DSGVO, Strafen, Löschen und Archivierung

06.11.2019

Es ist wahrscheinlich niemandem entgangen, dass die Deutsche Wohnen 14,5 Millionen Euro für einen DSGVO-Verstoß zahlen soll: http://bit.ly/34EF6Mr. Natürlich erregt dies Aufmerksamkeit,da deutlich wird, dass die DSGVO umgesetzt wird und auch Strafen fällig werden. Dies ist die erste höhere Strafe in Deutschland (in anderen EU-Staaten ging es schon häufiger um mehr Geld). Die Pressemitteilung zum Bußgeldbescheid der Berliner Datenschützerin findet sich hier.

Quasi nebenbei tritt aber ein Sachverhalt auf, der nahezu alle Unternehmen, die ihre Daten und Belege elektronisch archivieren, betrifft. Heise schreibt hier lakonisch zu den Gründen der Strafe:

"Deutsche Wohnen habe für die Speicherung personenbezogener Daten von Mietern ein Archivsystem verwendet, das keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu entfernen, habe sich bei Prüfungen vor Ort im Juni 2017 und im März 2019 ergeben. Personenbezogene Daten seien gespeichert worden, ohne zu überprüfen, ob eine Speicherung zulässig oder überhaupt erforderlich ist."

Dies ist natürlich für eine elektronische Archivierung, die auf nur einmal beschreibbaren Medien beruht, sehr kritisch. Echte WORM-Speicher wie digital-optische Medien oder spezielle Hardware-Subsysteme mit Festplatten, sind zwar nicht mehr so häufig anzutreffen, aber die Unveränderbarkeit und damit Nichtlöschbarkeit ist ein Grundprinzip der elektronischen Archivierung. Aus gegebenem Anlass sollen hier vier Aspekte beleuchtet werden:

(1) Wissen um die Information 

Bevor überhaupt an Speicherung oder gar Löschung zu denken ist, sind Informationen in den Systemen zu klassifizieren und zu bewerten. Diese Dokumentation nennt man auch "Informationslandkarte", in der Identität, Zuständigkeit, Wert, Charakter, Speicherort, Lebenszyklus, Aufbewahrungsfrist, Geheimhaltung nach GeschGehG, Löschregeln, rechtliche Bedingungen, Zugriffsbedingungen etc. aufgezeichnet sind. Nur Information, die bekannt ist, kann auch genutzt und geschützt werden. Solche Informationslandkarten haben natürlich nicht nur die DSGVO sondern auch das HGB/AO, das GeschGehG und andere gesetzliche Anforderungen zu berücksichtigen. Eine solche Informationslandkarte ist auch die Grundlage für Verfahrensdokumentationen. Es kann also nur gelöscht werden, wenn die betreffende Information identifizierbar und auffindbar ist. 

(2) Was ist die schützenswerte personenbezogene Information?

Ein Unternehmen, dass für seine Geschäftstätigkeiten auf die Namen, Adressen und gegebenenfalls andere Merkmale angewiesen ist, stößt schnell auf die Widersprüche zwischen z.B. handelsrechtlichen Vorgaben und personenbezogenen Schutzanforderungen. So kann niemand verlangen, dass eine Rechnung mit seinem Namen, der Anschrift und gegebenenfalls echten sehr privaten Angaben vor Ablauf der Aufbewahrungsfrist gelöscht wird. Oder diese Angaben aus dem Dokument entfernt werden (was nur mit einem aufwändigen Redaction-Prozess ginge, der aber wiederum die Originalität des Beleges und der Daten beeinträchtigt). In Grauzonen gelangt man bei anderen Dokumenten wie Geschäftsbriefen und Handelsbriefen. Ein ausscheidender Mitarbeiter kann so auch nicht verlangen, dass alle seine personenbezogenen Informationen zu löschen sind - denn wohin sollte man den dann später seine Betriebsrente hin überweisen. Kritisch sind natürlich immer Adressdatenbanken, die für verschiedene Zwecke genutzt werden, so z.B. für Versand von Werbung aber auch für notwendige Mitteilungen, die Haftung, Gewährleistung, Vertragsänderungen oder Risiken betreffen. Es bedarf also klarer Regeln und Abwägung der Interessen. Dies ist begründet zu dokumentieren. All dies findet in einem Umfeld von Systemen statt, bei deren Design nicht an DSGVO-Anforderungen gedacht worden ist. Die vollständige Erfüllung aller rechtlichen Anforderungen, von DSGVO über HGB bis Sonstwohin, ist defacto gar nicht möglich.

(3) Archivieren und Löschen

Bei der elektronischen Archivierung wurde das Löschen sträflich vernachlässigt. Dies lässt sich historisch schon daraus ableiten, dass digitale WORM-Medien und Subsysteme eingesetzt wurden, die physisch das Löschen verhindern. Dabei gab es die Anforderung, Information auch gezielt entsorgen zu können, wenn sie nicht mehr gebraucht wird, falsch oder ungültig geworden war, zu entfernen. Dies machte man dann häufig im Rahmen einer Migration durch Weglassen der betroffenen Objekte im neuen Zielsystem. In einem Archivsystem sind in Bezug auf personenbezogene Daten zwei Qualitäten zu berücksichtigen: einmal die Daten in der Datenbank, die die archivierten Informationsobjekte verwaltet. Zum Zweiten die Daten in den Informationsobjekten selbst. Die Daten in der Datenbank lassen sich verändern, die Daten am Objekt und das Objekt selbst auf dem Speicher jedoch nicht. Dies basiert auf der traditionellen Architektur der Verwaltung des Archivspeichers mit einer Referenzdatenbank für Zugriff und Verwaltung. Dies kann eine unabhängige Datenbank aber auch direkt die Datenverwaltung eines führenden ERP- oder anderen Systems sein. Hier war es möglich durch das "logische Löschen" an zwei Stellen das Problem des Löschens anzugehen: man kann die zu löschenden Daten in der Datenbank entfernen oder ersetzen. Weiterhin ist das Auffinden der Objekte nicht mehr möglich, wenn die Zugriffskriterien entfernt sind. Dies bedeutet, die Information am und im gespeicherten Objekt (Dokument, Datensatz, Liste, Video - wie auch immer) ist noch vorhanden, also gespeichert. Sie ist aber nicht mehr im Zugriff und dadurch durch Anwender und Anwendungen nicht mehr nutzbar. Das logische Löschen wurde aber vielfach nicht als ausreichend angesehen, obwohl es beim Einsatz nur einmal beschreibbarer Speichermedien die einzige wirtschaftliche und einfache Lösung ist. Was ist älteren Archivsystemen zu dem fehlt, ist die Klassifikation einer solchen schützenswerten Information, um sie überhaupt identifizieren zu können. Alle, die seit Jahren oder Jahrzehnten bereits elektronisch archivieren, können daher garnicht ohne weiteres nachträglich löschen wenn dies nicht bereits bei der Planung der Lösung berücksichtigt wurde oder im eingesetzten Produkt überhaupt nicht vorhanden ist.  Das Knowhow hierfür ist sowohl bei Anwendern aber leider auch bei Anbietern selten ausreichend vorhanden.

(4) Records Management und Revisionssichere Archivierung

Die revisionssichere Archivierung lehnt sich an das internationale Konzept des Records Management an. Daher lohnt sich ein Blick auf Records Management und Information Governance Prinzipien zu werfen. Im Records Management ist das Löschen eines der 8 Grundprinzipien. Records Management betrifft den Zeitraum, der den Aufbewahrungsfristen unterliegt (und nicht die ewige Langzeitarchivierung). Die Entsorgung nicht mehr benötigter, nicht mehr aktueller Information ist hier praktisch als Grundlage eingebaut. Spätestens nach Ablauf der Aufbewahrungsfrist wird entschieden, welche Information vernichtet und welche in eine Langzeitarchivierung überführt wird. Das Ändern und Löschen von Information während des Lebenszyklus ist eingeplant, da es auch der Realität in Geschäftsprozessen z.B. bei Fehlbuchungen, Falschzuordnungen, unkontrollierter Redundanz etc. auftritt. Auch die Prinzipien von HGB und GoBD, die der revisionssicheren Archivierung zu Grunde liegen,  fordern Ordnungsmäßigkeit - also auch eine ordentliche Behandlung von Änderungen und Löschungen. Im Records Management wird aber nicht einfach gelöscht sondern es wird über die Löschung in einem Prozess ein Protokoll erzeugt. Dies Protokoll beinhaltet Identität der zu löschenden Information, den Grund der Löschung, Datum, Regel und andere Informationen. Dieses Protokoll, der Audit-Trail,  unterliegt natürlich auch den Aufbewahrungsfristen und wird nach der erfolgreichen Löschung entsprechend auch im Archiv behalten. Dieser Audit-Trail ermöglicht auch den Nachweis nach GDPR/DSGVO, welche Information vorhanden war und dass sie ordnungsgemäß gelöscht wurde. Beim einfachen Weglöschen würde dieser notwendige Nachweis fehlen. Deshalb ist es sinnvoll, bei der Aufbewahrung sich auf das Records Management zu beziehen und beim Übergang in die Langzeitarchivierung darauf zu achten - möglichst automatisiert durch entsprechende Attribute - personenbezogene Information wegzulassen oder entsprechend DSGVO/IFG/usw zu behandeln.

 

Was tun?

Wer ältere Archivsysteme vor den Zeiten der DSGVO (ja, auch der Vorgänger BDSG hatte schon solche Anforderungen ...), wo die Identifizierung und Löschung solcher Daten im Konzept nicht berücksichtigt wurde, haben kaum eine Chance der DSGVO-Falle zu entgehen. Dies ist spätestens bei der nächsten Migration oder Systemumstellung zu ändern.

Wer ein neues System einführen will, muss halt die Klassifikation der Daten, entsprechende Löschmechanismen (logisch oder physisch) berücksichtigen. Hierbei geht es auch um eine Risiko-Abwägung, z.B. DSGVO-Löschpflichten versus HGB-Aufbewahrungspflichten.

Es geht auch nicht um die klassischen reinen Archivsysteme. Auch andere Anwendungssoftware wird heute mit einer Archivierungskomponente ausgestattet, von HR (hier besonders kritisch unter DSGVO-Gesichtspunkten) über ERP und CRM bis zu Portalen und Webshops. Hier muss jeder Anwender prüfen, ob die Bedingungen durch die mitgelieferte oder integrierte Komponente erfüllt werden oder ob man zusätzlich ein übergreifendes Records-Management- und Archivsystem zusätzlich benötigt.

 

Fazit

Den Fall der Deutsche Wohnen nüchtern betrachten und nicht gleich in Panik verfallen. Bei der Deutsche Wohnen wurde das Problem offenbar schon vor zwei Jahren identifiziert und in einem "Finding" bemäkelt. Die zwei Jahre hätte man auch benutzen können, um eine passende Lösung einzuführen oder zumindest glaubhaft vorzubereiten.

Es bleibt zu hoffen, dass sich kurzfristig klare Empfehlungen erarbeiten lassen, wie mit Archiven dieser Art umzugehen ist - ohne dass gleich alles was sich im Felde befindet, abgelöst werden muss. Und schon gar nicht darf der Fall dazu benutzt werden, die Wichtigkeit und den Nutzen der elektronischen Archivierung in Frage zu stellen.

