Bundesamt für Sicherheit in der Informationstechnik

M 2.515 Datenschutzgerechte Löschung/Vernichtung

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung

Verantwortlich für Umsetzung: Datenschutzbeauftragter, IT-Sicherheitsbeauftragter

Sicheres Löschen magnetischer Datenträger

Sowohl aus der Sicht des Datenschutzes als auch der Informationssicherheit ist beim Löschen von sensiblen oder vertraulichen Daten auf magnetischen Datenträgern zu gewährleisten, dass die Daten sicher, d. h. vollständig und unumkehrbar gelöscht werden. Einfache Löschbefehle des jeweiligen Betriebssystems oder auch das Formatieren des Datenträgers reichen hierzu in der Regel nicht aus, da eine Rekonstruktion der Daten mit frei verfügbaren Softwarewerkzeugen leicht möglich ist. Daten, die sicher gelöscht werden sollen, müssen durch physikalische Maßnahmen (mechanische oder thermische Zerstörung, magnetische Durchflutung des Datenträgers) oder durch mehrmaliges Überschreiben unkenntlich gemacht werden. Beim Löschen durch Überschreiben sind die spezifischen Besonderheiten der Verwaltung und Speicherung von Daten zu berücksichtigen, wie z. B. die Existenz von Sicherheitskopien, von automatisch durch das System oder einzelne Anwendungen angelegten temporären und Auslagerungsdateien oder von Journalen bei bestimmten Dateisystemen.

Aus Datenschutzsicht gibt es in diesem Zusammenhang die folgenden Empfehlungen:

  • Der Problemkreis des sicheren Löschens von Daten erfordert die Sensibilisierung der verantwortlichen Entscheidungsträger, Administratoren, Sicherheits- und Datenschutzbeauftragten sowie jedes einzelnen Nutzers. Dies ist durch geeignete Information und Schulung zu erreichen.
  • Im jeweiligen Verantwortungsbereich sind technisch-organisatorische Maßnahmen festzulegen, die eine sichere Löschung von Daten gewährleisten. Sie sind in das übergreifende Datenschutz- bzw. Sicherheitskonzept zu integrieren. Insbesondere sind Maßnahmen vor der Veräußerung, Vermietung, Aussonderung, Rückgabe, Reparatur und Wartung von Datenträgern zu bestimmen.
  • Die Maßnahmen sind durch konkrete Handlungsanweisungen für das sichere Löschen zu untersetzen. Diese Anweisungen müssen den Schutzbedarf der zu löschenden Daten ebenso berücksichtigen wie den Aufwand und die Kosten für eine mögliche Datenwiederherstellung.
  • Schutzwürdige Daten sind (soweit möglich) bereits in verschlüsselter Form auf dem Datenträger zu speichern. Hierzu sollten verschlüsselte Dateisysteme verwendet werden. Auch für temporäre und Auslagerungsdateien sowie für Sicherheitskopien sollten verschlüsselte Dateisysteme verwendet werden, da diese ebenfalls schutzwürdige Daten enthalten können.
  • Daten auf intakten Datenträgern sind durch das ein- oder mehrmalige, komplette Überschreiben mit Zufallszahlen zu löschen. Hierbei können spezielle Softwarewerkzeuge zum Einsatz kommen. Die Verwendung gleichförmiger Überschreibmuster beim Löschen ist nicht zu empfehlen, da so kein Schutz gegen ausführliche Laboranalysen besteht.
  • Das einmalige, komplette Überschreiben mit Zufallszahlen sollte beim Löschen von Daten jeder Art praktiziert werden. Die Überschreibprozedur sollte aus mindestens zwei, besser drei Durchläufen bestehen. Beim zweiten Durchlauf sollte das zum ersten Durchlauf komplementäre Muster (Bitfolge) verwendet werden. Für den dritten Durchlauf werden Zufallsdaten empfohlen. Dadurch wird eine verbesserte Schutzwirkung erzielt.
  • Soll ein noch intakter Datenträger verkauft, vermietet, ausgesondert, zurückgegeben oder einer neuen Nutzung zugeführt werden, ist zuvor der gesamte Datenträger mehrmals komplett mit Zufallszahlen zu überschreiben. Diese Form der Wiederaufbereitung gestattet anschließend die weitere Nutzung des Datenträgers (z. B. die Neuinstallation eines Betriebssystems).
  • Das selektive Löschen einzelner Dateien durch Überschreiben ist meist problematisch. Es eignet sich nur dann, wenn sichergestellt ist, dass keine Kopien der in diesen Dateien enthaltenen Daten an anderen Orten abgelegt wurden (z. B. in temporären Dateien, Auslagerungsdateien oder Sicherungskopien) oder diese Orte eindeutig bestimmt und auch die Kopien sicher gelöscht werden können. Weiter ist zu gewährleisten, dass die Metadaten der gelöschten Dateien überschrieben werden, falls sie sensible Informationen enthalten.
  • Bei der Festlegung von technisch-organisatorischen Maßnahmen sowie von Handlungsanweisungen für das Löschen durch Überschreiben sind geeignete Softwarewerkzeuge anhand eines Kriterienkatalogs auszuwählen, zu bewerten und für die betreffenden Nutzer bereitzustellen. Die Anwendung der Werkzeuge ist stichprobenartig zu kontrollieren.
  • Defekte Datenträger, deren Daten nicht mehr mit Softwarewerkzeugen überschrieben werden können, sind durch mechanische oder thermische Zerstörung (Disketten, Festplatten) bzw. durch magnetische Durchflutung (Disketten) unbrauchbar zu machen. Um die Zuverlässigkeit der Verfahren zu sichern, ist eine korrekte Anwendung zu gewährleisten.
  • Müssen Datenträger ohne sicheres Löschen der Daten aus der Hand gegeben werden (z. B. Reparatur, Rückgabe an den Hersteller in der Garantiezeit), ist in Abhängigkeit von der Sensibilität der Daten durch vertragliche Regelungen und eventuell mit Schadensersatzansprüchen zu verhindern, dass unerwünschte Informationsflüsse stattfinden oder von Angreifern ausgenutzt werden. Gegebenenfalls ist auf Garantieansprüche zu verzichten.

