenn es um die konkrete Anwendung geht: Welche Daten dürfen gespeichert werden, zu welchem Zweck, was genau darf man mit den Daten machen?
Weniger Aufmerksamkeit in der öffentlichen Debatte kommt dagegen dem Löschen beziehungsweise Vernichten von personenbezogenen Daten zuteil. Dabei gibt es auch hier viele offene Fragen – rechtliche wie technische. Wir haben uns mit dem Rechtsanwalt Joerg Heidrich und dem IT-Sicherheitsexperten Dr. Christoph Wegener darüber unterhalten, an was man denken sollte, wenn es um das datenschutzgerechte Löschen personenbezogener Daten geht. Die beiden beraten regelmäßig Unternehmen zu diesem Thema.
iRights.info: Herr Joerg Heidrich, Herr Dr. Christoph Wegener, beginnen wir ganz grundsätzlich: Wann müssen personenbezogene Daten, die gespeichert worden sind, wieder gelöscht werden?
Heidrich: Das ist in der DSGVO klar vorgeschrieben. In der Praxis gibt es im Wesentlichen zwei Komplexe: Daten müssen gelöscht werden, wenn der Zweck, für den sie gespeichert wurden, entfallen ist – weil zum Beispiel ein Newsletter, für den E-Mail-Adressen gesammelt wurden, nicht mehr angeboten wird. Außerdem müssen Daten gelöscht werden, wenn das der Betroffene verlangt. Allerdings gibt es in manchen Fällen auch eine gesetzliche Aufbewahrungspflicht von Daten. Dann dürfen Daten auch nicht auf Verlangen gelöscht werden.
Aufbewahrungspflichten vs. Löschpflichten
Wann greifen denn solche gesetzlichen Aufbewahrungspflichten?
Heidrich: Zum Beispiel, wenn es sich um medizinische Daten handelt, die beim Arzt oder im Krankenhaus gespeichert werden, oder auch Rechnungsdaten, die ein Unternehmen nach dem Handelsrecht für eine bestimmte Frist aufbewahren muss. In der Praxis ist es oft nicht einfach, Menschen, die ihre Daten löschen lassen wollen, zu erklären, dass es hier Grenzen gibt und manche Daten einfach gespeichert bleiben müssen.
Wegener: Aber – um beim bereits genannten Beispiel eines einfachen Newsletters zu bleiben – hier bestehen in der Regel keine gesetzlichen Speicherpflichten, so dass, wenn der Newsletter abbestellt wird, auch die verwendeten Daten, also insbesondere die E-Mail-Adressen, gelöscht werden müssen. Sicherheitshalber sollte man aber hier eine Löschung auch noch einmal ausdrücklich neben der bloßen Kündigung verlangen.
Es gibt ja auch noch das „Recht auf Vergessenwerden“…
Wegener: … das geht nochmal weiter als das Recht auf Löschung. Man könnte sagen, das „Recht auf Vergessenwerden“ ergänzt das Recht auf Löschen. Das speichernde Unternehmen muss dabei nicht nur seine eigenen Daten bereinigen, sondern ist, falls es diese Daten weitergegeben hat, auch verpflichtet, diese anderen Unternehmen darüber zu informieren, dass ein Löschverlangen vorliegt.
Heidrich: Nach meiner Erfahrung spielt das in der Praxis aber eher selten eine Rolle. Allerdings hatte vor einigen Monaten der Europäische Gerichtshof einen Fall zu entscheiden, bei dem es um die Löschung von Daten aus einem Telefonverzeichnis ging und in dem das Luxemburger Gericht das „Recht auf Vergessenwerden“ noch einmal konkretisiert hat.
Sie möchten iRights.info unterstützen?
iRights.info informiert und erklärt rund um das Thema „Urheberrecht und Kreativität in der digitalen Welt“. Alle Texte erscheinen kostenlos und offen lizenziert.
Wenn Sie mögen, können Sie uns über die gemeinnützige Spendenplattform Betterplace unterstützen und dafür eine Spendenbescheingung erhalten. Betterplace akzeptiert PayPal, Bankeinzug, Kreditkarte, paydirekt oder Überweisung.
