Seit dem 24.05.2018 ist die Datenschutz-Grundverordnung ( DSGVO ) in Kraft und auch für uns als Lösungsanbieter im Bereich der zertifizierten Datenlöschung wirft die Grundverordnung einige Fragen auf. Die DSGVO enthält einen Punkt, der für Verbraucher sehr positiv ist - "Das Recht auf Vergessen werden", bzw. die Verpflichtung eines Unternehmens die gespeicherten personenbezogenen Daten eines Kunden auf Verlangen zu löschen.

Wir stellen jedoch mit erschrecken fest, dass einige Marktteilnehmer und Trittbrettfahrer diesem Punkt Verpflichtungen andichten, die in keinster Weise Bestandteil von Artikel 17 der DSGVO sind:

"Gemäß Artikel 17 der Datenschutz-Grundverordnung MÜSSEN Organisationen nachweisen können, dass sie Daten ordnungsgemäß und dauerhaft löschen können." [gefunden bei einem namhaften Mitbewerber]

Das ist gelinde gesagt gelogen, denn eine "Verpflichtung zum Nachweis" sucht man in Art. 17 hierbei vergeblich. Geregelt ist die Verpflichtung zur Löschung, jedoch nicht zur Erbringung eines Nachweises der durchgeführten Löschung, einfach nachzulesen im DSGVO Original Art. 17.

DSGVO Art. 17 - Es existiert keine Nachweispflicht bei Löschung

Für Unternehmen bedeutet dies, dass sie dem Wunsch eines Betroffenen zur Löschung nachkommen müssen, der Nachweis hierzu bedarf keiner Form und eine Formvorschrift ist in der DSGVO nicht geregelt, so könnte es ausreichen zu sagen: "Wir haben Ihre Daten wunschgemäß gelöscht". Der Rest ist Risiko des Unternehmers, dies ist jedoch eine komplett andere Perspektive, die mit der DSGVO überhaupt nichts zu tun hat.

Bei der ordnungsgemäßen Löschung von Daten steht zwar ein Unternehmen in der Pflicht der Löschung (DSGVO) jedoch nicht in der Pflicht der Erbringung irgendeines Nachweises oder Zertifikats gegenüber des Betroffenen, es entledigt sich jedoch hierbei nicht einer entsprechenden Haftungsfrage, sollten die Daten unzureichend gelöscht worden sein. Die Haftungsfrage orientiert sich hierbei in die Richtung der zuständigen Datenschutzbehörden (Artikel 5, Absatz 1 "Rechenschaftspflicht"). Bezogen auf die DSGVO zerschlägt dieser Punkt jedwedes Marketingkonzept kommerzieller Lösungsanbieter, welches um die DSGVO herum aufgebaut wurde. Der Einsatz einer kommerziellen Lösung zum Nachweis für Betroffene ("Recht auf Vergessenwerden") ist schlichtweg nicht erforderlich, bietet jedoch gravierende Vorteile für größere Unternehmen, doch dazu später mehr.

Wie sollten Unternehmen die Daten nach DSGVO löschen ?

Nicht gegenüber der betroffenen Personen sondern gegenüber den zuständigen Datenschutzaufsichtsbehörden sind Sie rechenschafts- und nachweispflichtig (Art. 5 Abs. 2 DS-GVO, Art. 24 Abs. 1 DS-GVO)Landesdatenschutzbehörde NRW

Nachdem uns auch die Landes-Datenschutzbehörde in NRW schriftlich bestätigt hat, dass es keine Verpflichtung zum Nachweis innerhalb der DSGVO für Betroffene gibt, lösen sich viele, wenn auch nicht alle Probleme für kleinere Unternehmen. Der größte Vorteil hierbei ist, dass sich grundsätzlich jegliche Art von Freeware zur ordnungsgemäßen Löschung eignet, sofern sie im Grundsatz gelöschte Daten mit einem binären Wert physikalisch überschreibt und dieses, in welcher Form auch immer, dokumentiert. Hiermit lösen sich mehrere Probleme für kleine und mittelständische Unternehmen denn es gibt kostenlose Software zur dateibasierten, ordnerbasierten oder partitions,- bzw. volumenbasierten sicheren Löschung von Daten. Voraussetzung hierbei ist, dass es eine Dokumentationsmöglichkeit gibt, um der Rechenschaftspflicht (Art. 5) Richtung der Behörden nachkommen zu können, wenn diese verlangt wird.

