Zu einem effektiven Datenschutz gehört auch eine zuverlässige Datenlöschung!

Personenbezogene Daten müssen von der verantwortlichen Stelle zuverlässig gelöscht werden können. Lässt die verantwortliche Stelle zum Beispiel Daten nach §11 BDSG im Auftrag verarbeiten, so gehört die Möglichkeit der Datenlöschung zwingend in die Auftragsdatenverarbeitungsvereinbarung (ADV). Darüber hinaus hat auch der Betroffene ein Recht auf Löschung seiner personenbezogenen Daten.

Was heißt „Löschen“ in datenschutzrechtlicher Hinsicht?

Unter „Löschen“ versteht das Bundesdatenschutzgesetz (BDSG) das dauerhafte und unwiderrufliche Unkenntlichmachen von Daten. Dies ist dann der Fall, wenn die Informationen nicht länger aus den ursprünglichen Daten gewonnen werden können und eine weitere Verarbeitung somit nicht mehr möglich ist.

Regelmäßig können jedoch Informationen aus vermeintlich gelöschten Daten durch einfache Softwaretools und ohne besondere Fachkenntnisse gewonnen werden, weil die verantwortliche Stelle sich beim „Löschen“ häufig auf Standardprozesse verlässt, die ihm die eigene Software bietet. Problematisch vor allem bei Verlust oder Diebstahl von Laptops oder Smartphones.

Aber auch die bewusste Weitergabe kann gegen Datenschutz verstoßen!

Doch ein in der Praxis häufig übersehener Fall liegt auch bei der bewussten Weitergabe vor. Denn häufig verlassen diese Geräte das Unternehmen mit einem vermeintlich gelöschten Datenspeicher, wenn das Gerät zur Reparatur, zur Wartung außer Haus oder dem Leasinggeber nach Ablauf der Leasingzeit zurück gegeben oder einfach verkauft wird. Defekte Datenträger werden durch das Unternehmen häufig gar nicht gelöscht, weil ein Zugriff mit den unternehmenseigenen Tools schon nicht mehr möglich ist. Diese Weitergabe kann gegen geltendes Datenschutzrecht verstoßen, weil die Daten nicht zuverlässig gelöscht wurden. Nicht nur, dass das Image des Unternehmens bei einem solchen Datenskandal empfindlich verletzt werden kann, droht dem Unternehmen darüber hinaus noch ein empfindliches Bußgeld durch die Aufsichtsbehörde.

10% aller Fälle von Datenverlusten durch unzureichende Datenlöschung

Nach einer Studie sind 10% aller Fälle von Datenverlusten auf unzureichende Datenlöschungen zurückzuführen. Viele Unternehmen verlassen sich auf ihre IT-Dienstleister, ohne sich die Löschung datenschutzkonform dokumentieren zu lassen. Häufig werden Prozesse für den laufenden Betrieb dokumentiert, nicht jedoch wie zu verfahren ist, wenn die Rechnereinheit (Server, Client, Laptop, Smartphone etc.) am Ende ihres Lebenszyklus angelangt ist – vor allem bei der Rückgabe, Verkauf oder Entsorgung.

Prüfen Sie Ihre Prozesse zur zuverlässigen Datenlöschung

Schließen Sie also diese Lücken in Ihrer Prozessdokumentation und gewährleisten eine zuverlässige Datenlöschung. Kriterien für eine zuverlässige Datenlöschung hat das Bundesamt für Sicherheit in der Informationstechnologie (BSI) definiert und zertifiziert entsprechende Hard- und Software, die die zuverlässige Datenlöschung gewährleisten können. Dienstleister, wie sidave, bieten auch mobile Lösungen der  zuverlässigen Datenlöschung an. So haben Sie es als verantwortliche Stelle leicht, Daten revisionssicher zu löschen und die Löschung detailliert dokumentiert zu bekommen, ohne die Datenträger vorher außer Haus geben zu müssen.

Nur wenn Sie entsprechende Prozesse nachweisen und Ihre Löschungen revisionssicher dokumentieren können, sind Sie raus aus der Haftung – auch wenn in einem besonders unwahrscheinlichen Fall bzw. in der Zukunft man mal doch an Ihre Daten kommen sollte.