Kommentare

Die Deutsche Wohnen teilt die Rechtsauffassung der Berliner Datenschützerin nicht.
Sie hat gesagt, dass das System, dass der Datenschutz im Frühjahr inspiziert hat, längst nicht mehr im Einsatz sei. 6 Monate von Inspektion bis Bescheid ist eine stramme Verwaltungsleistung in rechtlich dünnem Eis wie oben gezeigt.
Interessant fand ich die Aufforderung des Datenschutzes, die Mieter sollen doch einfach alle Auskunft über Ihre Daten anfordern.
Offenabr wird hier versucht, dass der Datenschutz mit bürokratischem Exzess die Wirtschaft ohne jeden Nutzen lahm legen will. Einfach Macht ausüben zur Zerstörung. Eine ordentliche Risikoanalyse (Schadensausmaß * Eintrittswahrscheinlichkeit) wurde von den Extremlangsam-Arbeitern natürlich nicht eingelegt. Es wurde auch nicht gesagt, dass Daten missbraucht/gebraucht wurden, sondern nur dass sie da seien und nun (von den WORMS) gegen andere gesetzliche Vorschriften gelöscht werden sollen. Eine Amok laufende Behörde? Der deutsche Fakedatenschutz wird langsam unerträglich. Es werden neue Steuern eingetrieben ohne jeden Nutzen. Bei Facebook/Cambridge-Anal. Skadal hat der deutsche Caspar in Hamburg das von ihm nach DSGVO eröffnete Verfahren eingestellt, während wegen der gleichen Vorgänge Facebook in USA (die ja bekanntlich keinen Datenschutz haben (nach Ansicht der deutschen #Fakedatenschützer) 5 Mrd $ Bußgeld zahlen musste. Diese Volksverarschung mit der DSGVO sollte schnellstens beendet werden und durch echten Datenschutz, auch bei Behörden, beendet werde. Schilda war ein rationales Paradies gegen die Spinnereien, die wir Datenschutz nennen.

dsgvo_einverstaendnis_comment
Einverständniserklärung nach DSGVO
Einhaltung der EU-Urheberrechtsrichtlinie
Einhaltung der EU-Urheberrechtsrichtlinie

Von Rechtsanwältin Nina Dierks gibt es heute ebenfalls einen interessanten Beitrag zum obigen Thema "Berliner Datenschutzbehörde (BlnBDI) erlässt Bußgeld nach DSGVO in Höhe von 14,5 Millionen EUR | Eine Einordnung – auch in Sachen Revisionssicherheit versus DSGVO" http://bit.ly/2NpfxcF 

Sie greift dabei auch das Thema Revisionssicherheit auf (nach Wikipedia zitiert, Quelle war PROJECT CONSULT) und kommt zu ähnlichen aber anders begründeten Aussagen zum Fall der Deutsche Wohnen. Sie bezieht sich ebenfalls auf die GoBD (deren aktuelle Version gerade in Überarbeitung ist) und kritisiert ebenfalls die fehlenden Funktionen zum Löschen - bei ihr mit Datensparsamkeit begründet, bei uns mit den Records Management Prinzipien. 

Wir meinen, dass sich hier auch wieder die Unsicherheiten zeigen, die sich durch den allgemeinen Sprachgebrauch ergeben. In HGB, AO und GoBD wird von Aufbewahrung gesprochen. Dies ist der Zeitraum während der Aufbewahrungsfrist (und nicht Archivierungsfrist, das gibt es nicht). Erst danach geht es in die "richtige" Archivierung, d.h. dauerhafte Vorhaltung von Daten und Informationsobjekten. Im Anglo-Amerikanischen und internationalen Sprachgebrauch ist der Zeitraum der Aufbewahrung derjenige Abschnitt im Lebenszyklus von Informationen, wo sie dem Records Management unterliegen. D.h. ab dem Zeitraum, wo eine Information zum Record wird bis zum Ende der Aufbewahrungsfrist des Records oder des "virtuellen Containers" (z.B. eine E-Akte), in dem sich das Record befindet (Aufbewahrungsfristen sind nicht einfach - schon gar nicht, wenn es um Regel- oder Ereignis-basierte oder gar um konkurrierende Fristen geht). 

Nun sind in den Records auch personenbezogene "persönliche" Daten enthalten. Denken wir nur daran, dass jede E-Mail einen Absender hat, einen Empfänger hat und meisten darin auch noch über Personen was gesagt wird (ja, es gibt auch andere E-Mails - dies ist nur ein Beispiel). Das Entscheidende ist die Bewertung dieser personenbezogenen Daten und darauf bezieht sich auch der Datenschutz in Berlin, wenn er sagt, man habe sich nicht um die Klassifizierung und ordnungsgemäße Speicherung gekümmert. 

Des weiteren möchten wir in Bezug auf die Archivierung anregen, hier einen Unterschied zu machen zwischen "Speicherung" und "Nutzung". Die Speicherung ist unkritisch, wenn die Informationen nicht genutzt werden können oder genutzt werden. Hier spielt neben den Index.-Daten zum Wiederauffinden auch das Berechtigungskonzept eine Rolle. Diesen Unterschied zu machen scheint die einzige Möglichkeit zu sein, das Problem mit nur einmal beschreibbaren Archivspeichern sauber in den Griff zu bekommen. Die Information ist noch da, sie wird oder kann nicht genutzt werden. Dies ist in der Verfahrensdokumentation für die Umsetzung der DSGVO natürlich zu beschreiben und über geeignete Protokolle nachzuhalten, dass niemand zugegriffen hat, bzw. wenn jemand zugegriffen hat, wer, wann und warum.

Auch wenn die Deutsche Wohnen das Bußgeld nicht zahlen muss, ist das grundsätzliche Problem "Löschen vs. Revisionssicherheit" dadurch nicht gelöst. Es bleibt spannend, ob es einen Widerspruch der Deutsche Wohnen vor Gericht gibt und wie dieser begründet wird.

dsgvo_einverstaendnis_comment
Einverständniserklärung nach DSGVO
Einhaltung der EU-Urheberrechtsrichtlinie
Einhaltung der EU-Urheberrechtsrichtlinie

Deutsche Wohnen geht gegen Bußgeldbescheid der Berliner Beauftragten für Datenschutz und Informationsfreiheit vor
Siehe http://www.anleihencheck.de/news/Artikel-Deutsche_Wohnen_geht_gegen_Bus…
Die Deutsche Wohnen teilt die rechtliche Bewertung der Berliner Datenschutzbeauftragten nicht und wird den Bußgeldbescheid gerichtlich überprüfen lassen.

dsgvo_einverstaendnis_comment
Einverständniserklärung nach DSGVO
Einhaltung der EU-Urheberrechtsrichtlinie
Einhaltung der EU-Urheberrechtsrichtlinie

Inzwischen gab es Kommentare in öffentlichen Foren anderen Ortes und es erreichten mich private Nachrichten zum Thema:

(1) DSGVO: Bürokratischer Excess

Wolfgang Ksoll meint oben im Thread: "Offenbar wird hier versucht, dass der Datenschutz mit bürokratischem Exzess die Wirtschaft ohne jeden Nutzen lahm legen will. Einfach Macht ausüben zur Zerstörung. Eine ordentliche Risikoanalyse (Schadensausmaß * Eintrittswahrscheinlichkeit) wurde von den Extrem-langsam-Arbeitern natürlich nicht eingelegt. Es wurde auch nicht gesagt, dass Daten missbraucht/gebraucht wurden, sondern nur dass sie da seien und nun (von den WORMS) gegen andere gesetzliche Vorschriften gelöscht werden sollen. Eine Amok laufende Behörde? Der deutsche Fakedatenschutz wird langsam unerträglich."
Wer von den Leser*innen teilt noch die Meinung, dass der Datenschutz in Deutschland überzogen gehandhabt wird?

(2) Vehementer Widerspruch [auf Heise.de]

Ein User fokussiert eher darauf "Ich sehe da vielmehr, dass viele Unternehmen ihre Daten einfach nicht löschen oder anonymisieren wollen.....". Das Problem sei nicht vorhanden "Ich kenne kein Archivsystem, das nicht die Möglichkeit gibt den Verweis zur Datei zu löschen. Das ist erstmal für die DSGVO ausreichend - solange auch sichergestellt wird, dass auf die Ursprüngliche Datei einfach so zugegriffen werden kann. Beim nächsten Media-Refresh oder bei Soft-WORMs wird die Datei dann ohnehin restlos entfernt.
Mir ist leider kein offizielles Zitat eines Datenschützers bekannt, der bestätigt hätte, dass logisches Löschen im Index ausreichend bei elektronischer Archivierung ist.
Vielleicht hat eine*r der Leser*innen eine Quelle dass logisches Löschen ausreichend ist.

(3) Backup vs. Archivierung

Privat erhielt ich die Nachricht "Ich glaube mich zu erinnern, dass selbst eine der nationalen Datenschutzbehörden dokumentiert hat, dass z.B. persönliche Daten aus Backups nicht gelöscht und auch nicht anonymisiert werden müssen, sondern dass die Backups unverändert bleiben dürfen." Backup ist nicht Archivierung und hat einen anderen Zweck. Selbst wenn diese Annahme stimmt, sind die betroffenen Daten nach einem Recovery mit Zurückspielen der Sicherung wieder im System sind - und dann natürlich auch wieder bereinigt werden müssen. Leider habe ich zur der Annahme, dass Datenschützer (davon haben wir ja auf Bundesebene einen und noch 18 weitere in den Bundesländern) hierzu etwas Verbindliches publiziert hat. 
Vielleicht hat eine*r der Leser*innen eine Quelle dazu.

(4) Perfektionistischer Ansatz in Deutschland [auf Heise.de]

Ein weiterer Kommentar: "Bei der Diskussion in Deutschland habe ich aber oft das Gefühl, dass ein perfektionistischer Ansatz verfolgt wird und man aus den Augen verliert, worum es bei der DSGVO eigentlich geht: nämlich, Personen vor Schaden zu schützen, der durch unberechtigte Nutzung ihrer Daten entstehen kann. Dazu ist es wichtig, die Daten aus dem Verkehr zu ziehen. Ob sie physisch gelöscht sind, gut anonymisiert, oder so abgelegt, dass man einen Kollegen aus Timbuktu und einen aus Wellington braucht, um dranzukommen, und vielleicht auch der Zugriff automatisch dokumentiert wird (auf einem System in Alaska) dürfte von der Auswirkung her gleich sein: die Daten werden voraussichtlich nicht mehr mißbraucht werden."
Vielleicht hat eine*r der Leser*innen eine Meinung dazu.

(5) Löschen nach DSGVO ist nachrangig

Eine Nachricht wies darauf hin, dass HGB und andere Vorgaben Vorrang vor der DSGVO hätten: "Das Problem ist nicht, dass die Daten nicht gelöscht worden sind, sondern das die Daten für alle zugänglich waren! Auch wurde nicht geprüft, ob die Aufbewahrung der Daten durch eine andere Gesetzgebung gefordert werden - die DSGVO ist ja nachrangig. Löschen verträgt sich nicht wirklich mit der Pflicht zur Dokumentation der Löschung und schon gar nicht mit einer "revisionssicheren" Archivierung." Das Verhältnis der DSGVO zu anderen Gesetzen ist nicht überall nachgezogen. 
Vielleicht hat eine*r der Leser*innen eine Quelle zum Thema Nachranggkeit der DSGVO.

(6) Höhe des Bußgeldes

"Das Bußgeld in Millionenhöhe wird sicher vor Gericht landen". Hierzu möchte ich einer möglichen Klage und deren Ergebnis nicht vorgreifen. Jedoch sind andere Urteile und Bußgelder zur Nichteinhaltung der DSGVO in Deutschland eher viel niedriger ausgefallen - auch wenn es bisher nur wenige dokumentierte Fälle gibt. 
Vielleicht kann eine*r der Leser*innen Beispiele dazu bringen.

(7) Klarstellung auf europäischer Ebene

In einer Antwort wurde darauf verwiesen "Es wird wohl auf die Gerichtsprozesse in den kommenden Jahren und weitere Auslegungspapiere der europäischen Datenschutzbehörde ankommen, um hier über die Zeit ein wenig mehr Klarheit zu schaffen." Die Umsetzung der GDPR/DSGVO in deutsches Recht, im BDSG, ist gerade eine zweite Überarbeitung unterwegs. Hier konnte ich zum Thema aber nichts Brauchbares finden. 
Vielleicht hat eine*r der Leser*innen eine Quelle, ob dies auch auf europäischer Ebene ein Thema ist und wie dies in anderen Ländern gehandhabt wird.

(8) Einschränkung des Zugriffs

Es gibt auch die Meinung, dass "Es wäre hier sicherlich einfach gewesen, die Zugriffsrechte ausschließlich dem Datenschutzbeauftragten einzuräumen und den Prozess zu dokumentieren." Hierzu müsste man mehr über die Archivinstallation bei der Deutsche Wohnen und deren Nutzungsmodelle wissen. Sofern Datenbestände nicht sauber getrennt sind zwischen "normal von jedem Berechtigten nutzbar" und "DSGVO-relevant nur von wenigen, benannten Berechtigten für definierte Zwecke nutzbar" sind die personenbezogenen Daten nach DSGVO kaum von den anderen zu trennen. Zumal wenn im Datensatz oder Dokument im Archiv diese enthalten und zum Verständnis des Kontext auch weiterhin notwendig sind. Informationsarchitektur und Dokumentation spielen hier natürlich eine wichtige Rolle. 
Vielleicht hat eine*r der Leser*innen eine Quelle, ob eine solche "Begrenzung des Zugriffes nach Auffassung des Datenschutzes ausreichend ist.