Anders verhält es sich mit der "Rechenschaftspflicht" gegenüber den Datenschutzbehörden. Hier ist es zwingend angeraten Lösungen zu schaffen, die eine lückenlose Dokumentation der Datenlöschung herbeiführen können und im Bedarfsfall als Nachweis bezüglich einer eventuellen behördlichen Anfrage dienen können. Unternehmerisch betrachtet ist die "Rechenschaftspflicht", das entlastende Element bei einem konkreten Vorwurf hinsichtlich eines datenschutzrechtlichen Verstoßes.

Kommerzielle Software und Dienstleister bei Outsourcing der Haftungsfrage

Der Einsatz von kommerzieller Software oder von Dienstleistern wie KUERT, wird erst dann erforderlich, wenn die Haftungsfrage des Unternehmens ausgelagert werden soll. In diesem Fall erstellen die von uns eingesetzten Lösungen ein entsprechendes Zertifikat für unsere Kunden als Nachweis für potentielle Dritte. Dritte können in diesem Fall Aufsichtsbehörden ("Rechenschaftspflicht" unter Artikel 5) sein, Auftraggeber oder auch Endkunden die eine Nachweiserbringung wünschen, dies hat jedoch nichts mit der DSGVO zu tun, denn eine Verpflichtung zur Nachweiserbringung gegenüber Betroffenen sucht man im Artikel 17 EU-DSGVO komplett vergeblich und ist eher eine freiwillige Leistung, so paradox das jetzt auch klingen mag.

Löschen oder Vernichten - Was ist besser ?

Zu diesem Punkt können Sie 10 Experten befragen und Sie erhalten 10 verschiedenen Antworten. In den meisten Fällen sind diese Antworten getrieben von geschäftlichen Interessen, vielleicht auch weil der eine oder andere Lösungsanbieter entsprechende Dienstleistungen nicht vollumfänglich erbringen kann oder will. KUERT Datenrettung bietet beide Lösungen an, jedoch favorisieren wir die klassische Datenlöschung durch überschreiben der Speicherinhalte, gerade weil wir durch unser Kerngeschäft sehr genau wissen, wie es sich um die Wiederherstellungsmöglichkeiten nach mehrfachen Überschreiben verhält.

Kunden raten wir Ihre gespeicherten Daten und / oder Datenträger nach den jeweiligen gespeichteren Informationsgehalten zu klassifizieren, siehe BSI IT-Grundschutz. Die Vernichtung von physikalisch intakten Datenträgern ist eigentlich nur dann angeraten, wenn es sich um sehr sensitive und stark personenbezogene Daten handelt, wie z.B. Medizintechnik, Militär, etc oder allen personenbezogenen Daten die im Sinne der DIN 66399 H4-H7 klassifiziert wurden. In allen anderen Fällen ist ein mehrfaches Überschreiben der Speicherinhalte vollkommen ausreichend.

Zertifizierte Datenlöschung in der Praxis

In der Praxis beauftragt uns ein Hersteller von Kassensystemen bei Rückläufern die Datenträger zu vernichten oder zu löschen und bestimmt hierbei die Art der Vernichtung und / oder Löschung. Dies kann nach BDSG / ITIL Richtlinien oder nach DIN66399 erfolgen und unser Kunde erhält für jede gelöschte oder vernichtete Platte ein entsprechendes Zertifikat mit Detaildaten wie Art der Löschung, Hersteller,- / Modelldaten, Asset-Informationen der Löschstation, Löschzeitpunkt und Dauer, etc. Konkret bedeutet dies für unsere Kunden, dass sie die Haftungsfrage outsourcen und in unsere Hände legen, sprich: Passiert uns ein Fehler während des Löschvorgangs, stehen auch wir in der Haftung. Für unsere Kunden ist dies bequem, denn sie entledigen sich hierdurch jeglicher potentieller Risiken oder Fragen zur ordnungsgemäßen Entsorgung bei der Vernichtung oder Löschung von Festplatten, SSDs oder Smartphones und erfüllen somit Ihre Rechenschaftspflicht gegenüber Aufsichtsbehörden und bieten Ihren Kunden somit noch einen freiwilligen Mehrwert indem sie die gelöschten Daten- und Datenträger lückenlos dokumentieren können. Oder wir statten Sie mit den entsprechenden Lösungen aus, so das Unternehmen und Organisationen diese Löschungen selbstständig durchführen und dokumentieren können.




Sie haben noch Fragen ?

Datenrettung ist ein komplizierter und beratungsintensiver Prozess. Wir beraten Sie gerne telefonisch unter :
Tel. 0234 - 962 90 390.
Oder stellen Sie uns einfach hier direkt Ihre Frage: