Kommentare und Erläuterungen

Aus Datenschutz-Wiki
(Weitergeleitet von Löschen)
Wechseln zu: Navigation, Suche

§ 3 Weitere Begriffsbestimmungen

Absatz 4 Satz 2 Nr. 5 Text

(4) Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten. Im einzelnen ist, ungeachtet der dabei angewendeten Verfahren:
1. ...
...
5. Löschen das Unkenntlichmachen gespeicherter personenbezogener Daten.

Löschen

Während für die Verarbeitungsphasen der Speicherung, Übermittlung und Veränderung (abgesehen vom Sonderfall der Berichtigung) nur Verbotsvorschriften existieren (§ 4, ergänzt durch die Erlaubnistatbestände des 2. bis 4. Abschnitts), ist die Löschung Gegenstand sowohl von Verboten als auch von Geboten (insb. § 20, § 35).


Für die Definition des „Löschens“ verwendet das Gesetz den Begriff „Unkenntlichmachen“, denn die Löschungsregelungen beziehen sich auf die Eigenschaft der Daten, bestimmte Informationen zur Kenntnis zu bringen. Durch Löschungsverbote wird gewährleistet, dass diese Funktion nicht verloren geht. Sie schützen den Betroffenen davor, dass er die betreffenden Informationen erneut beibringen muss oder dass er durch den Verlust der Informationen Nachteile erleidet.


Die Löschungsgebote zielen dagegen auf Aufhebung der Informationsfunktion. Ist die Speicherung nicht oder nicht mehr zulässig oder ist ihr Zweck erfüllt, so bewertet das Gesetz das Interesse des Betroffenen an der Beseitigung der Daten höher als das der verantwortlichen Stelle an ihrer Erhaltung. Der mögliche Nachteil (Beeinträchtigung schutzwürdiger Belange) erschöpft sich dabei nicht in dem jeweiligen Zustand der Datenspeicherung oder in dem Informiert-Sein der verantwortlichen Stelle, sondern liegt vor allem in der Gefahr einer nachteiligen Informationsnutzung. An diesen beiden Schutzzielen ist die Begriffsauslegung zu orientieren.

Begriff und Formen des Unkenntlichmachens

Der Begriff „Unkenntlichmachen“ trifft auf jede Handlung zu, die irreversibel bewirkt, dass eine Information nicht länger aus gespeicherten Daten gewonnen werden kann.

Im Falle des Löschungsverbots ist jede Handlung verboten, die es der verantwortlichen Stelle künftig unmöglich macht, durch Rückgriff auf die gespeicherten Daten den darin verkörperten Informationswert wahrzunehmen. Bleibt die Informationsfunktion an anderer Stelle (z.B. durch Kopieren) erhalten, dann ist die physische Beseitigung verkörperter Daten (z.B. durch Überschreiben oder durch Zerstörung des Datenträgers) keine Löschung. Dasselbe gilt, wenn sich nur die Art der Informationsdarstellung ändert, z.B. durch Abkürzung oder Verschlüsselung der Angabe oder durch Wechsel des Codes.

Umgekehrt muss die verantwortliche Stelle zur Erfüllung des Löschungsgebots einen Zustand herstellen, in dem sie die betreffende Information nicht mehr aus von ihr gespeicherten Daten gewinnen kann. Das Beseitigen einer bestimmten Datenverkörperung genügt also nicht, wenn die betreffende Information mittels anderweitig gespeicherter Daten weiter verfügbar bleibt.


Mit welchen Verfahren und Mitteln die Daten unkenntlich gemacht werden, ist gleichgültig. In Betracht kommen insbesondere folgende Möglichkeiten:

a) Daten werden durch Entfernen oder Überschreiben der Information ohne Eingriff in die Integrität des Datenträgers beseitigt (z.B. Überschreiben auf Magnetbändern, Unleserlichmachen einer Beschriftung durch Schwärzen oder Ausradieren). Das Schwärzen einzelner Daten eines Datensatzes genügt allerdings nicht, wenn dabei die unkenntlich zu machende Information teilweise erhalten bleibt.