(9) Sperren statt Löschen

"Es muss doch ausreichend sein, die Daten einfach zu sperren statt sie löschen zu wollen. Das geht doch im Einzelfall garnicht." Sperren wäre auch wieder eine Möglichkeit über die Verwaltungsdatenbank des Archivsystems (oder der Anwendung, an die ein Archivspeicher angehängt wurde) den Zugriff zu verhindern und andererseits nachzuweisen, dass ordnungsgemäß mit den Daten umgegangen wurde. Der zweite Punkt betrifft die Verhältnismäßigkeit. Kann vom archivierenden Unternehmen verlangt werden, einzelne Daten und Datensätze aus einem Archiv zu entfernen, das auf nur einmal beschreibbaren Medien aufsetzt (true WORM). Im ursprünglichen BDSG gab es hierfür eine Möglichkeit  als zeitlich und sachlich begrenzte Alternative zum Löschen bei unklarem Fortfall des Zweckes der Verarbeitung und unzumutbar hohem Aufwand kleinteiligem Löschen. Dies dürfte aber auf die Deutsche Wohnen nicht zutreffen, da es sich nicht um einen Einzelfall einer Löschung entsprechend Datenschutzrecht beantragenden Person handelt sondern um die generelle Zugriffsmöglichkeit für eine große Zahl Mitarbeiter.
Vielleicht hat eine*r der Leser*innen eine Quelle, ob Sperren anstelle Löschen ausreichend ist. 

(10) Art des Löschens

Eine Nachricht erreichte mich, die verlangt "Es muss doch erst mal geklärt sein, um welche Art des Löschens es hier geht. Logisches Löschen, physisches Vernichten, Sperren, Zugriff Verhindern usw. Dazu sagt weder die Beschreibung zur DW noch die Gesetzeslage etwas verbindliches."
Vielleicht kann eine*r der Leser*innen hier Klarheit schaffen, was bei der Deutsche Wohnen wirklich im Detail 2017 und 2019 beanstandet wurde und wie die gesetzliche Lage zur Behandlung dieses Falles ist.

(11) Kein Einzelfall

"Ist wohl kein Einzelfall bei der DW. Da kam jeder wohl an Daten ehemaliger Mieter ran."
Vielleicht kann eine*r der Leser*innen hier Klarheit schaffen, was bei der Deutsche Wohnen wirklich im Detail 2017 und 2019 beanstandet wurde.

(12) Migration

Das Weglassen von nicht mehr benötigten Daten und Dokumenten ist ein klassisches Verfahren bei einer Migration. Dazu gab es die Frage "Reicht das Weglassen der Index-Daten und der Dokumente oder sind auch die Audit-Trails betroffen?". Eine Migration ist zu dokumentieren - dies sagen schon die GoBD. D.h. alle Veränderungen, also auch Weglassungen, sind in der Verfahrensdokumentation der Migration zu dokumentieren. Die Frage ist hier eher - wie findet man die betroffenen personenbezogenen Daten. In der Index-Datenbank geht dies noch, die Auswertung von Protokollen und Audit-Trails ist ein Graus, und in den Dokumenten selbst nachzugucken ... kaum eine Chance. 
Aber vielleicht kann eine*r der Leser*innen hier eine bessere Antwort oder gar eine Quelle?

(13) Elektronische Signatur

Ja, man kann es auch noch komplizierter machen: "Elektronische Signaturen sind doch auch persönliche Daten. Müssen die auch nebst Zertifikaten usw. entfernt werden, wenn das jemand verlangt?
Mir fällt dazu echt nichts mehr ein. Aber vielleicht kann eine*r der Leser*innen hier antworten und eine Quelle verlinken. 

dsgvo_einverstaendnis_comment
Einverständniserklärung nach DSGVO
Einhaltung der EU-Urheberrechtsrichtlinie
Einhaltung der EU-Urheberrechtsrichtlinie

Ich denke das Thema gewinnt jetzt wieder Fahrt. Am Anfang war der Hype und dann passierte nichts ... also wurden die Aktivitäten in den Unternehmen runter gefahren. Was viele übersehen haben war, dass die Datenschützer sich erstmal in Stellung bringen mussten und jetzt geht es los. Da kommt noch so einiges! Auch die Annahme das "alles" neu um den Datenschutz ist, stimmt so nicht. Ein Datenschützer mit dem ich arbeitete sagte: "Stellen Sie sich eine Strasse vor mit einer Geschwindigkeitsbegrenzung von 100km/h ... die ist schon immer da, aber jetzt wird ein Blitzer montiert!".

Generell gibt es hier eine Vielzahl an Problemen:
Zum einen ist es m.E. für normale Unternehmen sehr schwer "mal schnell" eine Maßnahmen zu treffen. DSGVO Compliance ist halt mehr als nur "digitalisieren". Es geht um strukturierte Ablage, Löschregeln etc. und da muss man sich organisatorisch Gedanken machen. Technisch sind diese Herausforderungen lange gelöst, aber sie wurden eben organisatorisch nicht umgesetzt (weil u.U. ziemlich aufwendig). Ich würde auch eine Wette abschließen, dass viele Nutzer von DMS, ECM o.ä. Lösungen auch alte Systeme im Einsatz haben - die laufen ja. Dummerweise hat man bei der Installation des WORM Speichers in 2003 nicht an löschen oder ausblenden gedacht und jetzt müsste man eine komplette Migration des Storage inkl. ECM machen.

Die re-Attributierung ist auch ein wichtiges Thema! Auch wenn die Daten im System sind muss für eine DSGVO konforme Ablage erstmal definiert werden, was man wie und wo löscht (oder aus dem Index entfernt). Es ist nun mal nicht damit getan, alles mit dem Namen Thomas Müller zu löschen ... denn den gibt es mehrmals in verschiedenen Städten und manche Dokumente darf ich aus steuerlicher Sicht nicht anfassen. Hier müssen sinnvolle Attribute gesetzt werden und das rückwirkend. Die Arbeit wollte bisher bestimmt keiner machen.

Ein weiterer (neben bestimmt noch vielen weiteren) Punkten ist auch die Vereinfachung der IT. Heute nimmt man schnell man einen Sharepoint, OneDrive, BOX etc. und los gehts ... wir sind ja jetzt digital. Zwar hat man jetzt schnell eine technische Lösung gezaubert und meist geht die Einführung auch schnell und all die Feinheiten wie Löschregeln, Orte wo Daten liegen usw. werden übersehen oder schlicht ignoriert. Gartner macht es sich hier auch stellenweise ein bisschen Einfach - KI, Web und Mobile lösen nun mal nicht alle Probleme.

Am Ende sehe ich das Thema als eine Steilvorlage für EIM Systeme - das ist genau das wofür man sie braucht. Managen von Informationen.

dsgvo_einverstaendnis_comment
Einverständniserklärung nach DSGVO
Einhaltung der EU-Urheberrechtsrichtlinie
Einhaltung der EU-Urheberrechtsrichtlinie

Lieber Herr Lueckel,

vielen Dank für Ihren Kommentar.

Zwei Anmerkungen meinerseits: 

(a) Nicht jeder Leser wird wissen was mit "EIM" gemeint ist. Es soll sich wohl um Enterprise Information Management handeln. Unsere Beschreibung dazu.

(b) Was teilen nun Anbieter von Archivierungslösungen oder Systemen mit einem angebundenen oder integrierten revisionssicheren Archiv ihren Kunden und Interessenten mit, wenn diese nachfragen, wie es denn um Datenschutz, Löschen und Revisionssicherheit bestellt ist. Auf welche gesetzlichen Grundlagen beziehen Sie sich dann in Ihrer Stellungnahme (die 13 Statements/Fragen oben sind ja noch nicht mit Quellen versehen).

Schöne Grüße,

Dr. Ulrich Kampffmeyer

 

dsgvo_einverstaendnis_comment
Einverständniserklärung nach DSGVO
Einhaltung der EU-Urheberrechtsrichtlinie
Einhaltung der EU-Urheberrechtsrichtlinie

Hallo Herr Kampffmeyer,
es wäre jetzt super cool wenn ich an dieser Stelle jetzt eine Armada an Paragraphen und rechtlichen Grundlagen liefern könnte, aber am Ende ist das nicht wirklich der Job eines Softwareherstellers. Klar könnte man argumentieren, dass wir als Hersteller hierzu aussagefähig sein sollten, aber das sind wir real betrachtet nur zum Teil.
Wir als Hersteller müssen unsere Produkte im Kontext einer DSGVO und vieler anderer Richtlinien kennen und wenn es international wird, im Kontext der technischen und nicht der gesetzlichen Vorgaben. Wir würden hier ein Beratungshaus empfehlen das den Kunden fachlich beraten kann. Am Ende müssen wir die technische Basis für diese Beratung liefern und das können wir.

Die größere Frage ist, ob Kunden aktuell schon das umsetzen wollen was wir verschlagen, wie z.B. den Datenbestand neu zu indizieren und mit relevanten Indexdaten im Kontext der DSGVO oder anderen Themen zu versehen oder mal flott das teure Storage System zu ersetzen? Das kostet eine Menge Zeit und am Ende Geld und da wird es komplex ...

Wie sagte ein Kollege von mir einmal: Das richtige tun und etwas richtig zu tun sind zwei paar Schuhe.

dsgvo_einverstaendnis_comment
Einverständniserklärung nach DSGVO
Einhaltung der EU-Urheberrechtsrichtlinie
Einhaltung der EU-Urheberrechtsrichtlinie

Lieber Herr Lueckel,

ja, einfach ist es wahrlich nicht, weil verschiedene Gesetze und Regeln hier sich widersprechen oder in Konkurrenz treten. 

Natürlich muss ein Anbieter eines Systems sicherstellen, dass sein Produkt den gesetzlichen Vorgaben entspricht. Man kann kein Auto verkaufen, das nicht den Vorgaben StVo entspricht, auch wenn der Fahrer selbst für das ordnungsgemäße Bedienen und Fahren verantwortlich ist. Ebenso kann man keine Archivsystemsoftware verkaufen, wenn diese nicht geeignet ist, die rechtlichen Vorgaben für die Aufbewahrung im Kontext aktueller Gesetze (wie DSGVO, GeschGehG, HGB/AO/GoBD, ITSiG u.a.) zu erfüllen, auch wenn die Anwenderorganisation selbst für ordnungsmäßigen Betrieb und Nutzung verantwortlich ist.

Deshalb erwarte ich als Berater im Markt für Informationsmanagement, dass es entsprechende Aussagen der Anbieter gibt (auch wenn ich ein Gegner von Zertifizierungen bin, die rechtlich und praktisch gesehen nur Augenwischerei sind). D.h. eine solche Aussage muss nicht sein, dass man die und die Paragraphen erfüllt, sondern wie und welche Funktionalität eingesetzt wird, um solche Anforderungen wie das "Löschen" (logisch, physisch, über Berechtigung, mittels Metadaten, über Sperren, durch Migration - wie auch immer) zu erfüllen. Diese Aussage zu den Produkten erwarte ich vom Hersteller, auch im Einklang mit Produkthaftungsgesetzen.

Mit freundlichen Grüßen,

Dr. Ulrich Kampffmeyer

dsgvo_einverstaendnis_comment
Einverständniserklärung nach DSGVO
Einhaltung der EU-Urheberrechtsrichtlinie
Einhaltung der EU-Urheberrechtsrichtlinie

Hallo Herr Kampffmeyer,
die Erwartungshaltung das ein Produkt technisch die Anforderungen umsetzt ist berechtigt und bisher habe ich noch auf jeden Anforderungspunkt bei uns noch nichts gefunden was eine technische Limitation darstellt. Wie ich schon vorher sagte, ist das "Problem" technisch in vermutlich allen Produkten gelöst. Wie diese technischen Lösung im Einklang mit den Verfahren und deren Dokumentation gebracht werden ist dann eine andere Baustelle. Viele dieser Punkte auf technischer Seite werden ja auch bei Ausschreibungen und/oder Pflichtenheften abgeklopft und festgezerrt.

Wäre ihre Erwartung das wir als Hersteller eine Liste mit Verweisen bereitstellen - Beispielsweise: Löschen im Sinne der DSGVO wird erfüllt von Funktion/Programmteil XYZ? Ich glaube nicht, dass dies hilfreich ist, da alle Hersteller Programmteile/Funktionen unterschiedlich benennen und damit vermutlich nicht wesentlich mehr Klarheit entsteht. Wir haben z.B. diverse dieser Funktionen in einem eigenen Modul für DSGVO Compliance bereitgestellt, welches den Anwender hier unterstützt.