Besonders freuen wir uns über einen regelmäßigen Beitrag, beispielsweise als monatlicher Dauerauftrag. Für Ihre Unterstützung dankt Ihnen herzlich der gemeinnützige iRights e.V.!
Wie ist „sicheres“ Löschen möglich?
Rein praktisch gefragt: Was heißt „Löschen“ hier überhaupt? Denn unter Umständen lassen sich die Daten recht schnell wieder zurückholen.
Wegener: Das ist grundsätzlich richtig. Löschen bedeutet, dass die Daten unwiderruflich unbrauchbar gemacht werden. So dass keine adäquate Möglichkeit mehr besteht, die Daten wiederherzustellen. Die „Delete-Taste“, mit der in erster Linie Daten nur in den digitalen Papierkorb verschoben werden, reicht dazu nicht aus. Hier habe ich ja sogar selbst als Anwender mit ganz einfachen Bordmitteln die Möglichkeit, die Daten wiederherzustellen. Das ist also kein sicheres Löschen. Etwas anderes gilt, wenn ich den „Papierkorb“ geleert habe. Dann wird es für einen normalen Anwender schon schwerer, gelöschte Daten zu rekonstruieren. Aber natürlich sind aus Sicht beispielsweise eines digitalen Forensikers die Daten auch dann noch nicht weg, denn sie befinden sich ja noch auf der Festplatte. Man sieht also: Daten „verschwinden“ nicht einfach.
Das würde ja heißen, dass es ein endgültiges Löschen eigentlich gar nicht gibt?
Wegener: Im Prinzip ja. Aber man kann den Aufwand, der benötigt wird, um sie wiederherzustellen, immer weiter steigern. Daten können überschrieben werden – das ist im Wesentlichen heute der Standard für ein sicheres Löschen. Man kann aber auch soweit gehen, dass der Datenträger physisch vernichtet wird, die Festplatte beispielsweise geschreddert wird. Dann sind die Daten immer noch nicht weg, aber es ist praktisch unmöglich, die Metallschnipsel wieder zusammenzusetzen und auszulesen, oder zumindest mit doch sehr erheblichem Aufwand verbunden.
Das hört sich kompliziert an. Aber wenn die DSGVO vorschreibt, dass gelöscht wird, dann muss doch auch rechtlich geklärt sein, wie gelöscht wird?
Heidrich: Eine konkrete juristische Definition des Löschens gibt es nicht – weder in der DSGVO selbst, noch in den Erwägungsgründen dazu. Die Juristen machen es sich hier ziemlich einfach: In den entsprechenden Kommentaren heißt es dazu im Wesentlichen nur, dass die Daten weg sein müssen. Die entsprechende DIN-Norm wird immerhin etwas konkreter und sagt, dass personenbezogene Daten derart irreversibel verändert werden müssen, dass sie nach dem Vorgang „nicht mehr vorhanden oder unkenntlich sind und nicht mehr verwendet oder rekonstruiert werden können“.
Wegener: Das ist technisch aber wie gesagt gar nicht so einfach umzusetzen. Denn irgendwie können ja fast alle Daten wieder hergestellt werden. In der Praxis schaut man sich deshalb an: Wie schutzbedürftig sind die Daten und welcher Aufwand müsste betrieben werden, um sie zu rekonstruieren? Also Daten, die weniger schutzbedürftig sind, gelten auch dann als gelöscht, wenn sie mit geringerem Aufwand wiederhergestellt werden können, als es bei besonders sensiblen Daten notwendig wäre. Da wird dann eine reine E-Mail-Adresse sicher anders gelöscht werden können, als beispielsweise sensible Gesundheitsdaten. In der Regel kann man davon ausgehen, dass Daten auf Datenträgern als gelöscht gelten, wenn sie vollständig überschrieben worden sind.
Daten in der Cloud
Oftmals liegen ja Daten gar nicht mehr auf eigenen Festplatten, sondern sind in der Cloud eines Anbieters gespeichert. Das heißt, es kann sein, dass ich selbst gar nicht entscheiden kann, wie die Inhalte dort gelöscht werden. Wie kann man hier vorgehen?
