DSGVO-Konformität: So löschen und schwärzen Sie personenbezogene Daten korrekt

DSGVO-Konformität: So löschen und schwärzen Sie personenbezogene Daten korrekt

• Datenschutz

Die Löschung und Schwärzung personenbezogener Daten einfach gestalten

Wenn wir über das Löschen oder Schwärzen personenbezogener Informationen gemäß DSGVO sprechen, bedeutet dies, dass die Informationen vollständig entfernt oder dauerhaft unkenntlich gemacht werden, sodass sie nicht mehr gefunden oder verwendet werden können. Wenn Informationen nach der Löschung noch von einem Administrator abgerufen werden können oder wenn geschwärzter Text wiederhergestellt werden kann, wurden die Daten nicht ordnungsgemäß geschützt. Echte DSGVO-Konformität erfordert, dass personenbezogene Daten entweder vollständig aus Systemen entfernt oder mit geeigneten Techniken sicher geschwärzt werden.

Welche Informationen sollten gelöscht oder geschwärzt werden?

Arten personenbezogener Daten

Personenbezogene Daten, die der DSGVO unterliegen, umfassen Namen, Adressen, E-Mail-Adressen, Telefonnummern, Identifikationsnummern und alle Informationen, die eine Person identifizieren können. Diese Daten erscheinen häufig in PDFs, Verträgen, Rechnungen und anderen Geschäftsdokumenten.

Wann sollten Informationen gemäß DSGVO gelöscht werden?

Gemäß dem EU-Datenschutzgesetz (DSGVO) dürfen personenbezogene Daten nur so lange gespeichert werden, wie es zur Erfüllung des Zwecks erforderlich ist, für den sie erhoben wurden. Danach müssen sie gelöscht oder durch geeignete Schwärzungstechniken anonymisiert werden.

Der Datenverantwortliche (das Unternehmen) muss entscheiden, wann Informationen gelöscht werden sollten, basierend auf dem Zweck der Datenerhebung. Zum Beispiel:

  • Eine Anwaltskanzlei bewahrt abgeschlossene Fälle länger als 10 Jahre auf und muss möglicherweise Mandantennamen aus archivierten Dokumenten schwärzen
  • Ein Architektur- oder Ingenieurbüro bewahrt abgeschlossene Projekte 5 Jahre nach Lieferung auf, wobei häufig eine Schwärzung personenbezogener Details aus Verträgen und Projektkorrespondenz erforderlich ist
  • Ein Webshop bewahrt Rechnungen aufgrund von Buchhaltungsgesetzen 5 Jahre auf, muss aber möglicherweise personenbezogene Kundeninformationen schwärzen

Systeme sollten so eingerichtet werden, dass die Löschung oder Schwärzung automatisch erfolgt, wenn Fristen erreicht werden.

DSGVO-Schwärzung vs. vollständige Löschung

Wann vollständig löschen

Eine vollständige Löschung ist angebracht, wenn:

  • Daten für keinen rechtlichen oder geschäftlichen Zweck mehr benötigt werden
  • Die Aufbewahrungsfrist abgelaufen ist
  • Eine betroffene Person ihr Recht auf Löschung ausübt

Wann Schwärzung verwenden

Schwärzung ist die bessere Wahl, wenn:

  • Dokumente aus rechtlichen Gründen aufbewahrt werden müssen (z. B. Verträge, Rechnungen)
  • Historische Aufzeichnungen einen fortlaufenden geschäftlichen Wert haben
  • Eine vollständige Löschung andere rechtliche Verpflichtungen verletzen würde

So schwärzen Sie PDF-Dokumente für die DSGVO-Konformität

Viele Organisationen speichern personenbezogene Daten in PDF-Dokumenten, die aufgrund rechtlicher oder geschäftlicher Anforderungen nicht einfach gelöscht werden können. In diesen Fällen wird sichere PDF-Schwärzung unerlässlich.

Ordnungsgemäße PDF-Schwärzungstechniken

Viele Menschen denken, sie könnten einfach Text in PDF-Dateien schwärzen, um sensible Informationen zu schützen, aber dieser Ansatz ist nicht sicher. Text, der geschwärzt erscheint, kann möglicherweise noch wiederhergestellt werden, was gegen die DSGVO-Anforderungen verstößt. Eine ordnungsgemäße PDF-Schwärzung erfordert das dauerhafte Entfernen der zugrunde liegenden Textdaten, nicht nur das visuelle Abdecken.