Wichtig wäre m.E. der Wille beim Kunden hier zu investieren und hier rede ich, zu meinem vertrieblichen Leidwesen, nicht zwangläufig in Lizenzen und/oder Modulen, sondern a) Dienstleistung/Aufwände die eigenen Prozesse zu analysieren und b) das Ergebnis umzusetzen. Beim Umsetzen geht es sehr tief in die Organisation der Daten und das ist u.U. recht umfangreiche Arbeit und damit mit internen und externen Kosten verbunden.

Gerne können wir uns dazu auch einmal direkt austauschen.

Viele Grüße

Enno Lückel

dsgvo_einverstaendnis_comment
Einverständniserklärung nach DSGVO
Einhaltung der EU-Urheberrechtsrichtlinie
Einhaltung der EU-Urheberrechtsrichtlinie

Die Diskussion um das Bußgeld für die Nichteinhaltung der DSGVO seitens der Deutsche Wohnen hat sich in verschiedene Richtungen entwickelt. Es geht um die Berechtigung der Strafe, deren Höhe usw. Aussagen wie "es ist doch niemand geschädigt worden" sollen die Relevanz der DSGVO in diesem Fall untergraben. Die Deutsche Wohnen geht gegen das Bußgeld vor und schreibt: <ZitatDie Deutsche Wohnen bestätigt, dass ihr ein Bußgeldbescheid der Berliner Beauftragten für Datenschutz und Informationsfreiheit zugestellt wurde. Die Darstellung der Berliner Datenschutzbeauftragten ist der Deutsche Wohnen bekannt. Die Vorwürfe beziehen sich auf die bereits abgelöste Datenarchivierungslösung des Unternehmens. Die Deutsche Wohnen betont ausdrücklich, dass keinerlei Daten von Mietern datenschutzwidrig an unternehmensfremde Dritte gelangt sind. Vielmehr hat die Deutsche Wohnen bereits im Jahr 2017 umfangreiche personelle und prozessuale Veränderungen eingeleitet, um den aktuellen Datenschutzanforderungen vollumfänglich gerecht zu werden. Die Deutsche Wohnen teilt die rechtliche Bewertung der Berliner Datenschutzbeauftragten nicht und wird den Bußgeldbescheid gerichtlich überprüfen lassen. </Zitat

Leider gab es zu unseren 13 offenen Fragen oben keine direkten Posts in unserem Blog ... 

Das ist sehr schade. Gern hätten wir gewußt, wie die Anbieter von Archivierungslösungen auf Fragen nach dem Datenschutz, der Revisionssicherheit und dem Löschen ihrer Kunden und Interessenten antworten. Man hält sich bedeckt und zieht offenbar den Kopf ein. Zumindest ein Mitarbeiter eines Anbieters hat oben gepostet und drei andere haben uns privat geantwortet - oder sind ihrerseits Fragen losgeworden.

Aber es gibt Informationen anderen Ortes zum Thema die lesenswert sind:

  • RA Prof. Niko Härting: "Dünnes Eis: Berliner Datenschützer verhängen Millionenbußgeld" http://bit.ly/2Nupyo
  • RA Jens Bücking: "Backups und Archive – wie weit geht die Löschpflicht für personenbezogene Daten?"  http://bit.ly/32y4y5b
  • RA Nina Dierks: "Berliner Datenschutzbehörde (BlnBDI) erlässt Bußgeld nach DSGVO in Höhe von 14,5 Millionen EUR | Eine Einordnung – auch in Sachen Revisionssicherheit versus DSGVO" http://bit.ly/2NpfxcF 
  • RA Jens Buecking "Haftungsvermeidende Datenschutzorganisation im Konzern – DSGVO-Konzernhaftung"  http://bit.ly/32yVMUw

Auf Heise.de in deren Forum gab es allerdings ein paar Antworten - ob nun passend oder nicht: "Die DSGVO ist ein grundsätzliches Problem für die revisionssichere elektronische Archivierung" http://bit.ly/2NIkGLG

Auch einige Artikel zu internationalen Einschätzungen bezüglich der GDPR und Backup erhielten wir - wobei man aber immer wieder betonen muss, dass Backup und Archivierung zwei sehr unterschiedliche Dinge sind! 

Wenn wir weitere Quellen finden oder Hinweise erhalten, aktualisieren wir diesen Beitrag.

dsgvo_einverstaendnis_comment
Einverständniserklärung nach DSGVO
Einhaltung der EU-Urheberrechtsrichtlinie
Einhaltung der EU-Urheberrechtsrichtlinie

Die hier geführte Diskussion zeigt für mich ganz deutlich auf: Firmen und Institutionen, die Daten speichern und verarbeiten sehen sich in einem Dilemma, in einer Vielzahl von Dilemmata. Welches Regelwerk beachte ich, wenn ja in welcher Reihenfolge und was mache ich bei Widersprüchen in den Regelwerken oder gar bei nicht erfüllbaren Anforderungen? Alleine GoBD, Handelsrecht, Steuerrecht und DSGVO in Deutschland bieten eine Fülle von Entscheidungssituationen, die jede Person dabei in den Wahnsinn treibt. Was ist zu tun? Jede Firma muss für sich aus dem Konglomerat der verschiedenen Regelwerke eigene Geschäftsregeln für sich festlegen und dann umsetzen. So ist es möglich neben dem eigenen Wertesystem zur Behandlung von Daten auch ­­­- für die Beurteilung von Prozessen und Datenobjekten wenig ausgebildeten - Juristen die Wirklichkeit aufzuzeigen.

dsgvo_einverstaendnis_comment
Einverständniserklärung nach DSGVO
Einhaltung der EU-Urheberrechtsrichtlinie
Einhaltung der EU-Urheberrechtsrichtlinie

Lieber Peter,

danke für Deinen Kommentar.

Du sprichst von "Diskussion", aber eigentlich sind es nur Zusammenstellungen von Fragen und Statements sowie einige wenige Kommentare, die auf die Frage nach den Quellen (siehe oben die 13 Fragen/Statements) noch keine einzige nachvollziehbare, rechtlich begründete Antwort eingegangen ist. Eine Diskussion wäre schön.

Die Antwort auf den Titel Deines Kommentars lautet "Dilemma und Wahnsinn in Einem".

Dilemma weil wir es mit konkurrierenden Regeln und möglichen technischen Verfahren zu tun haben, wo eindeutige Aussagen des Gesetzgebers fehlen.

Wahnsinn weil die Auslegung der DSGVO Stilblüten treibt (man denke nur an Namensschilder an Hochhäusern usw.) und es immer noch nicht allen klar ist, dass die die DSGVO eigentlich auch die persönlichen Rechte eines Bürgers beim Schutz seiner eigenen persönlichen Daten geht (also Mißbrauch beim Werben, "Nachsetzen" nach eigentlichem Ende der Aufbewahrungsfrist, Diskreminierung, usw.). Gerade der generelle Umgang mit allen personenrelevanten Daten ist in den Unternehmen sehr schwierig, weil diese in unterschiedlichsten Zusammenhängen an den verschiedensten Orten stecken. Eine vollständige, "buchstabengenaue" Umsetzung der DSGVO wird kaum einem Unternehmen möglich sein. In meinem Eingangspost oben hatte ich schon darauf hingewiesen, dass man im Unternehmen erstmal definieren muss, welche  Daten und Dokumente betroffen sind, dann Lokalisieren, wo sich diese befinden, und dann die Daten entsprechend klassifizieren und verwaltbar machen, und dann kann man über technische Ansätze nachdenken. Gerade bei großen Altbeständen dürfte dies kaum organisatorisch, technisch und wirtschaftlich zugleich machbar sein.

Schöne Grüße,

Uli

dsgvo_einverstaendnis_comment
Einverständniserklärung nach DSGVO
Einhaltung der EU-Urheberrechtsrichtlinie
Einhaltung der EU-Urheberrechtsrichtlinie

Auf meinem Blog https://data-blog.de/?p=365 habe ich einen Artikel zu dem Rekord-Bußgeld in Berlin veröffentlicht.

Mein Kommentar zu den oben aufgeführten Statements/Fragen:

1. "Bürokratischer Excess" -> dieses Argument wird ja ständig und überall verwendet wenn es um datenschutzrechtliche Themen geht, ist aber in meinen Augen völlig haltlos. Es geht beim Datenschutz um den Schutz von Grundrechten, das scheint vielen Personen nicht klar zu sein. Dazu wird immer so getan als würden wir uns in Deutschland besonders übertrieben um den Datenschutz kümmern, was absolut nicht der Realität entspricht. Obwohl Deutschland mal Vorreiter in diesem Bereich sind nahezu alle EU-Mitgliedsstaaten bei der Umsetzung der DSGVO weiter als wir (obwohl in weiten Bereichen das europäische Datenschutzrecht ja nur an das Deutsche angepasst wurde). Auch gegen die Behauptung es gäbe zu viel Bürokratie und Datenschutz wäre "fakedatenschutz" spricht ja die Export-Beliebtheit der DSGVO, so orientieren sich immer mehr Länder ausserhalb der EU am europäischen Datenschutz-Standard. Nicht weniger Datenschutz heisst die Devise der nächsten Jahre, sondern der Datenschutz sollte weiter gestärkt und ausgebaut werden, wozu auch strengere Bußgelder bei Fehlverhalten gehören.

2. "logisches Löschen ausreichend" Hier stellt sich tatsächlich die Frage woher der Kommentierende diese Information hat, die in meinen Augen eindeutig falsch ist. Es reicht keineswegs nur den Verweis auf die Daten zu löschen, sondern Daten die nicht länger benötigt werden sind umgehend zu löschen, solange keine gesetzliche Aufbewahrungspflicht dem entgegen steht.

3. "Backup vs. Archivierung" Dazu kann ich keine Aussage machen, eine entsprechende Stellungnahme einer Aufsichtsbehörde oder eines Juristen ist mir nicht bekannt.

4. "perfektionistischer Ansatz" Diese Aussage teile ich, abgesehen von dem Beispiel mit Timbuktu und Alaska, eine solche Regelung wäre allerhöchstens eine Art von Pseudonymisierung, welche den Personenbezug nicht auflöst und somit ungeeignet ist die Betroffenen vor einem Missbrauch ihrer Daten zu schützen.

5. "Nachrangigkeit der DSGVO" Dazu haben sich die oben genannten Kolleg(in)en Dierks und Härting ja bereits ausgiebig in den verlinkten Beiträgen geäußert. In meinen Augen ist dabei der Ansicht von Frau Dierks zu folgen: Eine Vorrangigkeit der gesetzlichen Aufbewahrungsfristen ist nicht gegeben und auch nicht nötig, DSGVO-konforme Löschung und Revisionssichere Archivierung können nebeneinander bestehen. (Eine Zusammenfassung der Aussagen auch in meinem Blog-Artikel https://data-blog.de/?p=365 )

6. "Höhe des Bußgeldes" ist in meinen Augen angemessen, es wurde Zeit dass eine deutsche Aufsichtsbehörde den gesetzlichen Bußgeldrahmen auch einmal ausschöpft (wobei hier auch noch Platz nach oben gewesen wäre, 4% des Jahresumsatzes). Ich hoffe weitere angemessene Bußgelder folgen.

7. "Klarstellung auf europäischer Ebene" Die Bußgelder werden ja von den nationalen Aufsichtsbehörden verhängt und sollen daher auch auf nationaler Ebene vor Gericht kommen. Eine Zuständigkeit des EUGH sehe ich hier nicht.

8. und 9. Hierzu habe ich keine Quelle

10. und 11. Was genau beanstandet wurde habe ich in meinem Artikel zusammengefasst welchen Sie gerne unter https://data-blog.de/?p=365 nachlesen können.

12. siehe 2.

