Für Links in diesem Beitrag erhält https://blogsonne.de ggf. eine Zahlung von einem Partner. Der Inhalt bleibt unbeeinflusst.
Einige Unternehmen sind darauf angewiesen, zumindest vorübergehend personenbezogene Daten zu sichern und zu nutzen. Danach müssen sie jedoch gelöscht werden, so schreibt es die Datenschutz-Grundverordnung (DSGVO) vor. Allerdings müssen beim Löschen einige Aspekte beachtet werden, damit man seine Kunden und sein Unternehmen nicht unnötig in Gefahr bringt. Eine falsche Handhabung der DSGVO zieht nämlich teils empfindliche Strafen nach sich.
Um hier nicht Gefahr zu laufen, teils vier- bis fünfstellige Abmahnungszahlungen zu riskieren, empfehlt es sich, verschiedene Methoden unter die Lupe zu nehmen, wie Daten sicher gelöscht werden können. Eine Variante besteht beispielsweise in der Anschaffung einer Software, die darauf ausgelegt ist, Daten vollständig und unwiderruflich zu entfernen. Mit zertifizierter Datenlöschsoftware oder H5 Schredder werden Daten auf Altgeräten sicher gelöscht. Die jeweiligen Verantwortlichen in Unternehmen müssen daher auch darauf achten, dass Daten nicht nur nach den gesetzlichen Vorgaben gelöscht, sondern zuvor auch aufbewahrt werden.
Wie definiert die DSGVO ein sicheres Löschen?
Zunächst einmal muss beachtet werden, dass personenbezogene Daten von einem Unternehmen nur so lange gespeichert werden dürfen, wie das Unternehmen diese Daten auch wirklich benötigt. Danach muss es sie löschen lassen, unter anderem um die Kunden vor Hackern und Erpressern zu schützen.
In Artikel 17 steht beispielsweise festgeschrieben, dass seitens der betroffenen Personen ausnahmslos immer ein Recht auf Vergessenwerden besteht. Die DSGVO schreibt dabei vor, dass personenbezogen Daten vollständig und unwiderruflich gelöscht werden müssen. Dies ist einfacher gesagt als getan, ein einfaches Verschieben in den Papierkorb reicht dabei nicht aus. Weiterhin sagt die DSGVO aber nichts darüber, wie genau das Löschen vonstatten zu gehen hat.
Welche Optionen zum sicheren Löschen von personenbezogenen Daten gibt es?
Unter anderem gibt es hier den sicherlich radikalsten Ansatz der physischen Zerstörung von Datenträgern. So können CDs und DVDs beispielsweise geschreddert oder externe Festplatten können physisch zerstört werden.
Alternativ können Datensätze aber auch anonymisiert werden. In diesem Fall müssen die Daten technisch keine Zuordnung zu bestimmten Personen mehr zulassen. Für statistische Zwecke können sie danach weiter genutzt werden, was sich vor allem Unternehmen im Bereich von Umfragen und Statistiken anbietet.
Des Weiteren sollte man immer auch darauf achten, etwaige Kopien zu vernichten, egal ob physisch oder virtuell.
Die Komplexität der Aufgabe, Datensätze zu löschen, zeigt sich unter anderem auch in den Leitlinien, die teils notwendig sind, um diese Vorgänge zu planen. So gibt es als Stütze die Norm DIN 66398. Darin werden unter anderem die Datenarten, Löschfristen, Löschklassen und -regeln, Umsetzungsregeln und Verantwortlichkeiten definiert.
Auf Grundlage dessen lassen sich Löschkonzepte erarbeiten. Der grundsätzliche Weg dazu erfordert zunächst, die Datenarten zu bestimmen, die in den Beständen des Unternehmens vorhanden sind. Danach sollten diese Datenarten in Löschklassen zusammengefasst werden, welche wiederum konkreten Lösch- und Umsetzungsregeln unterliegen. Danach sollten Verantwortliche bestimmt oder gefunden werden, die die Umsetzung organisieren. Diese definieren und planen daraufhin die Schritte, die zu ergreifen sind, und pflegen die genaue Dokumentation der Vorgänge.
Auch empfehlt es sich hier immer, einen Datenschutzbeauftragten zu engagieren oder einzustellen, falls das Unternehmen noch keinen beschäftigt. Dieser kann die Löschkonzepte gegebenenfalls prüfen und den Verantwortlichen mit seinem Fachwissen unter die Arme greifen.