Gleiches gilt für die nur teilweise Löschung eines Datensatzes auf einem Datenträger, wenn in den restlichen Bestandteilen die Informationen, auch durch Verknüpfungen, erhalten bleiben. Beim Überschreiben (nicht-)magnetischer oder optischer Datenträger (Flash-Speicher, Festplatten, DVD-RAM u.ä.) sind die Überschreibmuster und Überschreibzyklen so zu gestalten, dass die Informationen auch über Cache und Metadaten oder Dateiverwaltungsinformationen nicht rekonstruiert werden können.


b) Daten werden durch physikalische Maßnahmen wie die Zerstörung des Datenträgers beseitigt. Darunter fallen mechanische, chemische oder thermische Zerstörungsmaßnahmen mit der Folge der Unlesbarkeit (wie Schreddern oder Verbrennen von Formularen, Zertrümmern oder sonstiges Beschädigen des Datenträgers, Zerkratzen der magnetisierbar beschichteten Oberfläche von Platten- oder Trommelspeichern, Verbrennen oder chemisches Zerstören von Ton- und Videobändern, magnetische Durchflutung des Datenträgers mittels Degausser).


c) Ergibt sich eine zu löschende oder nicht zu löschende Information aus der Verknüpfung zweier (oder mehrerer) Daten-Teilmengen, jedoch nicht aus den unverknüpften Teilmengen, so kann die Löschung auch durch die irreversible Löschung der Verknüpfung erfolgen.


d) Daten sind ferner dann gelöscht, wenn die sie darstellenden Zeichen zwar noch physisch vorhanden, aber nicht mehr interpretierbar, d.h. im Sinne bestimmter bedeutungshaltiger Aussagen deutbar oder erfassbar, sind. Dies kann der Fall sein, wenn Angaben zur Codierung, zur Speicherorganisation oder Entschlüsselung vernichtet werden und nicht oder nur mit absolut unverhältnismäßigem Aufwand rekonstruiert werden können.

Zu berücksichtigen sind bei einer Löschung außerdem die vom Datensatz erstellten Sicherungskopien, auf die die gleichen Maßnahmen anzuwenden sind.


Um eine Löschung zu bewirken genügen folgende Maßnahmen nicht:

  • Die bloße Freigabe eines Datenträgers zur Wiederverwendung (unter Überschreibung).
  • Die Veränderung der Datenorganisation derart, dass ein gezielter Zugriff auf die betreffenden Daten ausgeschlossen wird. Die in Standard-Software enthaltene Löschfunktion genügt daher in den meisten Fällen nicht den gesetzlich gestellten Anforderungen.
  • Die Löschung in einer Datei unter gleichzeitiger Übernahme der Angabe in einen nicht dem Gesetz unterfallenden Bestand (im Hinblick auf den Dateibezug nach § 1 Abs. 2 Nr. 3) ist wegen Gesetzesumgehung nicht als Löschung anzuerkennen.
  • Aussprechen eines Verbots der Kenntnisnahme und Nutzung an die Mitarbeiter der verantwortlichen Stelle.
  • Versprechen der verantwortlichen Stelle, die Daten nicht mehr verwenden zu wollen.

Ein Löschungsverbot ist verletzt, sobald die verantwortliche Stelle die Information nicht mehr reproduzieren kann.

Verhältnis zur Datensicherung

Die Ausführung eines Löschungsgebots wird problematisch, wenn der Datenbestand aus Sicherungsgründen (Schutz gegen Datenverlust durch Verarbeitungsfehler, spätere Nachvollziehbarkeit von Vorgängen) in mehreren Generationen aufbewahrt wird (Großvater/Vater/ Sohn-Prinzip) oder die einzelnen Transaktionen samt dem Inhalt der gelöschten Daten protokolliert werden (Datensicherung im engeren Sinn). Aus dem oben Gesagten folgt, dass zur Löschung nicht nur die Daten im jeweils aktuellen Haupt- bzw. Arbeitsdatenbestand, sondern in allen vorhandenen Dateien zu beseitigen sind, aus denen die betreffende Information zu entnehmen ist. Eine andere Auslegung widerspräche dem klaren Sinn und Zweck der Löschungsvorschriften. Es lässt sich in diesem Fall auch nicht behaupten, die Daten dienten nicht mehr der weiteren Nutzung, seien daher nicht mehr gespeichert im Sinne von Abs. 4 Nr. 1.