13. "Elektronische Signatur" Selbstverständlich handelt es sich auch dabei um personenbezogene Daten, die gelöscht werden müssen wenn der Verarbeitungszweck erfüllt ist (auch ohne Verlangen des Betroffenen). Jegliche Verarbeitung personenbezogener Daten ohne Rechtsgrundlage oder nach Erfüllung der ursprünglichen Verarbeitungszweckes ist rechtswidrig, das scheint vielen nach wie vor nicht klar zu sein.

dsgvo_einverstaendnis_comment
Einverständniserklärung nach DSGVO
Einhaltung der EU-Urheberrechtsrichtlinie
Einhaltung der EU-Urheberrechtsrichtlinie

Lieber Herr Maurer,

vielen Dank für Ihren ausführlichen Kommentar zu meinen 13 Fragen (es werden schon wieder mehr ...) und Ihren sehr informativen Blogbeitrag. Ich möchte hieraus nur einige wenige Punkte aufgreifen:

(2) "Logisches Löschen" 

Abgesehen von einer vollständigen Migration ist das sogenannte "Logische Löschen" bisher der einzige Weg mit nur einmal beschreibbaren Speichern (trueWORM, CAS) die Anforderung einer "Vernichtung" der Information zu erfüllen. Dies ist im Einzelfall einer Anforderung eines Berechtigten von Unternehmen nicht zu leisten, wenn sie Tausende oder Millionen von Kunden haben, da jedes Mal das Archiv komplett durchgeforstet und reorganisiert werden muss. Dies ist unverhältnismäßig weil unwirtschaftlich und technisch aufwändig. 
Dem physischen Löschen steht außerdem entgegen, dass Konsistenz und Kontext in einem Archiv gewahrt bleiben muss.
Die meisten moderneren Archivsysteme können logisch Löschen. Beim Records Management war dies sowieso immer eines der Grundprinzipien. Wobei Löschen nicht "einfach weghauen" heißt sondern es wird ein Löschprotokolleintrag erstellt, der wiederum den Aufbewahrungspflichten unterliegt und als Nachweis der Ordnungsmäßigkeit der Aufbewahrung dient.
-> Logisches Löschen ist ausreichend zur Erfüllung der DSGVO!

 

(5) "Nachrangigkeit"

Die Löschverpflichtung, das "Recht auf Vergessen" ist gegenüber gesetzlichen Nachweispflichten wie im HGB/AO, Atomrecht, Produkthaftungsrecht und Verordnungen wie FDA/GxP, GoBD usw. nachrangig, wenn die personenbezogenen Informationen zum Nachweis unabdingbar dazugehören. Es kann niemand verlangen, dass in einem Zulassungsantrag der Name und die Daten eines unterzeichnenden Leiters einer klinischen Testreihe entfernt werden. Es kann nicht sein, dass jemand verlangt, dass sein Name von einer Rechnung getilgt wird, weil er keine Lust hat diese mehr zu bezahlen. Neben Löschverpflichtungen nach DSGVO gibt es auch noch Veröffentlichungspflichten nach IFG z.B. Das gesamte Straf- und Zivilrecht stände Kopf, wenn das Recht auf Löschung, auf "Vergessen" Vorrang vor anderen Gesetzen hätte. 
Hierzu fehlen allerdings entsprechende gesetzliche Äußerungen und Grundsatzurteile.
Nehmen wir aber einfach nur den Begriff "Recht auf Vergessen". Mittels "logischem Löschen" wird die Information vergessen. Sie ist zwar irgendwo noch vorhanden, aber mit normalen Mitteln nicht und nur durch wenige Auserwählte sowie durch Protokoll dann nachvollziehbar noch zugreifbar.
-> Die DSGVO Löschverpflichtung ist nachrangig zu anderen Aufbewahrungsverpflichtungen!
-> Das Verhältnis der DSGVO - unabhängig vom Spezialfall Löschen - zu anderen Gesetzen ist generell zu klären! Dies gilt auch für DSGVO/BDSG im Verhältnis zu den LDSG, den Länderdatenschutzgesetzen!

 

(13) "Qualifizierte elektronische Signatur"

Beim Scannen und Signieren nach Resiscan wird durch die Prüfsumme die personenbezogene qualifizierte elektronische Signatur mit dem signierten Objekt unauflösbar verbunden. Das Löschen einer Signatur würde bedeuten, dass das Objekt ohne Signatur neu gespeichert werden muss, damit seinen Beweiswert verliert und mit anderem Datum und anderen Prüfsummen vorliegt sowie wenn genutzt die gesamte Arie des Nachsignatur-Baumes nach TR-ESOR neu organisiert werden muss. Das funktioniert nicht. Nur ein Beispiel.  Auch wenn elektronische Signaturen und Zertifikate nun personenbezogene Daten nach DSGVO sein sollen sind sie entsprechend Signaturgesetz (auch eIDAS) nicht zu löschen. Rechtlich gesehen stellen sie Willensbekundungen dar, die nicht einfach durch Löschen beseitigt werden können sondern durch eine neue Willensbekundung ersetzt werden müssen. 
-> Es muss vom Gesetzgeber Klarheit geschaffen werden, was personenbezogene Daten in welchem Kontext sind!
-> Elektronische Signaturen und ihre Zertifikate können nicht einfach mit der Begründung DSGVO gelöscht werden!



Mit freundlichen Grüßen,
Dr. Ulrich Kampffmeyer

 

dsgvo_einverstaendnis_comment
Einverständniserklärung nach DSGVO
Einhaltung der EU-Urheberrechtsrichtlinie
Einhaltung der EU-Urheberrechtsrichtlinie

SDM Standard-Datenschutzmodell 2.0

Leider keine eindeutigen Antworten zu unserer Diskussion oben ... 

#Datenschutz #DSGVO #DS-GVO #BDSG #Datenschutz #Richtlinie #Pruefung #Löschen #Loeschen #DeutscheWohnen #Strafe  http://bit.ly/SDM_DSGVO_2019

dsgvo_einverstaendnis_comment
Einverständniserklärung nach DSGVO
Einhaltung der EU-Urheberrechtsrichtlinie
Einhaltung der EU-Urheberrechtsrichtlinie

... müssen jetzt alle Archivsysteme mit WORM-Speicherung abgeschaltet werden ... ?

Das Thema Löschen elektronisch gespeicherter personenbezogener Daten ist nicht einfach. Bisher setzte man bedingt durch Anforderungen an die Unveränderbarkeit nach Handels- und Steuerrecht auf nur einmal beschreibbare Speicher - sei digital-optische WORM-Medien, spezielle Festplatten-Subsysteme oder per Software auf nur einmal beschreibbar gesetzte Festplattenbereiche. Gleiches gilt auch für Blockchain-Verfahren. Aus einer verteilten Distributed Ledger Blockchain Daten zu entfernen ist schier unmöglich. Und über alte Backup-Medien muss man erst garnicht nachdenken. Diese Form der Nicht-Löschbarkeit von Daten steht im Widerspruch zu den Anforderungen von DSGVO/BDSG. Jüngst wurde das Recht auf Vergessen - sprich Löschen - auch in Online-Archiven durch das Bundesverfassungsgericht gestärkt:  http://bit.ly/2Lts6m1. In unserem Fall der Deutsche Wohnen ging es aber nicht um den Anspruch einer einzelnen Person auf Löschung der eigenen persönlichen Daten sondern generell um die Handhabung personenbezogener Daten im Unternehmen. Es lag keine Anforderung eines Berechtigten vor sondern es wurde das Bußgeld auf Grund generellen Umgangs mit personenbezogenen Daten erhoben.

Die Anbieter von elektronischen Archivsystemen haben meine Anfrage (siehe oben) nicht beantwortet. Man zieht einfach den Kopf ein und hofft, dass es nicht so schlimm wird wie der Gesetzgeber es vorsieht. Auch Kunden der Archivsystemanbieter erhalten hierauf keine Antwort ... außer in einem Fall ... "das Archivsystem ist vom Wirtschaftsprüfer zertifiziert, es ist rechtssicher, es erfüllt natürlich alle gesetzlichen Vorschriften vollständig, es speichert unveränderbar alle Daten, der Anwender brauche sich keine Sorgen machen.". Dermaßen unprofessionell gehen auch andere Anbieter mit den Themen rund um die Revisionssicherheit und Compliance um. 

Fragt man nun zum Thema verschiedene Datenschützer in der näheren Umgebung an (Hamburg [unser eigener Datenschützer], Schleswig-Holstein und Mecklenburg-Vorpommern [beide verantwortlich auch für das neue Standard-Datenschutzmodell SDM]) bekommt man sehr weiche Antworten auf die vier gestellten Fragen: 

  1. Würde in einem gleichliegenden Fall der Datenschützer in "xyz" genauso wie der Berliner Datenschutz entscheiden?
  2. Wenn ja, würde die Strafe auch so hoch ausfallen?
  3. Ist "logisches Löschen" in Archivierungssystemen ausreichend im Sinne des Löschens nach DSGVO/BDSG(neu)? (Hierbei wird nur der Verweis in der Datenbank auf die separat gehaltene Information gelöscht und das Wiederfinden verhindert. Die Information auf einem nur einmal beschreibbaren Speichermedium entsprechend HGB/AO/GoBD ist zwar noch vorhanden, aber nicht mehr nutzbar, nicht mehr auswertbar und nicht mehr findbar.)
  4. Warum wurde im SDM 2.0 nicht eindeutig geklärt, was mit "Löschen" und was mit "Nicht Verarbeitbar" in Bezug auf archivierte, nicht veränderbare Daten zu verstehen ist?

Aus Schleswig-Holstein (vielen Dank nach Kiel!) wurde zu 1. und 2. auf den Datenschutz Berlin verwiesen und die fiktionale Analogie des Hintergrundes der Frage ignoriert.
Zu 4. wurde auf Anpassungen des SDM in Bezug auf mögliche Lücken in Zukunft und auf die natürlich selbst durchzuführenden Maßnahmen verwiesen. 
Die besonders interessante, generelle Frage 3 zum "logischen Löschen", einem seit Jahrzehnten eingeführten Verfahren der revisionssicheren Archivierung, wurde z.B. vom Datenschützer aus Schleswig-Holstein wie folgt beantwortet: 

<Zitat aus E-Mail vom 6.12.2019> Grundsätzlich gilt, dass ein personenbezogenes Verfahren, bei dem personenbezogene Daten nicht tatsächlich wirksam gelöscht (im Sinne von "entfernt") werden können, nicht eingesetzt werden darf. </Zitat> 

Leider wird immer noch nicht klar gesagt, was "Entfernen" oder "wirksames Löschen" meint. Ist hier "Vernichtung" gemeint? Technisch gesehen würde dies physischem Löschen der Daten auf dem Datenträger entsprechen. Bei einer Anfrage eines Betroffenen müssten dann dessen Daten entfernt aber die anderen Daten auf dem Archivdatenträger oder im Archivspeicher, z.B. unter Aufbewahrungspflichten nach ITSG, BGB Vertragsrecht,  HGB/AO/GoBD, usw. weiterhin aufbewahrt werden. Es wäre also ein zielgerichtetes Löschen einzelner Datenobjekte notwendig, was bei einem einzelnen digital-optischen WORM-Speichermedium nur durch Umkopieren der weiterhin aufbewahrungspflichtigen oder aufbewahrungswürdigen Daten auf ein neues Medium erfüllbar würde (inkl. möglicher Beeinträchtigung der Authentizität, Originalität, Integrität, Zertifikate etc. der umkopierten Daten-Objekte). Ein hardwaremäßig abgesichertes WORM-Festplatten-Speicher-Subsystem wie eine alte Centera kann man dann gleich komplett in die Schrottpresse schieben. Also konkret - was meint "entfernen". Was meint "ein solches Verfahren darf nicht eingesetzt werden" wenn man im Unternehmen bereits seit 10, 20 Jahren eine sichere elektronische Archivierung betreibt?

Nun kommt noch die Urteile des BVerfG hinzu, die den Anwendungsbereich datenschutzrechtlicher Ansprüche erheblich erweitern (6. November 2019 1 BvR 16/13 Recht auf Vergessen I6. November 2019 1 BvR 276/17 Recht auf Vergessen II). Das Löschen aus Verzeichnissen wie Google ist dabei inzwischen als "einfach" zu betrachten. Große Unternehmen wie Facebook, Google & Co. haben Abteilungen, die sich um das Löschen von Fakes und nach GDPR kümmern - außerdem wird dort nicht "aufbewahrt" (HGB) oder archiviert (Archivgesetze). Schwieriger dürfte dies bei Projekten wie dem Internet-Archiv (www.archive.org) sein, da dort komplette Webseiten ohne Zutun des Webseitenbetreibers aus archivalisch-historischer Sicht archiviert werden. Auch Webseitenbetreiber wie PROJECT CONSULT, die alle ihre Webseiteninhalte seit Jahrzehnten verfügbar halten, können betroffen sein.  

