Ob durch aufdringliche Cookie-Banner beim Surfen oder eine Vielzahl an Formularen, die uns Arztpraxen zwingen auszufüllen — der Datenschutz hat Einzug in unseren Alltag gehalten. Das merken wir nicht nur als Privatpersonen, sondern natürlich auch Unternehmen, die ihre Prozesse umstellen müssen.

Verarbeitungsverzeichnisse, Verträge zur Auftragsverarbeitung und Löschkonzepte müssen beispielsweise vorhanden sein. Einerseits bietet die europäische Datenschutzgrundverordnung einen sehr hohen Standard und Schutz für betroffene Personen, andererseits können die Anforderungen für Unternehmen sehr herausfordernd sein. Wir als Team um die Security-Diszplin haben für die iX eine Artikel-Serie zum Thema „Richtig löschen“ geschrieben, der als Hilfestellung zur Erarbeitung und Implementierung eines Löschkonzepts für personenbezogene Daten dienen soll.

Löschen ist nicht gleich löschen

Die zentrale Frage: In welcher Form sollen und müssen Daten vernichtet werden? Hierbei unterscheidet man zwischen dem tatsächlichen Löschen, der Anonymisierung und der Pseudonymisierung. Rein organisatorische Maßnahmen, wie z.B. ein Hinweis auf die Ungültigkeit der Daten oder ein Zugriffsverbot sind nicht ausreichend als Löschhandlung, da von den Informationen ohne unverhältnismäßig großen Aufwand wieder Kenntnis erlangt werden könnte. Bei der Anonymisierung und Pseudonymisierung ist von Vorteil, dass Metadaten immer noch für Analysezwecke genutzt werden können. Gerade die Abteilung „Smart Data“ dürfte diese Nachricht freuen. Allerdings sind bei der Pseudonymisierung und Anonymisierung von Daten die unterschiedlichen Definitionen der Löschformen zu beachten, ebenso wie die Anforderungen, die sich daraus ergeben.

Das Pseudonymisieren von Daten macht es schwerer, aber nicht unmöglich, Rückschlüsse auf die anfänglichen Daten zu ziehen. Deshalb lassen pseudonymisierte Daten eine Re-Identifikation der betroffenen Person zu und unterliegen deshalb auch weiterhin der EU-DSGVO. Anonymisierte Daten hingegen können nicht mehr auf natürliche Personen zurückgeführt werden. Sie unterliegen deshalb nicht mehr den Anforderungen des Datenschutzes.

Crypto-Shredding als technische Lösung

Betrachtet man ein einzelnes System, scheint das Löschen personenbezogener Daten von technischer Seite aus kein größeres Problem zu sein. Bedenkt man aber, dass die meisten Unternehmen mehr als ein System im Einsatz haben, wird spätestens in diesem Moment klar, dass das Problem auch auf technischer Ebene nicht ganz so einfach vollumfänglich gelöst werden kann.

Ist Löschen aus technischer oder auch organisatorischer Sicht keine Option, z.B., weil die Daten für Analysen benötigt werden, bleiben also nur Anonymisierung oder Pseudonymisierung als Möglichkeiten zur sicheren Ablage.

Letztere Möglichkeit lässt sich beispielsweise technisch und automatisiert durch Crypto-Shredding umsetzen. Beim Crypto-Shredding geht es im Wesentlichen darum, dass alle personenbezogenen Daten, bevor sie dauerhaft gespeichert werden, kryptographisch verschlüsselt werden. Dabei wird für jede Person, deren Daten verarbeitet werden, ein eigener Schlüssel erzeugt. Bei jedem Schreibvorgang werden die Daten ver- und bei jedem Lesevorgang entschlüsselt. Wenn es dazu kommt, dass die Daten einer Person gelöscht werden müssen, reicht es aus, den zugehörigen kryptographischen Schlüssel zu löschen.

Weitere Details dazu finden sich in der Artikel-Serie in der iX inklusive einer Beispiel-Umsetzung in Keycloak und Performance-Betrachtungen.