Wenn Sie Text dauerhaft aus PDF entfernen müssen, befolgen Sie diese Richtlinien:

  • Verwenden Sie geeignete Schwärzungswerkzeuge: Verlassen Sie sich nicht auf einfaches Hervorheben oder Abdecken von Text
  • Überprüfen Sie die Vollständigkeit der Schwärzung: Prüfen Sie, ob die zugrunde liegenden Textdaten tatsächlich entfernt wurden
  • Testen Sie Wiederherstellungsversuche: Stellen Sie sicher, dass geschwärzte Informationen nicht durch Kopieren-Einfügen oder Textauswahl wiederhergestellt werden können
  • Bewahren Sie die Dokumentintegrität: Stellen Sie sicher, dass geschwärzte Dokumente lesbar und verwendbar bleiben

Erstellung DSGVO-konformer Verfahren

Um die DSGVO-Konformität zu gewährleisten, erstellen Sie Verfahren, die Folgendes beschreiben:

  • Wann Daten gelöscht oder geschwärzt werden sollten
  • Wer für den Prozess verantwortlich ist
  • Wie die Löschung oder Schwärzung durchgeführt wird
  • Wie die Fertigstellung überprüft wird
  • Ob der Prozess automatisch oder manuell erfolgt

Beispiel: Wenn ein Kunde die Löschung von Daten beantragt, könnte Ihr Verfahren sowohl das Löschen von Datenbankeinträgen als auch das Schwärzen seiner Informationen aus archivierten PDF-Verträgen umfassen.

Das Recht auf Vergessenwerden

Jeder hat das Recht, seine Informationen löschen zu lassen, wenn sie nicht mehr erforderlich sind. Gemäß DSGVO bedeutet dies oft:

  • Löschen personenbezogener Daten aus aktiven Systemen
  • Schwärzen von Namen und Identifikatoren aus archivierten Dokumenten
  • Sicherstellen, dass auch Backup-Systeme Löschanforderungen erfüllen

Umgang mit Backups und Archiven

Backups und archivierte Dokumente stellen besondere Herausforderungen für die DSGVO-Konformität dar:

  • Digitale Backups: Können gelöschte Informationen enthalten, die bereinigt werden sollten
  • Physische Dokumente: Können physische Vernichtung oder sichere Aufbewahrung erfordern
  • Dokumentarchive: Wenn eine Löschung aufgrund des Werts der Dokumente keine Option ist, kann dauerhafte Schwärzung eine praktikable Alternative sein
  • Compliance-Überprüfung: Regelmäßige Audits zur Gewährleistung der Wirksamkeit von Schwärzung und Löschung

Praktische Tools für die DSGVO-Konformität

Für Organisationen, die sensible Informationen aus einer großen Anzahl von Dokumenten schwärzen müssen und gleichzeitig die DSGVO-Konformität wahren, können spezialisierte Tools helfen:

  • redactpdf.io: Professioneller PDF-Schwärzungsdienst für die DSGVO-Konformität entwickelt
  • Redact Folders: Unternehmenslösung mit clientseitigen Integrationen und Stapelverarbeitung für mehrere Dokumente

Diese Tools stellen sicher, dass personenbezogene Daten dauerhaft aus Dokumenten entfernt werden und die DSGVO-Anforderungen für den Datenschutz erfüllen.

Best Practices für die DSGVO-Konformität

  • Legen Sie klare Löschfristen für alle personenbezogenen Daten fest, die Sie verarbeiten
  • Dokumentieren Sie Ihre Lösch- und Schwärzungsverfahren
  • Stellen Sie sicher, dass gelöschte Daten nicht von unbefugten Personen wiederhergestellt werden können
  • Erfüllen Sie gesetzliche Aufbewahrungspflichten und schützen Sie gleichzeitig personenbezogene Daten
  • Regelmäßige Compliance-Audits zur Sicherstellung der Einhaltung von Verfahren
  • Schulen Sie Mitarbeiter in ordnungsgemäßen DSGVO-konformen Lösch- und Schwärzungstechniken
  • Erwägen Sie Schwärzung als Alternative, wenn eine vollständige Löschung nicht möglich ist

Fazit

Die DSGVO-Konformität erfordert geeignete Tools und Verfahren sowohl zum Löschen personenbezogener Daten aus Systemen als auch zum sicheren Schwärzen von Informationen aus Dokumenten, die aufbewahrt werden müssen. Der Schlüssel besteht darin, sicherzustellen, dass sensible personenbezogene Informationen dauerhaft und unwiederbringlich entfernt werden, wenn sie nicht mehr benötigt werden, sei es durch vollständige Löschung oder sichere Schwärzungstechniken.

Looking for a Redaction Solution?

Try redactpdf.io – our free and dedicated redaction tool that makes redacting documents secure and effortless. Built-in AI features automatically identify personal data for quick and reliable redaction.

Try now Get started