Das rechtliche Problem liegt nicht in der Auslegung der Begriffe „löschen“ und „speichern“, auch nicht in der Frage des erforderlichen Aufwandes, sondern in der Bestimmung des Verhältnisses zwischen der Löschungspflicht einerseits und der Pflicht zur Sicherung des Datenbestandes, die sich aus § 9 i.V.m. den Löschungsverboten und aus anderen gesetzlichen Anforderungen ergibt, andererseits. Dieser Konflikt ist so aufzulösen, dass die Löschung unter Beachtung der Sicherheitsanforderungen im größtmöglichen Umfang und frühestmöglichen Zeitpunkt vorzunehmen ist. Zu löschende, zu Sicherungszwecken aber zunächst noch aufzubewahrende Daten dürfen ausschließlich im Sicherungsfall und dann nur zur Rekonstruktion des Datenbestandes durch die damit betrauten Personen verwendet werden. Dies ist durch entsprechende Maßnahmen (§ 9 i.V.m. Anlage zu § 9 Satz 1) sicherzustellen. Der Löschungsvorgang erfolgt hier mehrstufig: Beginnend mit dem aktuellen Bestand ist die Löschung erst mit der Löschung der letzten das Datum enthaltenden Sicherungsversion vollendet. Mitteilungen an Betroffene dürfen in diesem Punkt keine Fehlvorstellung erzeugen.


Das Löschungsgebot ist aber nicht einseitig den Sicherungsanforderungen untergeordnet. Vielmehr muss auch die Sicherung datenschutzgemäß organisiert werden (§ 9 i.V.m. Anlage zu § 9 Satz 1), d.h. hier insbesondere so, dass den Löschungsverpflichtungen ohne unverhältnismäßige Verzögerung nachgekommen werden kann. Der Zeitraum hängt von den konkreten Umständen ab; eine Aufbewahrung von Sicherungsversionen mit zu löschenden Daten über eine Zeit von mehr als zwei Monaten dürfte in der Regel unzulässig sein.


 § 3 BDSG Kommentar Absatz 4 Teil 1
 § 3 BDSG Kommentar Absatz 4 Teil 2
 § 3 BDSG Kommentar Absatz 4 Teil 3
 § 3 BDSG Kommentar Absatz 4 Teil 4
 § 3 BDSG Kommentar Absatz 4 Teil 5
 § 3 BDSG Kommentar Absatz 4 Teil 6
 § 3 BDSG Kommentar Absatz 4 Beispiele


Weitere Informationen

Orientierungshilfe Datenträgerentsorgung des LfD Bayern vom 14.02.2014

Orientierungshilfe Sicheres Löschen magnetischer Datenträger hrsg. vom Arbeitskreis „Technische und organisatorische Datenschutzfragen“ der Konferenz der Datenschutzbeauftragten des Bundes und der Länder (2004).

Löschen von Festplatten: Links und Hinweise bei der Zentralen Datenschutzstelle der baden-württembergischen Universitäten (ZENDAS)

Löschung von Datenträgern - aktuelle Entwicklung im X.Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Sachsen-Anhalt vom 01.04.2009 - 31.03.2011

Online-Kommentare

← § 3 BDSG Kommentar Absatz 3   § 3 BDSG Kommentar Absatz 5 →

← § 2 BDSG Kommentare   § 3a BDSG Kommentare →


Bundesdatenschutzgesetz


Dieser Text wurde aus dem Datenschutz-Wiki der BfDI übernommen. Bearbeitungen vor dem 16.April 2016 stehen unter der Lizenz Creative Commons Namensnennung 3.0 Deutschland.