Uwe Opitz, Martina Fanselow
 

Rz. 42

Art. 4 Nr. 2 DSGVO zählt die Begriffe Löschen und Vernichtung als Vorgänge der Verarbeitung auf, ohne sie näher zu bestimmen.

 

Rz. 43

Löschen war bis 24.5.2018 in § 67 Abs. 6 Nr. 5 SGB X a. F. definiert als das "Unkenntlichmachen gespeicherter Sozialdaten". Dies konnte z. B. durch Schwärzen oder Überschreiben erfolgen.

 

Rz. 44

Neu im deutschen Datenschutzrecht und daher noch nicht definiert ist der Begriff der Vernichtung. Die Vernichtung wurde bis 24.5.2018 als eine Form des Löschens eingeordnet, ohne diese näher zu bestimmen.

Synonyme für Vernichtung sind z. B. Ausrottung, Beseitigung, Destruktion, Erledigung und Zerstörung.

In der DSGVO selbst findet sich lediglich in EG 83 DSGVO ein Hinweis zu den mit der Verarbeitung personenbezogener Daten verbundenen Risiken, die z. B. durch Vernichtung eintreten können.

 

Rz. 45

Hilfestellung bei der Bestimmung der Begriffe Löschen und Vernichtung bietet das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit seinem IT-Grundschutzkatalog. Dieser enthält u. a. Maßnahmenkataloge, so auch zu dem Thema "Datenschutzgerechte Löschung/Vernichtung".

Die dortigen Ausführungen zu sicherem Löschen beziehen sich auf magnetische Datenträger. Danach ist beim Löschen von sensiblen oder vertraulichen Daten auf magnetischen Datenträgern zu gewährleisten, dass die Daten sicher, d. h. vollständig und unumkehrbar gelöscht werden. Dazu müssen die Daten

  • durch physikalische Maßnahmen wie mechanische oder thermische Zerstörung, magnetische Durchflutung des Datenträgers oder
  • durch mehrmaliges Überschreiben

unkenntlich gemacht werden.

Als Orientierung, wann Daten/Unterlagen als vernichtet angesehen werden können, wird vom BSI die Norm DIN 66399 (Vernichten von Datenträgern) herangezogen. Danach ist "eine Informationsträgervernichtung dann ausreichend, wenn die Informationsträger so vernichtet werden, dass die Reproduktion der auf ihnen wiedergegebenen Informationen nur unter erheblichem Aufwand an Personen, Hilfsmitteln oder Zeit möglich ist (Sicherheitsstufe 3)".

 
Hinweis

Die Voraussetzungen für das Löschen von Daten sind näher in Art. 17 DSGVO und § 84 geregelt. Auf die Komm. zu § 84, die auch Ausführungen zu Art. 17 DSGVO enthält, wird ergänzend hingewiesen.

Zur Vernichtung enthält weder die DSGVO noch das SGB X weitere Regelungen; insoweit sollten die Vorgaben aus Art. 17 DSGVO und § 84 analog angewendet werden.

Das ist nur ein Ausschnitt aus dem Produkt Personal Office Premium. Sie wollen mehr?

Jetzt kostenlos 4 Wochen testen

Anmelden und Beitrag in meinem Produkt lesen


Meistgelesene beiträge