Sicheres löschen von Daten. (DSGVO)

[AlexDS218+]

Hallo ich hoffe mir kann hier jemand helfen.

Laut der DSGVO muss ich ja nach gewisser Zeit Kunden Daten unwiderruflich löschen ( Daten sicher löschen sodass man sie auch mit recovery tools nicht mehr wiederhergestellten kann).
Prinzipiell läuft es ja auch der NAS genauso wie am PC ab oder?
Beim Löschen wird die Datei einfach aus dem Inhaltsverzeichnis des Dateisystems entfernt und taucht nicht mehr auf.
Auf der Platte ist sie technisch aber noch vorhanden.
Allerdings ist ihr Speicherplatz zum Überschreiben freigegeben (alles was nicht im Inhaltsverzeichnis steht gilt als frei zum Überschreiben).
Das heißt, sobald jetzt eine neue Datei auf den Speicherbereich (oder Teile davon) der gelöschten Datei geschrieben wird sind die Daten der Datei teilweise oder ganz weg.
Erst dann ist die Datei wirklich zerstört und kann nicht wiederhergestellt werden.
Jetzt weiß ich aber ich nicht wann und ob das passiert.
Gibt es eine Möglichkeit die Daten die im Inhaltsverzeichnis nicht erscheinen sicher zu löschen ohne die anderen Daten zu gefährden?

Danke für die Hilfe.

LG

 

[Synchrotron]

???

So lange das Gerät, auf dem die Daten liegen, unter Kontrolle ist, gibt es m.E. keinen Grund für irgendwelche radikalen Löschoperationen. Die DSGVO fordert da nichts, was nicht vorher schon gefordert worden wäre.

Wenn dir deine Kundendaten wichtig sind, gehe ich zunächst einmal davon aus, dass deine Verzeichnisse mit sensiblen Daten ordentlich verschlüsselt sind. Gleiches gilt für deine Backups. Dann kann bei einem nicht legalen Datenzu- oder -abgriff schon mal nichts ausgelesen werden. Das gilt auch dann, wenn eine Datei zur Löschung vorgemerkt ist - die ist dann immer noch verschlüsselt. Das ist ohne die Schlüssel nur Datenschnee, was man da lesen kann.

Wenn du ganz HDDs austauschst, kannst du sie nehmen, wie sie sind, und an einem PC mit einem beliebigen Löschprogramm malträtieren. Es gibt genügend Freeware, die bis hin zu militärisch sicheren Überschreibroutinen alles bietet. Ähnliches ist in vielen Sicherheitssuiten integriert. Danach sind die Laufwerke clean, und können weiter verwendet oder auch verkauft werden. Im RAID auf einer Syno würde ich so etwas ungern machen, wg. Risiken und Nebenwirkungen.

Falls jemand dein Sicherheitskonzept durchbricht, und sich die Schlüssel aneignet, dann dürfte deine Sorge vermutlich eher den aktiven Datenbeständen gelten, die mit normalen Zugriffsoptionen lesbar sind, als irgendwelchen „toten“ Datenfragmenten, die man regenerieren müsste, um sie wieder zugreifbar zu machen.

 

[Arni]

Laut der DSGVO muss ich ja nach gewisser Zeit Kunden Daten unwiderruflich löschen (Daten sicher löschen sodass man sie auch mit recovery tools nicht mehr wiederhergestellten kann).

Wo hast du diese Aussage gefunden?

 

[AndiHeitzer]

Es gibt Tools, die 'freien' Speicherplatz gezielt mit 'neuen' Daten beschreiben, sei es mit '0' oder '1' oder randomized.

Das dürfte in meinen Augen aber nicht die Anforderung von DSGVO sein.


Ein Szenario:
- Bearbeiter arbeitet mit Kundendaten, die Rückschlüsse auf die Person zulassen.
- Die Kundendaten sind in unterschiedlichen Dateien oder Datenbanken enthalten.
- Regelmäßige Backups schonen das Nervenkostüm
- Die Backups haben eine Retentiontime von 6 Monaten.
- DSGVO verlangt ein zeitnahes Entfernen von Daten.