Vernichten von Unterlagen

Da die Aussonderung und Vernichtung von Unterlagen im Allgemeinen in mehreren Schritten erfolgt, sind von der Zwischenlagerung in Papierkörben oder Sammelbehältern oder dem Sammeln der Unterlagen am Arbeitsplatz über den Transport und die zentrale Deponierung bis hin zum eigentlichen Vernichtungsverfahren alle Sicherheitsaspekte zu betrachten.

Allgemeine Anforderungen

Soweit keine bereichsspezifischen Vernichtungsregelungen einschlägig sind, unterliegt die Vernichtung von Unterlagen mit personenbezogenen Daten in den öffentlichen Stellen des Bundes und im nicht-öffentlichen Bereich dem Bundesdatenschutzgesetz, ansonsten den jeweiligen Landesdatenschutzgesetzen.

Dabei sind die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um eine den Vorschriften dieses Gesetzes entsprechende Verarbeitung der Daten sicherzustellen; dies gilt auch für den Verarbeitungsschritt "Vernichtung". Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Werden personenbezogene Daten in nicht-automatisierten Dateien oder in Akten verarbeitet, sind Maßnahmen zu treffen, um insbesondere den Zugriff Unbefugter bei der Bearbeitung, der Aufbewahrung, dem Transport und der Vernichtung zu verhindern.

Grundsätzlich gilt, dass eine Stelle für die Sicherheit der Daten in Unterlagen, die vernichtet werden sollen, solange verantwortlich ist, bis die in den Unterlagen enthaltenen personenbezogenen Daten als gelöscht im Sinne der Datenschutzgesetze gelten können, die Vernichtung also abgeschlossen ist. Die betroffene Stelle muss daher über alle Unterlagen mit personenbezogenen Daten bis zu deren Vernichtung die uneingeschränkte Verfügungsgewalt besitzen. Insbesondere dürfen zu vernichtende Unterlagen mit personenbezogenen Daten vor Abschluss der Vernichtung nicht in das Eigentum Dritter übergehen.

Der Zustand, in dem die Unterlagen als vernichtet gelten können, ist festzulegen. Als Orientierung kann hierzu die Norm DIN 66399 (Vernichten von Datenträgern) herangezogen werden. Hiernach ist eine Informationsträgervernichtung dann ausreichend, wenn die Informationsträger so vernichtet werden, dass die Reproduktion der auf ihnen wiedergegebenen Informationen nur unter erheblichem Aufwand an Personen, Hilfsmitteln oder Zeit möglich ist (Sicherheitsstufe 3).