Es scheint aber eine vergebliche Hoffnung zu sein, dass die Datenschutzbehörden das logische Löschen bei Inhouse-Archiven - die für sehr spezielle Nutzungsmodelle, nur berechtigte User und Berücksichtigung von Compliance-Vorgaben, Gesetzen und archivischen Grundsätzen geschaffen wurden - für ausreichend erachtet werden. Die Frage "logisches Löschen" versus "physisches Löschen" betrifft zigtausende von Unternehmen und Organisationen in Deutschland, die seit langer Zeit bereits sicher elektronisch archivieren. Aber die Hoffnung stirbt zuletzt!

dsgvo_einverstaendnis_comment
Einverständniserklärung nach DSGVO
Einhaltung der EU-Urheberrechtsrichtlinie
Einhaltung der EU-Urheberrechtsrichtlinie

Inzwischen liegt uns eine weitere Antwort eines Datenschützers, diesmal von der Landesdatenschutzbehörde Mecklenburg-Vorpommern vor (vielen Dank nach Schwerin). Der Datenschützer ist ebenfalls für das SDM Standard-Datenschutzmodell 2.0 mit zuständig. Seine E-Mail beleuchtet eine Reihe anderer wichtiger Details (wie Mecklenburg-Vorpommern in einem Fall wie Deutsche Wohnen entschieden hätte bleibt natürlich unbeantwortet) <Auszug als Zitat>:

"Die aktuelle Version des Standard-Datenschutzmodells ist 2.0a (https://www.datenschutz-mv.de/static/DS/Dateien/Datenschutzmodell/SDM-Methode_V2.0a.pdf).
Eine genaue Beschreibung von Anforderungen an das Löschen von personenbezogenen Daten und passenden Methoden und Verfahren finden Sie tatsächlich nicht im SDM selbst, wohl aber im Baustein 60 aus dem Maßnahmekatalog zum SDM (https://www.datenschutz-mv.de/static/DS/Dateien/Datenschutzmodell/Bausteine/SDM-V1.1_60_L%C3%B6schen_V1.0_uagsdmbs_final.pdf).

Dies liegt an der Systematik des SDM. Diese ist in Abschnitt A3 beschrieben:
'A3 Struktur des SDM
Das Standard-Datenschutzmodell
- systematisiert datenschutzrechtliche Anforderungen in Gewährleistungszielen,
- leitet aus den Gewährleistungszielen systematisch generische Maßnahmen ab, ergänzt um einen Referenzmaßnahmen-Katalog,
- modelliert die Verarbeitungstätigkeit (Geschäftsprozess) mit ihren Elementen Daten, Systemen und Diensten sowie Teilprozessen,
- systematisiert die Identifikation der Risiken zur Feststellung des aus der Verarbeitung resultierenden Schutzbedarfs der betroffenen Personen,

- bietet ein Vorgehensmodell für eine Modellierung, Umsetzung und kontinuierliche Kontrolle und Prüfung von Verarbeitungstätigkeiten.'
Vom Aufbau her ist das SDM mit Standards aus der Informationssicherheit vergleichbar, wie etwa dem IT-Grundschutz des BSI. Der im zweiten Anstrich erwähnte generische Maßnahmekatalog ist jedoch Teil des SDM-Hauptdokuments (Abschnitt D1).
Im Abschnitt B1 sind nur die Anforderungen der DSGVO systematisiert.
B1.12 Löschbarkeit von Daten kann deshalb noch nicht konkreter als die DSGVO werden. (Dass die DSGVO nicht konkreter wird, kann man je nach Sichtweise für vorteilhaft oder nachteilig halten. Dies wäre gesondert zu diskutieren.) Auch im generischen Maßnahmekatalog (D1) ist noch kein Raum für Anforderungen in der von Ihnen nachgefragten Tiefe, wohl aber im Baustein 60.
Im Baustein 60 wird auch auf das Löschen im Zusammenhang mit Backups eingegangen (insbesondere auf S. 4f). Die Anforderungen an derartige Systeme sind auf Archivierungssysteme ohne weiteres übertragbar, da hier ähnliche Techniken angewendet werden. Die Organisation der Speicherung in Archivierungssystemen sollte sich demnach an den Regelspeicherfristen orientieren. Bei Speicherfristen in Jahresscheiben sollten Write-Once-Medien folglich ebenfalls in Jahresscheiben beschrieben werden, so dass auch eine Vernichtung der Medien entsprechend möglich ist. Insbesondere für die Löschung von Daten vor Ablauf der Regelspeicherfrist (beispielsweise bei rechtswidriger Speicherung) sollten die für Backups beschriebenen Verfahren sinngemäß verwendet werden. Im Baustein 60, S. 5 heißt es:
'Da das Löschen von Daten in Sicherungskopien in der Regel wesentlich aufwändiger als das Löschen im aktiven Datenbestand ist, kann diese Löschung im Zuge des Überschreibens oder der Vernichtung der Sicherungsdatenträger als Ganzem erfolgen, wobei der Zeitpunkt und die Frequenz dieses Vorgangs maßgeblich vom Schutzbedarf der betreffenden Daten abhängig gemacht werden muss (siehe dazu Abschnitt hoher Schutzbedarf). In jedem Fall muss sichergestellt werden, dass nach einer Rücksicherung (etwa nach einem Havariefall) und einer damit verbundenen Wiederherstellung von Daten, die im aktiven Datenbestand bereits gelöscht waren, unmittelbar eine erneute Löschung dieser Daten erfolgt [...]. Regelhaft sollten die Löschung der Daten in den Backup‐Dateien spätestens ein Jahr nach der Löschung im Produktivdatenbestand erfolgen.
Dem Prinzip der Datenminimierung folgend sollten jedoch immer kürzere Fristen angestrebt werden.'

Das bedeutet in Archivsystemen, dass logische und physische Löschung zeitlich auseinanderfallen dürfen, wenn hierfür eine technische Notwendigkeit besteht, die physischen Löschung regelmäßig nicht länger als ein Jahr nach der physischen Löschung stattfindet und hinreichend sichergestellt ist, dass bei der Nutzung des Archivs auf die als logisch gelöscht markierten Daten nicht zugegriffen werden kann. Werden Daten aus Archivsystemen in Produktivsysteme übernommen, sind als logisch gelöscht markierte Daten nicht mit zu kopieren oder, wenn dass nicht möglich ist, sofort im Produktivsystem zu löschen." </Zitat>

Dass weder DSGVO noch SDM hier konkret sind, eröffnet im Prinzip dann auch den Freiraum für "logisches Löschen".  Wichtig erscheint uns auch der Hinweis Auf den "Baustein 60" aus dem Maßnahmekatalog zum SDM (https://www.datenschutz-mv.de/static/DS/Dateien/Datenschutzmodell/Bausteine/SDM-V1.1_60_L%C3%B6schen_V1.0_uagsdmbs_final.pdf), der obige Argumentation des Datenschutzes in Schwerin stützt.

Weniger positiv ist, dass nicht alle Datenschutzbehörden auch wirklich den SDM zur Anwendung bringen, da z.B. im Süden Deutschlands (Bayer, Baden-Württemberg) andere Verfahren gebräuchlich sind. Positiv wäre, wenn es wirklich ein einheitliches Vorgehen gäbe, wie Datenschützer in Deutschland bei ihren Prüfungen mit dem Thema umgehen.
Vielleicht findet ja auch die Diskussion um das "logische vs. physische Löschen" einen Eingang in die Überarbeitung des SDM).
Worauf letztlich alle warten müssen sind letztinstanzliche Urteile, wie mit der DSGVO umzugehen ist. Dies ist sicherlich auch einer der Gründe, warum Deutsche Wohnen und IONOS gegen die verhängten Strafen der Landesdatenaschutzbehörden klagen wollen. Alle derzeitigen Stellungnahmen von Datenschützern, Datenschutzgremien, Anwälten und Lobbies sind daher nur "Interpretationen" der Gesetzestexte.
Die EU selbst macht sich aber auch Gedanken, wie Richtlinien wie die GDPR interpretiert werden. So zum Beispiel nach dem Scheitern der ePrivacy-Richtlinie mit Guidelines (z.B. edpb EU Data Protection Board "Guidelines 5/2019 on the criteria of the Right to be Forgotten in the search engines cases under the GDPR (part 1) for public consultation December 2019"   http://bit.ly/edpb_Draft_Guideline_GDPR. Wünschenswert für alle Anwender ist natürlich, dass es Klarheit gibt für alle älteren Archivsysteme, die nicht auf das gezielte Löschen eingerichtet sind.

Dr. Ulrich Kampffmeyer

 

dsgvo_einverstaendnis_comment
Einverständniserklärung nach DSGVO
Einhaltung der EU-Urheberrechtsrichtlinie
Einhaltung der EU-Urheberrechtsrichtlinie

Lieber Uli,

viele der 13 Fragen, die Du gestellt hast, sind sicherlich berechtigt, allerdings richten sich diese überwiegend nicht an die Anbieter von Archivierungslösungen bzw. beziehen sich nicht auf die technischen Fähigkeiten der Produkte. Letztlich können die Anbieter nur dazu Stellung beziehen (Rechtsberatung machen wir ja nicht), was ich für SER gerne tue.

Ich sehe auch keinen direkten Konflikt zur WORM-Speicherung. "Write once, read many" sagt ja nicht aus, dass man nicht Löschen kann. "Write once, read many, delete when allowed or needed" (WORMDAON) liest sich nur nicht so gut.

Um die gesetzlichen Anforderungen erfüllen zu können, muss ein Archiv-System logischerweise nicht nur die Unveränderbarkeit während der Aufbewahrungsfrist sicherstellen, sondern auch die Möglichkeit bieten, Dokumente danach zu löschen.

Ob hierbei ein logisches Löschen ausreicht, ist schwer zu beurteilen. Allerdings ist auf Basis des heutigen Stands der Technik ein physikalisches Löschen mit nahezu jedem aktuellen Speichersystem möglich, so dass man als Anwender zumindest damit rechnen sollte, dass ein physikalisches Löschen als verhältnismäßig angesehen wird und entsprechend umzusetzen ist.

Physikalisch Löschen bedeutet hierbei, die Metadaten aus der Datenbank zu löschen und die Dokumentinhalte vom Speichersystem. Dies gilt für alle Replikate, die das Archivsystem erzeugt hat. Nur den Zugriffspfad zu löschen, würde ich nicht als physikalisches Löschen einordnen. Das Archivsystem muss also in geeigneter Weise die Löschung an das Speichersystem weitergeben. Sofern dieses intern ein Löschen nur als logisches Löschen abbilden, so liegt dies außerhalb der Veranwortung des Archivsystem (Beispiel: die von Dir genannte Centera hat durchaus einen richtigen Löschbefehl, der vom Archivsystem zu nutzen ist; wie das Löschen in der Centera realisiert ist, liegt dann in der Verantwortung des Herstellers).

Eine Zusammenfassung von Dokumentinhalten in (virtuelle) Medien und deren Speicherung ist unter dem Gesichtspunkt der DSGVO mehr als problematisch. Archivsysteme, die immer noch so agieren und Container speichern, in denen sie einzelne Dokumente nicht löschen können, würde ich aus dem Verkehr ziehen.

Bleibt noch der Sonderfall bzw. der Konflikt:
Trotz Aufbewahrungsfrist muss ein Dokument gelöscht werden, da der Datenschutz höher wiegt.

Hierfür bietet unser System Doxis4 beispielsweise ein "priviligiertes Löschen", dass natürlich erst per Konfiguration zu aktivieren ist, per gesonderter Berechtigung geschützt ist, ein Vier-Augen-Prinzip verlangt und natürlich einen Audit Trail Eintrag nach sich zieht (der im Übrigen gehashed und verkettet ist, ohne dass ich das als Blockchain Revolution akzeptiere, sondern eher als Trivialität ansehe).

Da zudem die gesetzlichen Regelungen sehr unterschiedlich sind - so gibt es durchaus auch Anforderungen außerhalb der EU, Dokumente unter wirklich gar keinen Umständen vor der Aufbewahrungsfrist löschen zu können - kann man diese Funktion auch irreversibel deaktivieren.

Da die Speichersysteme nicht notwendigerweise über eine solche Funktion verfügen, kann das physikalische Löschen erst dann erfolgen, wenn dort die Frist auch abgelaufen ist. Entsprechende Löschaufträge hält unser System so lange vor.

Neben dem priviligierten Löschen gibt es in Doxis4 auch die Möglichkeit, eine Aufbewahrungsfrist zu verkürzen, sofern die Aufbewahrungsregel dies erlaubt. Auch hier kann man diese Option also irreversibel deaktivieren, damit kein Zweifel an der Durchsetzung von Aufbewahrungsfristen entsteht.

Als Archivanbieter können wir leider wenig daran ändern, dass Aufbewahrungspflichten und Löschpflichten nur sehr schwer unter einen Hut zu bekommen sind. Wir können nur verschiedene technische Lösungsmöglichkeiten aufzeigen und anbieten, was ich hiermit mal getan habe.