Selbst wenn der Bearbeiter dafür sorgt, dass die Kundendaten aus seinen Beständen entfernt werden, kann es passieren, dass aus einem Backup Daten zurückgeholt werden müssen. Macht dann z.B. der Administrator.
Wer stellt denn nun sicher, dass dort dann die Daten von bereits entfernten Kunden nicht wieder hergestellt werden?
Der Admin kann ja nicht ahnen, wann ein Kunde rausfliegt. Er kann auch nicht prüfen, welche Kunden nicht mehr genutzt werden dürfen, weil Datenbanken in der Regel nur wieder komplett recovered werden können.

Ich kenne nicht mal im Ansatz einen Lösungsweg, der dies schafft.

Viel Spass bei der weiteren Diskussion

 

[ClearEyetemAA55]

Die Formulierungen der DSGVO gehen dahin das durch deren Schutzcharakter erfasste personenbezogene Daten nach dem Ende des Vertragsverhältnisses zu löschen sind, solange kein anderes Recht dem entgegen steht. Das ist umfassend und fordert demnach auch das die Informationen in Backups nicht mehr enthalten sein sollen. Wie das umzusetzen ist? Kein Plan

 

[AndiHeitzer]

Die Formulierungen der DSGVO gehen dahin das durch deren Schutzcharakter erfasste personenbezogene Daten nach dem Ende des Vertragsverhältnisses zu löschen sind, ...

Ja, so hatte ich das auch im Hinterkopf.

Das dies nicht zu Ende gedacht ist, zeigt ein weiteres Beispiel:
- Bearbeiter schreibt eine allfällige Rechnung an den Kunden. (Adressdaten sind zwingend erforderlich)
- Kunde möchte die Leistungen dort nicht mehr beziehen und beendet das Vertragsverhältnis.
- Bearbeiter entfernt ordnungsgemäß die Kundendaten aus seinem Bestand. (Da war doch was mit dem Backup? )
- Bearbeiter/Firma muss wegen dem Finanzamt die Rechnungen aber aufheben, ich meine das wären zehn Jahre? (Auweia, was mache ich nur mit den zu löschenden Kundendaten auf der Rechnung?)

Tolle Banane, dieses DSGVO-Konstrukt

 

[NSFH]

Ich empfehle sich mal richtig mit der DSGVO zu beschäftigen.
Auch solche Fälle sind darin vorgesehen. Personal- oder Rechnungsdaten sind von solchen Massnahmen ausgenommen, wenn gesetzliche Vorschriften dem widersprechen.
Das einzige sind wirklich die Backups die nachträglich nicht veränderbar sind. Hier stellt sich die Situation aber auch anders dar. Diese Daten stehen der aktiven Nutzung nicht mehr zur Verfügung. Der Verarbeiter muss nur (wie auch immer) sicherstellen, dass bei einem Recovery alte Löschaufträge, welche aus der DSGVO resultieren, erneut angewendet werden.

 

[Synchrotron]

Hier wird völlig überinterpretiert:

„Löschen“ heißt nur, dass die Daten für die Anwender, die damit arbeiten, nicht mehr im Zugriff sein dürfen. Die meisten CRM-Systeme laufen auf Datenbanken, die das dadurch umsetzen, dass die „gelöschten“ Datensätze mit einem Löschkennzeichen versehen werden. „Da“ sind sie immer noch. Dass ein Admin sie sehen kann, wenn er sie sucht, ist unerheblich, schwierig wird es, wenn er damit Unfug treibt. Erst wenn im Rahmen von Wartungsarbeiten die DB bereinigt wird, werden diese Datensätze tatsächlich gelöscht.

Wenn Kundendaten als Dateien abgelegt werden (das dürfte eher bei kleineren Unternehmen der Fall sein, die kein CRM einsetzen), gilt es analog. Da sorgt die Ordnerverschlüsselung dafür, dass gelöschte Dateien ohne besondere Admin-Tools nicht mehr lesbar sind.

