Wie löschst Du Personendaten richtig?

Die Pflicht wie auch das Recht auf Löschung personenbezogener Daten sind im Datenschutzgesetz (DSG) seit langem verankert. Das Löschen digitaler Daten stellt Unternehmen dennoch regelmässig vor zahlreiche Herausforderungen. Mit der anstehenden Revision des Datenschutzgesetzes ist mit noch mehr Löschanfragen zu rechnen. Doch was bedeutet «Datenlöschung» und wie machst Du es richtig?

Wann musst Du Personendaten löschen?

Personendaten, die nicht mehr benötigt werden, müssen gelöscht werden. Die Löschung muss endgültig erfolgen. Ab wann werden die Daten nicht mehr benötigt?

Das ist der Fall, wenn der ursprüngliche Zweck, für den Du die Daten gesammelt hast, erfüllt wurde. Hast Du bspw. eine Umfrage gestartet, ausgewertet und das entsprechende Projekt abgeschlossen, wurde der Zweck der Datenerfassung erfüllt und die Daten müssen gelöscht werden. In Ausnahmenfällen: Beispielsweise wenn gesetzliche Aufbewahrungspflichten bestehen, musst Du die erfassten Daten erst nach Ablauf der gesetzlichen Frist löschen.

So sinnvoll dieser Grundsatz der «Datensparsamkeit» erscheint, so schwierig ist dessen Umsetzung.

Was das Datenschutzrecht mit «Löschen» meint, ist nicht immer klar. Das bestehende DSG kennt den Begriff des Löschens nämlich nicht und verwendet stattdessen die Begriffe «Vernichten» oder «Anonymisieren». Eine konkrete Definition dieser Begriffe enthält das Gesetz aber ebenfalls nicht. Auch im revidierten Datenschutzgesetz (revDSG) wird dieses Problem weiter bestehen. Die Begriffe «Löschen», «Vernichten» oder «Anonymisieren» werden auch dort nicht einheitlich verwendet.

Löschen, anonymisieren oder doch vernichten?

Daten zu löschen bedeutet nicht, dass es unter keinen Umständen mehr möglich ist, an die gelöschten Daten zu gelangen, sondern vielmehr, dass kein Personenbezug mehr hergestellt werden kann. Sowohl eine Anonymisierung von Personendaten als auch eine Vernichtung dieser kann verhindern, dass die betroffene Person re-identifizierbar ist.

Welche Variante Du am besten wählst, hängt davon ab, wie hoch das Interesse an einer Re-Identifikation ist und welche Methoden Dir zur Verfügung stehen bzw. mit vernünftigem Aufwand durchführbar sind.

Bei der Vernichtung geht es darum, die Daten rückstandslos zu beseitigen, also die physische Vernichtung oder die irreversible Löschung der Personendaten vorzunehmen. Der Begriff «Vernichten» ist also stärker als der Begriff «Löschen» und impliziert, dass die Daten unwiederbringlich zerstört werden. Übliche Löschbefehle (bspw. «Papierkorb leeren») oder eine reine Umformatierung stellen noch keine Vernichtung, sondern eine Löschung dar.

Dagegen hat eine korrekt durchgeführte Anonymisierung zur Folge, dass die Daten zwar noch bestehen, sie aber keinen Personenbezug mehr aufweisen. Dabei muss darauf geachtet werden, dass weder der Verantwortliche selbst noch ein Dritter ohne unverhältnismässigen Aufwand einen Personenbezug wiederherstellen kann. Der Vorgang muss auch hier irreversibel und endgültig sein, ansonsten liegt nur eine Pseudonymisierung vor, was nicht ausreicht.

Eine absolut sichere und irreversible Anonymisierung von Daten ist aber heute aus technischer Sicht nicht mehr möglich. Obwohl «Anonymisieren» und «Vernichten» im revidierten Datenschutzgesetz in ihrer Funktion als gleichwertig beurteilt werden (Art. 6 Abs. 4 revDSG), ist daher – insbesondere bei sensiblen Daten – eine Vernichtung zu bevorzugen.

Die Löschung in der Cloud

Sind digitale Daten «vernichtet», d.h. nicht mehr rekonstruierbar, nachdem der Löschvorgang beendet ist? Dies muss nicht unbedingt der Fall sein, denn in der Praxis ist alles ein wenig komplizierter. Mit forensischen Werkzeugen und Methoden lassen sich gelöschte Daten – auch bei zerstörtem Datenträger – vielfach mit wenig Aufwand wiederherstellen (mehr zur forensischen Datenwiederherstellung findest Du hier).

Die heutzutage oft genutzten Cloud-Technologien verteilen Deine Daten in der Regel auf viele verschiedene Server in vielen verschiedenen Ländern. Dabei werden sie repliziert und immer wieder innerhalb der Cloud verschoben. Da es bereits schwierig ist, festzustellen, wo sich die Daten und allfällige Kopien überall befinden, stellen wirksame technische Methoden zur effektiven Löschung von Daten eine Herausforderung dar. Nach dem vermeintlichen Löschvorgang sind Deine Daten für Dich zwar nicht mehr sichtbar, wahrscheinlich sind aber in einzelnen Rechenzentren, in denen die Cloud betrieben wird, immer noch Kopien davon vorhanden.

Solange diese Daten nicht bspw. durch einen neuen Datensatz überschrieben werden, kann der Cloud-Anbieter Deine gelöschten Daten auf Anfrage hin auch wiederherstellen (bspw., wenn Du die Daten unabsichtlich gelöscht hast). Beim Löschen von Daten aus der Cloud hast Du daher nahezu keine Kontrolle darüber, ob sie auch zuverlässig vernichtet werden. Du musst dem jeweiligen Cloud-Anbieter vertrauen, dass die Daten auch tatsächlich aus allen Datenbanken, Servern, Backups & Co. verschwinden (mehr zur zuverlässigen Löschung von Cloud-Daten findest Du hier).

Ein Lösungsvorschlag: Verschlüsselung

Was ist nun eine sichere Methode, um Daten endgültig zu löschen und sicherzustellen, dass diese auch wirklich vernichtet werden, selbst wenn sie sich in der Cloud befinden?

Eine Lösung bietet die Verschlüsselung. Durch die Verschlüsselung werden Deine Daten für unberechtigte Dritte unlesbar gemacht. Egal wo sich die verschlüsselten Daten befinden, mittels Zerstörung des Entschlüsselungsschlüssels (und allen Kopien dieses Schlüssels) wird der Zugang zu diesen Daten verhindert und damit die Löschung irreversibel.

Solange die Menschheit noch keine leistungsfähigen Quantencomputer entwickelt hat, die Verschlüsselungen erheblich schneller dechiffrieren als herkömmliche Computer, stellt dies die sicherste Methode dar (mehr zum Thema Quantencomputer findest Du hier.) Wenn du also auf Nummer sichergehen willst, verschlüsselst Du Deine Daten, bevor Du sie in die Cloud hochlädst (mehr zur Datenverschlüsselung findest Du hier).

Fazit

Die Löschung von Daten ist nicht so einfach, wie sie vielleicht auf den ersten Blick scheinen mag. Sind gelöschte Daten für Dich als Benutzerin nicht mehr sichtbar, bedeutet das noch lange nicht, dass diese nicht mehr existieren bzw. nicht wiederhergestellt werden können.

Willst Du wissen, ob die von Dir getroffenen Massnahmen ausreichen, musst Du die verschiedenen Wiederherstellungsszenarien und deren Wahrscheinlichkeit ermitteln sowie die Risiken beurteilen.