Viele Grüße,
Gregor Joeris

dsgvo_einverstaendnis_comment
Einverständniserklärung nach DSGVO
Einhaltung der EU-Urheberrechtsrichtlinie
Einhaltung der EU-Urheberrechtsrichtlinie

Lieber Gregor,

zu Deinem ausführlichen Kommentar ein paar Antworten. 

(1) Mir ging es generell um diejenigen Archivierungsverfahren, die ein Löschen physisch verhindern. Da sind die traditionelle nur einmal beschreibbare digital-optische Speicherplatte (Sony kommt gerade mit einer neuen 5,5 TB Cartridge-Optical-Version heraus), ältere Festplatten-Subsysteme wie die ersten Generationen der Centera oder das neue Verfahren der Datenarchivierung per Blockchain zu nennen.
(1.1) Von einem echten WORM-Medium wie einer 5 1/4" Optical oder einer hochkapazitativen DVD-R kann man bei Verlangen eines echten "Erasure" (physisches Löschen, Vernichten, Zerstören) nur diejenige nicht betroffene Information auf ein neues Medium kopieren und das Ursprungsmedium zerstören. Dies natürlich bei jedem Einzelfall, wenn ein Betroffener Nachweis und Löschung verlangt (die beiden aktuellen Fälle Deutsche Wohnen - Verstoß bei Speicherung - und 1&1 - mangelnde Zugangssicherung zu personenbezogenen Daten bei Auskünften - sind anders gelagert und betreffen nicht die Rechte von dedizierten einzelnen Betroffenen). 
(1.2) Eine alte, nicht wieder nutzbare Centera kann man gleich publikumswirksam in einer Schrottpresse zusammenfalten lassen. 
(1.3) Ein Blockchain-Verfahren mit distributed ledger Architektur erlaubt auch das Löschen einzelner Einträge nicht (es sei denn, man wählt die Kampffmeyersche Inhouse-Variante von Block Chain mit Blockchain). 
Also sind alle Anbieter von Archivmedien und Archivsubsystemen betroffen. Die Anbieter von Archivierungssoftware nur indirekt.
(1.4) Du selbst weist auf die Speicherung von Containern oder selbstgebauten Ablageobjekten hin (obwohl es für solche sogar mit OAIS ISO 14721 eine Norm gäbe ... und man nur möglichst Einzelobjekte als AIP speichern sollte). Auch aus einem z.B. 500seitigen PDF/A einzelne Seiten mit personenbezogenen Daten herauszulöschen oder mittels Redaction zu schwärzen dürfte problematisch sein.

(2) Es geht nicht um "Rechtsberatung" sondern um verlässliche Antworten, wenn ein Anwender fragt, wie wird denn im System gelöscht. Diese Antwort müssen auch die Anbieter von Archivsystem-Software geben können (die sich ja sonst auch gern mit "Rechts-Konformität", "GoBD-Konformität", "Rechtssicherheit" etc. Zertifikaten schmücken). Auch die - richtig verstandene - revisionssichere Archivierung erlaubt das nachvollziehbare, dokumentierte Löschen.

(3) In Bezug auf das Löschen von Informationen haben wir in Deutschland ein generelles Problem. Das Löschen nicht mehr benötigter Information war in vielen elektronischen Archivsystemen nicht eingeplant. Es fehl(t)en Attribute und Verfahren. Im international gebräuchlichen Records Management (übrigens die Medien-unabhängige Verwaltung von Aufzeichnungen) ist das Löschen von Information eines der 8 Grundprinzipien. Von einer Löschkultur in Deutschland einmal ganz zu schweigen ... es wird gern einfach alles aufgehoben. Die Kombination einer Software, die nur Logisches Löschen unterstützt mit einem nur einmal beschreibbaren WORM-Archivmedium oder WORM-Subsystem passt dann nicht auf die GDPR/DSGVO/BDSG/LDSG-Anforderungen.

(4) Der Text von DSGVO und BDSG(neu) ist leider nicht so ganz eindeutig. Da weder die DSGVO noch das BDSG den Begriff Löschen definiert, muss man nach dem Ziel fragen, das in der DSGVO mit Löschen erreicht werden soll. Während eingangs Formulierungen ein Logisches Löschen als Möglichkeit erscheinen lassen, wird es weiter hinten wieder beim Thema Speicherung abgelehnt. Art. 5 Abs. 1 e (Grundsatz der Speicherbegrenzung): "Personenbezogene Daten müssen ... in einer Form gespeichert werden, die die Identifizierung der betrof­fenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist" würde das logische Löschen prinzipiell erlauben. Sie werden nicht mehr verarbeitet.
Jedoch sieht es beim Thema Speicherung gleich entsprechend Art. 4 Nr. 2 anders aus. Hier gelten dann die Zweckbindung und die Datenminimierung entsprechend Art. 5 Abs. 1 b und c. Aus diesen folgt, dass man für die weitere Speicherung der Daten ungeachtet der Einschränkung des Zugriffs und der Verarbeitbarkeit einen dedizierten Zweck braucht. Hier hilft vielleicht der Erlaubnistatbestand, damit diese Art der Speicherung rechtmäßig entsprechend Art. 5 Abs. 1 rechtmäßig bleibt. Art. 6 Abs. 1, das berechtigte Interesse entsprechend Art. 6 Abs. 1 kann man nur anziehen, wenn eine saubere Begründung entsprechend (auch Art. 9 Abs. 1) vorhanden ist. Dies ist nicht der Regelfall. 
Datenschützer - auch hier in Posts in unserem Blog - sind daher eher der Meinung, dass physisches Löschen im Sinne von Entfernen, Zerstören, Vernichten gefordert ist. Hierdurch haben alle Anwender, die auf ältere Archiv-Software und Archivierungssysteme setzen ein massives Problem. Wenn man personenbezogene Daten nicht sauber von den kaufmännischen und diese von den anderen Daten und Dokumenten bei der Erfassung getrennt hat oder über die Indexdatenbank ausselektieren kann, muss halt das gesamte System erneuert werden. Liegen dort Informationen im TeraByte-Bereich mit 10, 20, 30 Jahren Aufbewahrungsfrist wird dies sehr aufwändig und teuer. Eigentlich helfen nur Datensparsamkeit und saubere Klassifikation der Informationsobjekte. 

(5) Oben schreibst Du im Titel "WORM-Speicherung und Löschen passen durchaus zusammen". In Deinem letzten Absatz hebst Du diese Aussage wieder auf: "Als Archivanbieter können wir leider wenig daran ändern, dass Aufbewahrungspflichten und Löschpflichten nur sehr schwer unter einen Hut zu bekommen sind."
WORM-Medien und physisches Löschen gehen nicht zusammen!
Man kann hierfür sinnvolle Lösungen entwickeln und die Prinzipien des Records Managements umsetzen. Man kann mit seinen Branchenverbänden Initiativen starten, um das Logische Löschen als ausreichend bei den Datenschützern zu verankern. Man kann mit den Herstellern von Speichermedien und Subsystemen über vernünftige Verfahren sprechen. Und man kann hier schreiben, was man denn den Interessenten und Kunden sagt, wie das DSGVO-Problem mit alten wie auch neuen Systemen lösbar ist. 

Schöne Adventsgrüße,
Uli

 

dsgvo_einverstaendnis_comment
Einverständniserklärung nach DSGVO
Einhaltung der EU-Urheberrechtsrichtlinie
Einhaltung der EU-Urheberrechtsrichtlinie

Gespeichert von Ulrich Stenzel (nicht überprüft) am/um 13. Dezember 2019 - 11:48 Permanenter Link

Als Archivar möchte ich anmekren, dass die IT den Begriff der Archivierung anders betrachtet als die Archivare. Die Archivgesetze und die Archivterminologie meinen mit Archivierung die unbefristete Verwahrung von archivwürdigem Schriftgut (analog wie digital) in der Verfügung eines Archivs. Da wird nicht alles aufgehoben, sondern nach inhaltlichen Kriterien eine Bewertung vorgenommen, was archivwürdig ist. Die Archivierung wird von den Archivgesetzen als eine Alternative zur Löschung betrachtet. In diesem Bereich greift auch die zitierte OAIS ISO 14721, die auf eine authentische und störungsfreie Sicherung der Metadaten abzielt.
Aufbewahrungsfristen gelten demnach nur für die Daten, die nicht archiviert werden, aber beim Produzenten noch vorgehalten werden. Sie sollten nach Ablauf einer zu begründenden Frist vernichtet werden. Beispiel: Ein Verein bewahrt die Daten zu ausgetretenen oder verstorbenen Mitgliedern für einige Jahre auf. Dann hat er sie entweder zu löschen oder zu anonymisieren. Ein Grund können einschlägige Gesetze wie das HGB sein. Dann ist die dort geforderte Frist die Mindestaufbewahrungsfrist. Wenn ein Unternehmen aber aus bestimmten Gründen die Daten länger vorhalten will, muss es dies darlegen.
Soweit die Terminologie zur Klarstellung.

dsgvo_einverstaendnis_comment
Einverständniserklärung nach DSGVO
Einhaltung der EU-Urheberrechtsrichtlinie
Einhaltung der EU-Urheberrechtsrichtlinie

Lieber Herr Stenzel,

vielen Dank für Ihren Hinweis, der natürlich den Spezialisten in der Branche bekannt ist.
"Archivierung", auch im Sinne von "Langzeitarchivierung" ist in den Bundes- und Landesarchivgesetzen definiert und betrifft die langfristige Archivierung von bewerteten Informationsobjekten nach Ablauf der Aufbewahrungsfrist und Aussonderung eines Großteil der Informationsobjekte. All dies im Kontext der historischen Bedeutung von Informationen für Archive, Museen, Bibliotheken etc. 
Der Begriff "Archivierung" wird allerdings auch umgangssprachlich benutzt. Im Kontext von Handelsrecht, Steuerrecht und Datenschutz ist hier eher von Aufbewahrung und Speicherung zu sprechen. Anwender wie auch Anbieter sprechen jedoch immer von Archivsystemen. Hier ist an die "revisionssichere Archivierung" zu denken, die die Kombination von Records-management-Software zusammen mit "Archiv"speichersystemen meint. 
Gerade nach OAIS ISO 14721 mit der Speicherung von Archivobkjekten in Gestalt von Containern (AIP) ist das Herausziehen und Löschen einzelner personenbezogener Daten, die den GDPR/DSGVO/BDSG und nicht dem IFG unterliegen, - vorsichtig gesagt - sehr schwierig, wenn der Gesamtzusammenhang des Archivobjektes, seine Konsistenz und Integrität sowie die zugehörige Integrität und Konsistenz der Metadaten gewahrt bleiben soll. Dies betrifft natürlich besonders Archivmedien, die nur einmal beschreibbar sind (trueWORM).
Löschen von Metadaten und gegebenenfalls Löschen von den dazugehörigen Objekten im Bereich anderer rechtlicher Bestimmungen ist hiervon unbenommen.

Mit den besten Grüßen,
Dr. Ulrich Kampffmeyer

dsgvo_einverstaendnis_comment
Einverständniserklärung nach DSGVO
Einhaltung der EU-Urheberrechtsrichtlinie
Einhaltung der EU-Urheberrechtsrichtlinie

Unsere provozierende Frage "DSGVO, Löschen und Archivierung passen nicht zusammen - müssen jetzt alle älteren Archivsysteme abgeschaltet werden?" wurde inzwischen auf Speicherguide.de aufgegriffen. Im aktuellen Newsletter schreibt Speicherguide.de: <Zitat>
"Über unseren Freund Dr. Ulrich Kampffmeyer erreichte uns die Frage, wie WORM-Speicher eigentlich mit dem Datenschutz zu vereinbaren sind? Nachdem für Archive ohne Löschmöglichkeit die ersten Bußgelder erhoben wurden, eine sehr berechtigte Frage. Persönlich bin ich noch nicht sicher, ob es eine korrekte Antwort gibt, unser Doc Storage schon... 
Sollten Sie ebenfalls mit dieser Thematik befasst sein, melden Sie sich gerne. Entweder per Kommentar oder direkt bei mir. Vielleicht können wir in einer Art Mastermind-Gruppe mehrere Betroffene zusammenbringen." </Zitat>

Abgesehen davon, dass das Herbeiführen einer Klärung Aufgabe von Regierungen, Behörden, Datenschützern, Datenschutzverbänden, Storage- & ECM-Verbänden, Gerichten, Anwälten & Co. wäre, sind wir natürlich dankbar, dass unsere Diskussion aufgegriffen wurde.