Auch für die Vernichtung von Unterlagen gilt, dass sich die betroffene Stelle regelmäßig durch Kontrollen von der ordnungsgemäßen Durchführung der Vernichtung zu überzeugen hat. Daraus folgt, dass insbesondere dann, wenn die Vernichtung als Auftrag nach außerhalb vergeben wurde, die betroffene Stelle den gesamten technischen Vorgang oder das Verfahren kennen muss. Mit der Kontrolle der Vernichtung von Unterlagen sollte eine Person oder Organisationseinheit schriftlich beauftragt werden.

Vernichtung von Unterlagen in Eigenregie

Oberstes Prinzip sollte sein, dass Unterlagen möglichst umgehend von den Stellen vernichtet werden, die die Einstufung zur Aussonderung vornehmen. Zwischenlagerungen und Weiterreichungen über viele Hände sind fehleranfällig und erfordern genaue Regelungen und Kontrollen. Insofern ist eine unmittelbare Unterlagenvernichtung durch die zuständige Sachbearbeitung ein wirksamer Datenschutz. In jedem Fall sollte schriftlich geregelt sein, wie Mitarbeiterinnen und Mitarbeiter die Vernichtung ihrer Unterlagen durchzuführen haben. Daneben sind sie zu verpflichten, die Unterlagen bis zu deren Vernichtung sicher zu verwahren.

Werden Unterlagen zentral vernichtet, ist der gesamte Ablauf schriftlich zu regeln. Dies gilt beispielsweise für zentrale, besonders zu sichernde Sammelstellen, wie auch für den Transport zur Sammelstelle. Die Sicherheit der zu vernichtenden Unterlagen ist ebenfalls bis zu deren Ablieferung bei der Sammelstelle zu gewährleisten. Falls die Unterlagen durch einen zentralen Dienst eingesammelt werden, ist auch diese Phase unter Sicherheitsaspekten zu betrachten. Die Vernichtung der Unterlagen ist in geeigneter Weise zu protokollieren.

Vernichtung von Unterlagen durch externe Stellen

Werden Unterlagen durch externe Dritte als "Datenverarbeitung im Auftrag" vernichtet, ist die gesamte Handhabung und Sicherung der Unterlagen zwischen der Übergabe und dem Abschluss der Vernichtung vertraglich festzulegen. Es müssen der Transport, eine eventuell erforderliche Zwischenlagerung, der Vernichtungsort und der höchstzulässige Zeitraum zwischen der Übergabe der Unterlagen sowie dem Abschluss der Vernichtung geregelt sein. Weiter ist schriftlich festzulegen, in welchem Zustand sich die Unterlagen zu befinden haben, um als vernichtet gelten zu können. Durch den Auftragnehmer ist zu gewährleisten, das Unbefugte keine Kenntnis der in den Unterlagen gespeicherten Daten erhalten können. Die Übergabe von Unterlagen an das Auftragsunternehmen sollte quittiert werden und die Durchführung jeder Vernichtungsaktion sollte schriftlich bestätigt werden. Generell gilt, dass die Erteilung von Unterauftragsverhältnissen möglichst ausgeschlossen werden sollte.

Die betroffene Stelle muss über ihre Unterlagen bis zum Abschluss der Vernichtung uneingeschränkt verfügen können. Die Unterlagen müssen deshalb bis zum Abschluss der Vernichtung in ihrem Eigentum bleiben. Dies beinhaltet, dass sie vor ihrer Vernichtung nicht mit fremden Unterlagen vermischt werden dürfen. Es ist deshalb auch mit dem Auftragsnehmer zu vereinbaren, dass der Auftraggeber und der zuständige Datenschutzbeauftragte bis zum Abschluss der Vernichtung zu Kontrollen berechtigt ist.

Bezüglich der Regelungen zur Auftragsdatenverarbeitung wird auf Maßnahme M 2.511 Regelung der Auftragsdatenverarbeitung bei der Verarbeitung personenbezogener Daten verwiesen.

Prüffragen:

  • Werden Datenträger, die personenbezogene Daten enthalten, sicher gelöscht bzw. vernichtet?

  • Kontrolliert der Datenschutzbeauftragte regelmäßig, dass Datenträger mit personenbezogenen Daten datenschutzgerecht gelöscht bzw. vernichtet werden?

Stand: 13. EL Stand 2013