Was bedeutet Löschen?

Im Datenschutzrecht und spezialgesetzlichen Vorschriften ist je nach Branche festgelegt, wann gespeicherte Daten zu löschen sind. Bestimmte Daten unterliegen wegen des Anwalts- oder Sozialgeheimnisses einem größeren Schutz.

Unter "Löschen" versteht § 3 Absatz 4 Nummer 5 BDSG, das Unkenntlichmachen gespeicherter personenbezogener Daten. Daten werden dann als unkenntlich angenommen, wenn man die Informationen nicht zurückgewinnen kann und eine weitere Verarbeitung nicht mehr möglich ist. Wie dies in der Praxis konkret umzusetzen ist, schreibt das Gesetz nicht vor. Anhaltspunkte ergeben sich aus § 9 BDSG, seiner Anlage und einigen DIN-Vorschriften zu den jeweiligen Löschtechniken.

Die Anlage zu § 9 BDSG konkretisiert dann die erforderlichen Maßnahmen und nennt etwa die Zugangs-, Zugriffs- und Weitergabekontrolle sowie die Eingabekontrolle von personenbezogenen Daten. Das Gesetz weist zudem darauf hin, dass Verschlüsselung eine geeignete Maßnahme zur konkreten Umsetzung sei.

Bei der Frage, welche Daten zu löschen sind und welchen Aufwand man dafür betreiben muss, ist unter anderem die Sensibilität der Daten zu berücksichtigen sowie das Risiko der Wiederherstellung und der Aufwand, der für eine Rekonstruktion nötig wäre.

Datenschützer empfehlen die Stärke der durchgeführten Löschmaßnahmen so zu wählen, dass eine Wiederherstellung der Daten für einen Angreifer mit dessen finanziellen oder materiellen Mitteln nicht nur erschwert oder unattraktiv, sondern auch praktisch nicht durchführbar wäre.

IT-Sicherheit ist Chefsache

Das Datenschutzrecht geht Hand in Hand mit der IT-Sicherheit. Im Aktiengesetz heißt es in § 91 Absatz 2: "Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit die den Fortbestand der Gesellschaft gefährdenden Entwicklungen früh erkannt werden." Da man diese Vorschrift auch für andere Gesellschaftsformen anwendet, geht IT-Sicherheit jedes Unternehmen an, das personenbezogene Daten verarbeitet.

Zur IT-Sicherheit gehört die Frage, was mit Datenträgern geschieht, die das Haus verlassen, sei es durch Verkauf, Entsorgung, im Gewährleistungsfall oder beim Ausscheiden eines Mitarbeiters. Der Geschäftsführer ist mit Blick auf die IT-Sicherheit mit der Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters verpflichtet, sich zunächst erstmal selbst um die IT-Sicherheit im Hause zu kümmern. Die Einhaltung der Sorgfaltspflicht muss er im Streitfall beweisen. Er kann diese Pflicht aber delegieren, etwa an den IT-Sicherheitsbeauftragten.

Zur IT-Sicherheit gehört es auch, das Unternehmens-Know-how, also betriebsinterne Daten zu schützen, wie geheime Pläne, Zeichnungen, Patentschriften vor der Anmeldung und so weiter. Man sollte regeln, was geschieht, wenn Mitarbeiter von zu Hause arbeiten, etwa vom privaten PC oder auf dem privaten Smartphone, Daten des Unternehmens hinterlassen.