Doc Storage

Dennoch gibt es einige Punkte im Kommentar "DSGVO: Müssen Archive mit WORM-Speichern abgeschaltet werden?" von Doc Storage, die - anders - beleuchtet werden müssen. http://bit.ly/2qRCbC5

Doc Storage weist selbst im ersten Absatz daraufhin, dass Anlass unserer Provokation die Strafen gegen die die "Deutsche Wohnen" Berlin sind. Grund war unzulässiger Zugang zu einem Archivsystem, in dem auch Daten von z.B. ehemaligen Mietern enthalten sind, und der Zugriff nicht effektiv durch das Berechtigungskonzept eingeschränkt war und die Daten nicht gelöscht wurden. Dies war bereits im Jahr 2017 kritisiert worden und führte dann nach unzureichender Behebung zum 14,5 Millionen-Verdikt des Landesdatenschutzes in Berlin. Wichtig ist in diesem Zusammenhang, dass es sich nicht um individuelle Betroffenenrechte sondern einen generellen Datenschutzverstoß handelt.
Auch beim jüngeren Fall von IONOS 1&1 handelt es sich um einen generellen Datenschutzverstoß, da  Authentifizierungsinformationen bei telefonischen Auskünften zu Konten bei 1&1 unzureichend erhoben wurden und so ohne ausreichende Absicherung DSGVO-relevante Daten herausgegeben wurde. Auch hier ist der Anlass kein Einzelfall-Verstoß gegen individuelle Rechte eines Betroffenen, wo ein Betroffener vorstellig geworden ist.

In beiden Fällen, Deutsche Wohnen wie auch IONOS 1&1, wurden daher auch die Bescheide zurückgewiesen, Widerspruch eingelegt und der Klageweg angekündigt. 

Doc Storage geht in seinem Kommentar sehr ausführlich auf die Betroffenen-Rechte nach § 17 DSGVO ein. Hierum ging es aber nicht primär im Fall der Deutsche Wohnen und dem Thema Löschen in Archiven. Bei Deutsche Wohnen geht es um den generell fehlenden Zugangsschutz und das Nicht-Löschen aller nicht mehr rechtlich zulässig gespeicherten Daten. 

So geht er dann auch im Abschnitt "Juristen sehen Bußgeld als ungerechtfertigt" auf Juristenmeinungen ein, die zunächst einmal den Nachweis des Zweckes der Speicherung der Daten sowie auf die einzelnen Betroffenenrechte Bezug nehmen.

Erst dann geht er auf die von uns aufgeworfene Frage der Speicherung auf WORM ein:
<Zitat> "Ist es dem Betreiber tatsächlich zuzumuten, einzelne Datensätze aus dem Archiv herauszukratzen? Also wie in anderen Beiträgen zum Thema beschrieben zum Beispiel auf WORMs zu löschen und dann die gesamten anderen Sätze auf ein neues Medium zu kopieren, um dann das Original zu vernichten?" </Zitat>

Doc Storage weist auf die Verhältnismäßigkeit hin, die den großen technischen Aufwand nicht rechtfertige. Aber bei der Deutsche Wohnen ging es nicht um einen Einzelfall sondern generell um ein unzureichendes Zugriffs- und Archivierungskonzept für alle "abgelaufenen" Daten. Hier dürfte auch das grundsätzliche problem eine Rolle spielen, dass gerade bei älteren Archivsystemen das Herausfiltern und Löschen von Daten nicht bedacht wurde. Dementsprechend fehlen auch Metadaten für die Einschränkung des Zugriffes und das gezielte Löschen. 

Doc Storage sieht das Problem besonders darin, dass die Verantwortlichen die Anforderungen ignoriert haben. Er schreibt <Zitat>:
"Und nunmehr die Perspektive des Betriebes. Und diese Perspektive beginnt eigentlich schon vor fast zwei Jahren, also vor dem Ende des Ablaufes der Frist zur Einführung der DSGVO-Regeln. Damals hatten wir alle zwei (eigentlich ja vier) Jahre Zeit, diese Gesetzestexte zu lesen, sie von unseren Juristen verstehen und interpretieren zu lassen. Wir hatten mehr als genug Zeit, all unsere Systeme von allen Seiten zu betrachten, auch die Archive, und die Behandlung der dort gespeicherten Daten von unseren Juristen vorbereiten zu lassen." </Zitat>
Zu kurz gesprungen ... die Anforderungen an das Löschen gab es schon vor den DSGVO im alten BDSG. Man hätte sich schon bei Auswahl, Konfiguration und Implementierung des ursprünglichen "Archivsystems" zu Beginn um das Löschen und Einschränken des Zugriffs kümmern müssen. Auch hier liegt ein Teil der Verantwortung den Anbietern von "Archivsystemen", die keine ausreichende Funktionalität bereitstellten und die Grundprinzipien des Records Managements ignorierten. Nahezu alle "Archivsysteme" sind vom Thema "Löschen" älterer Jahrgangsscheiben oder individueller Einträge betroffen. Es ist also kein alleiniges Problem der Deutsche Wohnen sondern ein Problem aller älteren Archivsysteme mit trueWORM-Speicherung. 

In seinem letzten Absatz ignoriert DocStorage dann die funktionalen und technischen Probleme von Archivsystemen und Archivspeichern wenn er schreibt <Zitat>: 
"Man sieht, es ist also kaum ein technisches Problem, dass wir hier diskutieren. Entweder ist es eines rund um juristische Begrifflichkeiten von angemessener und monetär leistbarer Technik, oder aber eines rund um entsprechend eng gefasster Prozesse. In beiden Fällen geht es gar nicht darum, ob Daten im Archiv gelöscht werden (können) oder nicht. Sondern lediglich darum, ob man die Technik dazu einsetzen kann oder nicht, und ob es entsprechende Arbeits- und Handlungsanweisungen gibt. Nach meinen Erfahrungen aus dem Betrieb kann man die selbsternannten Datenschutzritter mit einer möglichst detaillierten Prozesssammlung beruhigen. Dauerhaft." </Zitat>

Das grundsätzliche Problem digitaler, nur einmal beschreibbarer Speichermedien und ihrer Verwaltung

Greifen wir also noch einmal die Passage auf, wo DocStorage auf unseren Blog verweist und behandeln wir die Probleme unterschiedliche Speicher- und Löschverfahren im Zusammenhang. 

Ausgehend vom Fall Deutsche Wohnen in Berlin ergibt sich folgende grundsätzliche Problematik für die Archivierung:

  • Logisches Löschen 
    (Index-Eintrag entfernen, Sperren, Wiederauffinden verhindern auf allen betroffenen Medien; die Information ist aber weiterhin auf dem Medium vorhanden; Verarbeitung ist ausgeschlossen)

oder

  • Physisches Löschen
    (Vernichten, Zerstören aller betroffenen Daten auf allen Medien; Speichern und Verarbeitung sind ausgeschlossen)

Keine endgültige Klarheit in den DSGVO und auch nicht im BDSG(neu):

  • Formulierungen in DSGVO Art. 5 Abs. 1 können so interpretiert werden, dass logisches Löschen ausreichend ist
  • Formulierungen in DSGVO Art. 4 Abs. 2 und Art 9 Abs. 1 legen aber nahe, dass mit Entfernen das physische Löschen gemeint ist

Datenschützer von Landesbehörden wie auch von Unternehmen neigen zur Interpretation, dass physisches Löschen gefordert ist (siehe hierzu aber auch die Kommentare auf Basis von Nachrichten der Datenschützer aus Schleswig-Holstein und Mecklenburg-Vorpommern in diesem Blog). 

WORM Write Once Read Many erlaubt bei echten WORM-Medien (trueWORM) und bestimmten WORM-Verfahren kein Löschen.

Die aufwändige Lösung beim logischen Löschen in der Verwaltung von trueWORM:

  • TrueWORM-Medien (Optical Disk Cartridge WORM wie z.B. die bisherige 5 ¼“ Technologie mit Jukeboxen oder aktuell auch Sony Optical Disc Archive Gen 3 mit 5,5 TB [?])
  • Ältere CAS Harddisk-Subsysteme wie die älteren EMC Centera Versionen
  • Optical Tape als Sicherung in Tape Libraries

Die noch aufwändigere Lösung beim Physischen Löschen (Umkopieren von Informationen, die noch zulässig gebraucht werden, auf ein neues Medium mit Weglassung der zu löschenden Informationen) geht über das Löschen der Metadaten in der Verwaltung hinaus. Physisches Löschen kann zu Inkonsistenzen im Archivsystem führen.
Ideen wie Löschen/Zerstören von FAT-Einträgen und Sektoren auf trueWORM-Medien sind keine Lösung. Physisches Löschen durch Überschreiben (alle "0" durch "1") im Regelfall nicht möglich und zerstört die Verwaltung des Mediums.

Auch nur eine schwierige Lösung:

  • Einzelne Inhalte in großen Dokumenten wie PDF/As.
    Hier gibt es nur die Lösung mit Redaction durch „Schwärzen“ in einem kopierten Dokument. Konsistenz, Integrität und Authentizität des originären Dokumentes sind jedoch zerstört.

Keine Lösung:

  • Public Distributed Ledger Blockchain
  • Proprietäre Container- und Ablage-Formate, die mit Verschlüsselung, Signaturen und/oder Prüfsummen abgesichert sind

Lösungsansätze

Einziger Schutz ist:

  • Saubere Klassifikation von Informationen
  • Aufteilung der Informationsbestände nach Aufbewahrungsfristen, Schutzbedarf (DSGVO und GeschGehG) und anderen Kriterien
  • Klassenbasiertes Berechtigungskonzept, das langfristig stabil den Zugriff gezielt einschränken kann
  • Records Management und revisionssichere Archivierung mit kontrollierten, nachvollziehbaren und dokumentierten Löschverfahren auf magnetischen Speichern
  • Saubere Dokumentation (Verfahrensdokumentation, Verabeitungstätigkeitenverzeichnis u.ä.) von Zweck, Speicher- und Zugriffsverfahren, Löschverfahren, Informationslandkarte mit Klassifikation aller Informationen in den Systemen des Unternehmens

Wo diese Maßnahmen aktuell versagen und Klärungsbedarf notwendig ist:

  • Ältere Archivsysteme,
    • bei denen kein Löschen richtig implementiert ist und 
    • wo es auf Grund fehlender Metadaten nicht (oder kaum) möglich ist, alle personenbezogenen Daten und Dokumente herausfinden.
  • Speicher-Subsysteme, bei den physisches Löschen nicht möglich ist



Unsere These: Traditionelle Archivierung mit trueWORM-Medien ist im Zeitalter der DSGVO tot.

 

Mit den besten vorweihnachtlichen Grüßen,
Dr. Ulrich Kampffmeyer

dsgvo_einverstaendnis_comment
Einverständniserklärung nach DSGVO
Einhaltung der EU-Urheberrechtsrichtlinie
Einhaltung der EU-Urheberrechtsrichtlinie

Neuen Kommentar schreiben

Ich stimme zu, dass die von mir eingegebenen Daten einschließlich der personenbezogenen Daten an PROJECT CONSULT übermittelt und dort zur Prüfung der Freischaltung meines Kommentars verwendet werden. Bei Veröffentlichung meines Kommentars wird mein Name, jedoch nicht meine E-Mail und meine Webseite, angezeigt. Die Anzeige des Namens ist notwendig, um eine individuelle persönliche Kommunikation zu meinem Beitrag zu ermöglichen. Anonyme oder mit falschen Angaben eingereichte Kommentare werden nicht veröffentlicht. Zu Nutzung, Speicherung und Löschung meiner Daten habe die Datenschutzerklärung zur Kenntnis genommen.
Ich versichere, alle gültigen Vorgaben des Urheberrechts beachtet zu haben. Dies betrifft besonders die Nicht-Verwendung von urheberrechtlich geschütztem Material und die Nicht-Verwendung von Inhalten und Links zu Inhalten, die dem Leistungsschutz unterliegen. Für den Inhalt meines Kommentars bin ich trotz Prüfung und Freischaltung durch PROJECT CONSLT ausschließlich selbst verantwortlich. Meine Rechte am Beitrag werden bei PROJECT CONSULT nur durch die CC Creative Commons Vorgaben gewahrt. Für die Verfolgung mißbräuchlicher Nutzung meiner Beiträge durch Dritte bin ich selbst verantwortlich.

This question is for testing whether or not you are a human visitor and to prevent automated spam submissions.