Wegener: Das ist in der Tat ein Problem. Aus dem Bundesamt für Sicherheit in der Informationstechnik hieß es mal, dass man dort davon ausgehe, dass es in Public-Cloud-Umgebungen keine Möglichkeit gibt, die ein sicheres Löschen ermöglicht.
Unser Vorschlag wäre hier, die Daten, die in der Cloud abgelegt werden sollen, vorab mit einem als sicher geltenden Algorithmus und Schlüssel zu verschlüsseln. Sollen sie dann gelöscht werden, kann einfach der Schlüssel vernichtet werden. Damit wäre es nach dem heutigen Stand der Technik dann nicht mehr möglich, auf die Daten im Klartext zuzugreifen. Nach unserer Auffassung entspricht das dann einem „Löschen“ im Sinne der Datenschutzgrundverordnung.
Heidrich: Allerdings ist es umstritten, ob dieses Vorgehen tatsächlich als Löschen gilt. Kritiker weisen darauf hin, dass die nach dem Stand der Technik verschlüsselten Daten möglicherweise zwar heute dem Zugriff entzogen sind, dass sich das aber mit der technischen Weiterentwicklung der Schlüssel morgen und übermorgen schon ändern kann. Wie gesagt, es gibt hier viele offene Fragen.
Wie sieht es denn in der Praxis hier aus? Sind sich die Unternehmen, die von Ihnen beraten werden, ihren Lösch-Verantwortungen bewusst?
Heidrich: Große Unternehmen, die mit den entsprechenden Datenschutzabteilungen, sicher ja. Anders sieht es oft im Mittelstand aus. Ich glaube nicht, dass viele Mittelständler ein überzeugendes Löschkonzept haben. Das liegt auch daran, dass es sehr aufwändig ist, ein solches Löschkonzept zu erstellen. Also genau festzulegen, wann genau welche Daten gelöscht werden. Auf der anderen Seite gehört ein Löschkonzept zu den datenschutzrechtlichen Basics in einem Unternehmen – egal ob groß, mittel oder klein.
Tipp: Regelmäßiger Check der gespeicherten Daten
Wegener: Im Übrigen gelten natürlich die Vorgaben der DSGVO nicht nur für Unternehmen, sondern auch für Vereine oder NGOs. Hier gibt es bedauerlicherweise ganz selten ein Löschkonzept, auch wenn in der Regel ja in erheblichem Umfang personenbezogene Daten gesammelt und verarbeitet werden – Mitgliederdaten, Adresslisten für Kampagnen, Newsletterverteiler u.ä.. Oftmals wissen die Verantwortlichen nicht einmal genau, welche Datenbestände wo gespeichert sind. Nicht selten wird auch übersehen – und das gilt wiederum für alle – dass Daten auch in Backup-Systemen gespeichert werden. Wenn die Pflicht zur Löschung besteht, dann müssen die natürlich dann auch dort entfernt werden. Problematisch kann allerdings dabei sein, dass ein isoliertes Löschen einzelner Daten aus einem Backup technisch oft gar nicht möglich ist.
Heidrich: Das Allermindeste, was auch eine NGO machen sollte, ist, wenn kein automatisiertes Löschen erfolgt, dass man sich zumindest einmal im Jahr hinsetzt, um sich anzuschauen: Welche Daten haben wir, wo liegen die und welche müssen gelöscht werden? Idealerweise sollte es aber auch hier ein ausgearbeitet Löschkonzept geben.
Herr Wegener, Herr Heidrich, vielen Dank für das Interview!
iRights.info informiert und erklärt rund um das Thema „Urheberrecht und Kreativität in der digitalen Welt“.
Wir sind auch in den Sozialen Medien zu finden: Folgen Sie uns auf Twitter, Facebook, Telegram, LinkedIn oder Mastodon!
Sie möchten uns unterstützen? Das geht ganz einfach über die Spendenplattform Betterplace!
1 Kommentar
1 Robert Meyen am 2. April, 2024 um 07:44
Das ist für kleine NGO und deren Ehrenamtler in der Regel aber immer noch eine Zumutung…
Was sagen Sie dazu?