Hamburgisches - Hamburgische Beauftragte für Datenschutz und
Hamburgisches - Hamburgische Beauftragte für Datenschutz und
Hamburgisches - Hamburgische Beauftragte für Datenschutz und
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
sen ist“ (Bü-Drs. 13/3282 zu § 4 Abs. 2). Die Sperrung von Daten bedeutet,<br />
dass diese nur noch eingeschränkt verarbeitet <strong>und</strong> genutzt werden dürfen,<br />
wobei diese Beschränkung kenntlich zu machen ist. Wann Sperrverpflichtungen<br />
bestehen <strong>und</strong> welche Verarbeitungs- <strong>und</strong> Nutzungsbeschränkungen<br />
dann bestehen, regelt § 19.<br />
In Abs. 2 S. 2 Nr. 6 wird die Phase des Löschens definiert, welche die Verarbeitung<br />
der Daten beendet. Unter Löschen ist jede Form der endgültigen<br />
Unkenntlichmachung zu verstehen, vom Überschreiben bis hin zur physikalischen<br />
Vernichtung. In jedem Fall müssen die Daten dauerhaft unlesbar<br />
geworden bzw. eine Kenntnisnahme <strong>und</strong> auch eine Wiederherstellbarkeit<br />
ausgeschlossen sein. Beim Löschen von sensiblen oder vertraulichen<br />
Daten auf magnetischen Datenträgern ist daher zu gewährleisten, dass die<br />
Daten sicher, d.h. vollständig <strong>und</strong> unumkehrbar, gelöscht werden. Einfache<br />
Löschbefehle des jeweiligen Betriebssystems oder auch das Formatieren<br />
des Datenträgers reichen hierzu regelmäßig nicht aus, denn dabei werden<br />
nur die Indexeinträge modifiziert. Die Daten selbst bleiben auf dem Datenträger<br />
erhalten <strong>und</strong> können mit frei verfügbaren Softwarewerkzeugen<br />
leicht wiederhergestellt werden. Daten, die sicher gelöscht werden sollen,<br />
müssen durch physikalische Maßnahmen (mechanische oder thermische<br />
Zerstörung, magnetische Durchflutung des Datenträgers) oder durch<br />
mehrmaliges Überschreiben unkenntlich gemacht werden. Das B<strong>und</strong>esamt<br />
<strong>für</strong> Sicherheit in der Informationstechnik hat dazu in den Gr<strong>und</strong>schutzkatalogen<br />
differenzierte Ausführungen gemacht, wie das Löschen umgesetzt<br />
werden kann (vgl. insbesondere https://www.bsi.b<strong>und</strong>.de/DE/Themen/ITGr<strong>und</strong>schutz/ITGr<strong>und</strong>schutzKataloge/Inhalt/content/m/m02/m024<br />
33.html).<br />
Eine Wiederherstellbarkeit von Daten ist auch dann gegeben, wenn neben<br />
dem Produktivdatenbestand nicht auch die Backup-Dateien der Datensicherung<br />
in die Löschung mit einbezogen werden. Wenn die gesetzliche<br />
Verpflichtung besteht, dass zu einem definierten Zeitpunkt die Löschung<br />
erfolgt sein muss, so betrifft diese Löschungsverpflichtung auch die Datensicherung.<br />
So sind etwa die biometrischen Fingerabdruckdaten, die bei der<br />
Antragstellung eines Reisepasses erhoben werden, spätestens mit der<br />
Aushändigung des Reisepasses an den Antragsteller zu vernichten. Zu<br />
diesem Zeitpunkt dürfen diese Daten somit auch nicht mehr in der Datensicherung<br />
gespeichert sein (22. TB. 2008/2009, III 18.1).<br />
In Abs. 2 S. 2 Nr. 7 wird jede Verwendung von Daten als das Nutzen von<br />
Daten definiert <strong>und</strong> den sonstigen Datenverarbeitungsphasen gleichgestellt.<br />
Erfasst wird jeder zweckgerichtete Gebrauch des Datums. Eine Nutzung<br />
kann bspw. im Auswerten von Daten, einer stelleninternen Weitergabe<br />
oder in einer zielgerichteten Kenntnisnahme bestehen.<br />
59