Die Backups sind zunächst nicht relevant, weil sie nicht im normalen Zugriff stehen. Holt man ein Backup zurück, muss man eben schauen, wie man die zwischenzeitlich durchgeführten Bearbeitungen auf dem Originaldatensatz reproduziert, incl. Löschungen. 1 Tag alt - easy (mehr oder weniger ....) / 1 Woche - na ja / 1Monat - oooops. Ist das jetzt so neu, dass man aktuelle Backups durchführen sollte ?

Gesetzlich Aufbewahrungsfristen stehen den Anforderungen nie entgegen. Rechnungen z.B. müssen aufbewahrt werden - das muss für das FA Anforderungen (sicher, unveränderlich etc.) entsprechen, die gleichzeitig DSGVO-konform umsetzbar sind. Es darf halt niemand den Praktikanten hinsetzen, um aus den alten Rechnungen die Kundenadressen zu kopieren, um ihnen fröhliche Weihnachtsgrüße zu schicken.

 

[ClearEyetemAA55]

Es ist, so glaube ich, richtig das die DSGVO ein CRM/DMS praktisch unabdingbar machen wird. Der Aufwand für die Erstellung des, gemäß der DSGVO ebenfalls für einschlägige Informationen erforderlichen, Verarbeitungsverzeichnisses und der Sachverhalt rund um zu bereinigende Backups sind anders mit vertretbarem Aufwand nicht zu erfüllen.

Die Unterscheidung in: Anwender ungleich Administrator bzgl. des Dateizugriffs ist hingegen haarsträubend, auch wenn hier einfach noch mind. 10 Jahre Rechtsunsicherheit bestehen dürfte. Stichwort: Die Mühlen der Justiz mahlen langsam..
Schon der Ansatz das Administrator und Datenschutzverantwortlicher ein und die selbe Person sind, kann nur für solche Datensätze gelten, bei denen nicht besonders sensible und natürlich nach DSGVO einschlägige Daten betroffen sind.

 

[NSFH]

?????????
Die DSGVO regelt ausdrücklich, dass der DSGVO Beauftragte (und auch der IT-SiBe) keine Personalunion mit IT-administrativem Personal eingehen dürfen!
Von daher ist dein letzter Satz blanker Unsinn! Die Einstufung von Daten in PersDat 1-3 spielt da keinerlei Rolle.

 

[ClearEyetemAA55]

Ganz ruhig, ich habe das am Handy getippt und nicht nochmal Korrekturgelesen. Es fehlt in dem Satz einfach ein zweites „nicht“
Ausserdem werde ich die DSGVO sicher nicht erst im Wortlaut auswendig lernen, um hier etwas beitragen zu dürfen. Die Zeiten wo das anders war, waren mit dem Studienende endgültig vorbei. Heute reicht mir ein grundlegendes Verständnis für die Mechanism einer Verordnung. In dem Sinne fühle ich mich dann auch bestätigt, wenn Administrator und Datenschutzverantwortlicher nicht in personalunion benannt werden können.

Ich denke aber auch, hier steht eher die Frage im Raum wie weit Funktionen von DSM die Einhaltung der DSGVO unterstützen

 

[Synchrotron]

DSM ist ein Server-Betriebssystem. Von daher ist es nicht dafür ausgelegt, spezifische Anwendungsfälle abzubilden. Es ist eine Plattform, keine Anwendungssoftware.

Daher muss jeder Anwender -und noch mehr jeder Admin und Datenverantwortliche- selbst schauen, wie man Dinge aufstellt. Die Elemente dafür sind vorhanden:

- Zugriffsmechanismen
- Malware-Schutz
- Benutzerverwaltung
- Ordnerverschlüsselung
- Sichere Backupmethoden
- Firewall und VPN-Lösungen
Etc.

Das ist genügend Baumaterial, die DSGVO-Hütte muß man halt selbst konzipieren, aufrichten und bewohnbar machen.

 

[NSFH]

genau so isses!