Oft müssen jedoch statt einzelner Datensätze Datenträger insgesamt vernichtet werden. Die Verpflichtung zum
Löschen von Daten ist sowohl im BDSG (§ 20 Abs. 2 bzw. § 35 Abs. 2) als auch in spezialgesetzlichen Regelungen (z. B. § 84 Abs. 2 SGB X) verankert. Der Prozess des „Löschens“ oder des „Vernichtens“ muss dauerhaft und irreversibel dazu führen, dass die betreffenden Informationen nicht mehr aus dem Datenträger gewonnen werden können. Dies gilt sowohl für die Daten verarbeitende Stelle selbst, als auch für Dritte, wenn sie beispielsweise im Auftrag Datenträger vernichten.
Das Vernichten von Datenträgern ist gleichzeitig eine technisch-organisatorische Maßnahme zur Gewährleistung der Datensicherheit, insbesondere zur Verhinderung der Kenntnisnahme personenbezogener Daten durch
Unbefugte (Sicherung der Vertraulichkeit). Insofern sind die entsprechenden Regelungen des BDSG (§ 9 sowie
dessen Anlage) sowie andere gesetzliche Vorschriften (z. B. § 78a SGB X) zu beachten. Danach muss die Maßnahme dem Schutzbedarf der Daten angemessen sein. Ihre Umsetzung hat sich nach den im Einzelfall zu be trachtenden Risiken und dem Stand der Technik zu richten.
Im Oktober 2012 wurde hierzu die neue DIN-Norm 66399 „Büro- und Datentechnik - Vernichten von Datenträgern“ veröffentlicht (vgl. 24. TB Nr. 4.6). Der zuständige DIN-Ausschuss hat damit einen Standard erarbeitet,
der den heutigen Stand der Technik in der Datenträgervernichtung abbildet und die veraltete Norm DIN 32757
ablöst.
In Zusammenarbeit mit dem Arbeitskreis Technik der Datenschutzbeauftragten des Bundes und der Länder sowie dem Düsseldorfer Kreis habe ich an einer Orientierungshilfe mitgearbeitet, die es den verantwortlichen Stellen leichter macht, die DIN-Norm 66399 in der Praxis anzuwenden. Die Orientierungshilfe steht auf meiner Homepage zum Abruf bereit.
Die DIN-Norm 66399 soll in naher Zukunft durch eine europäische Norm zur Vernichtung von Datenträgern ergänzt werden. Dies unterstütze ich. Mit diesem Ziel kann der deutsche datenschutzrechtliche Standard in Europa
verankert werden und damit zur Verbesserung des Datenschutzes beitragen.
8.5
Cloud Computing - wenn dann vertrauenswürdig
Jeder kennt es, fast jeder nutzt es! Cloud Computing ist erwachsen geworden. Verschiedene Stellen und Gremien haben sich mit den rechtlichen und technischen Fragen beschäftigt. Auch an einer Zertifizierung von
Cloud-Diensten wird gearbeitet.
Meine Gremienarbeiten zu Cloud Computing, über die ich bereits mehrfach berichtet habe (zuletzt im 24. TB
unter Nr. 5.3), ging auch im Berichtszeitraum weiter. Inzwischen drängen die Hersteller mit neuen Cloud-Produkten in den Markt. Als ein Beispiel sind komplette Office-Umgebungen zu nennen, die über die Cloud realisiert werden. Dabei hat sich an den grundsätzlichen Datenschutzanforderungen nichts geändert. Nur wenn die
Daten innerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums (EWR) gespeichert und verarbeitet werden, bestehen rechtlich keine Bedenken. Bei einer grenzüberschreitenden Datenverarbeitung in der
Cloud, die sich auch über Länder außerhalb der EU oder des EWR erstreckt, ist eine Rechtsgrundlage für die
Datenübermittlung sowie ein angemessenes Datenschutzniveau in dem betroffenen Drittstaat erforderlich.
Technologisch gesehen sollten insbesondere (sensible) personenbezogene Daten vor dem Einbringen in die
Cloud und bei der Übertragung unter alleiniger Kontrolle des Auftraggebers verschlüsselt werden. Wie die Enthüllungen der Überwachungs- und Spionagetätigkeiten ausländischer Geheimdienste gezeigt haben, hat auch
die oftmals vernachlässigte Verschlüsselung der Daten das Cloud Computing als internationales Modell in die
Kritik gebracht.
– 144 –
BfDI 25. Tätigkeitsbericht 2013-2014