Wie man datenschutzkonform löschen kann und welche technischen Methoden dafür zur Verfügung stehen
Im Gespräch mit Joerg Heidrich und Dr. Christoph Wegener
Matti Müller: Ihr Vortrag behandelt die Frage, wann genug gelöscht ist. Die DSGVO wird bereits seit 2018 angewandt. Warum ist diese Frage noch nicht eindeutig geklärt und was macht die Thematik so komplex?
Dr. Christoph Wegener: In unserem Vortrag geht es um die Frage, wie man datenschutzkonform löschen kann und welche technischen Methoden dafür zur Verfügung stehen. Da die IT aber insgesamt einem stetigen technischen Wandel unterworfen ist – man denke nur an die immer weiterwachsende Nutzung des Cloud-Computing – muss auch der Aspekt des Löschens von Daten regelmäßig neu betrachtet werden.
Matti Müller: Herr Dr. Wegener, Sie sind promovierter Physiker und Herr Heidrich, Sie arbeiten als Rechtsanwalt und Justiziar des Heise Verlags. Inwiefern ist zwischen einer technischen und der juristischen Sicht zu differenzieren und warum bietet es sich an, dass Sie den Vortrag gemeinsam halten?
Dr. Christoph Wegener: Im Bereich der technischen und organisatorischen Maßnahmen müssen Techniker und Juristen zusammenarbeiten, damit die gewählten Maßnahmen zum einen den rechtlichen Anforderungen entsprechen, zum anderen aber auch dem Stand der Technik genügen. Erst durch dieses Zusammenspiel können ja überhaupt die Anforderungen der DSGVO, insbesondere die des Art. 32 DSGVO, umgesetzt werden.
Joerg Heidrich: Christoph und ich arbeiten seit rund 15 Jahren gemeinsam an Themen im Grenzbereich zwischen juristischen und technischen Fragestellungen. Derartige Kooperationen sind leider viel zu selten, dabei wären sie aber dringend nötig. Insofern ist unsere Zusammenarbeit auch ein Plädoyer für mehr interdisziplinäre Kooperation, gerade im Bereich des technischen Datenschutzes.
Matti Müller: Welche praktischen Erfahrungen haben die Unternehmen bisher mit der Umsetzung der Löschungsvorschriften gemacht?
Joerg Heidrich: Die Einführung eines datenschutzkonformen Löschkonzepts stellt für jedes Unternehmen eine Herausforderung dar, insbesondere für den Mittelstand. Neben den rechtlichen und technischen Herausforderungen gilt es dabei auch Widerstände aus den Fachabteilungen zu überwinden. So gibt zum Beispiel keine Vertriebsabteilung gerne und freiwillig Kundendaten zur Löschung frei.
Matti Müller: Wie funktioniert die Überprüfung einer Löschung durch die Aufsichtsbehörden in der Praxis?
Dr. Christoph Wegener: Das ist zumindest auf organisatorischer Ebene auch aus der Ferne bspw. durch die Vorlage bzw. Prüfung der Löschkonzepte und Löschprotokolle oder einen Remote-Zugriff auf das Speichersystem möglich. Ob die Daten aber tatsächlich (physisch) auf dem Datenträger gelöscht wurden, kann in der Regel nur durch eine Begutachtung des betreffenden Datenträgers überprüft werden, die aber bei vielen Szenarien realistischerweise nicht umsetzbar ist.
Matti Müller: Wie würden Sie einem Mandanten kurz skizzieren, welche Anforderungen an eine Löschung bestehen?
Joerg Heidrich: Die rechtliche Notwendigkeit der Löschung von Daten hat man dabei schnell erklärt. Kompliziert wird es dann aber bei der Umsetzung: Welche Daten müssen genau wann gelöscht werden, wie muss das technisch geschehen, wie ist das Verhältnis der Löschpflicht zu Backups und Archiven? Das Erstellen eines sauberen Löschkonzepts ist für alle Seiten eine Herausforderung.
Matti Müller: Seit wann beschäftigen Sie sich vertieft mit der Thematik der Löschung und was macht diese für Sie so interessant?
Dr. Christoph Wegener: Das Thema begleitet mich und Joerg schon seit einigen Jahren und hat insbesondere durch die verbreitete Nutzung neuer (Cloud-)Technologien immer wieder an Aktualität gewonnen, was sich meiner Meinung nach auch so schnell nicht ändern wird. Es ist zudem einfach ein naheliegendes Thema für eine Zusammenarbeit von Technik und Recht.
Matti Müller: Was erhoffen Sie sich von dem 10. Deutschen IT-Rechtstag?
Dr. Christoph Wegener: Einen konstruktiven und vor allem auch interdisziplinären Austausch, insbesondere natürlich mit den Kollegen aus dem juristischen Bereich.
Matti Müller: Das Berufsbild IT-Recht entwickelt sich stetig weiter. Welche Schwerpunkte werden Ihrer Erwartung nach in Zukunft besondere Relevanz haben?
Joerg Heidrich: Die Technik schreitet rasant voran und es ist für jeden IT-Rechtler eine große Herausforderung und mit viel Einsatz verbunden, hier beständig am Ball zu bleiben. Das ganz große Thema für die nächsten Jahre ist generative KI. Das wird unsere Arbeit im juristischen Bereich ebenso verändern wie viele Teile der Gesellschaft und der Wirtschaft.
Matti Müller: Vielen Dank für das Interview.
Joerg Heidrich, Rechtsanwalt, Fachanwalt für IT-Recht, Justiziar Heise Medien, Hannover
Dr. Christoph Wegener, Berater für Informationssicherheit und Datenschutz, Inhaber wecon.it-consulting, Gevelsberg
Matti Müller, HK2 Rechtsanwälte