Die Datenschutzstelle des Fürstentums Liechtenstein hat kürzlich eine Empfehlung zur Vernichtung von Personendaten veröffentlicht. Das Dokument ist als PDF unter folgendem Link abrufbar: www.llv.li/files/dss/pdf-llv-dss-empfehlung-vernichtung-von-daten.pdf. Wie auch der Entwurf des schweizerischen DSG unterscheidet die Empfehlung zwischen der “Löschung” und der “Vernichtung” der Daten. Sie definiert die Begriffe wie folgt:
Unter Löschung wird die unwiederbringliche Zerstörung oder Unkenntlichmachung und damit die irreversible Entfernung von in Datensammlungen gespeicherten personenbezogenen Daten verstanden. Dies bedeutet, dass zuvor vorhandene Personendaten nach dem Vorgang des Löschens – dem Löschprozess – nicht mehr vorhanden oder unkenntlich sind und nicht mehr rekonstruiert werden können. Ein allfälliger Datenträger kann nach dem Löschen in der Regel erneut beschrieben und verwendet werden.
Bei der Vernichtung werde zusätzlich auch der Datenträger selbst zerstört:
Umgangssprachlich wird von Vernichtung gesprochen, wenn mit den Informationen oder dem Personenbezug auch der Datenträger selbst zerstört wird.
Das Dokument lehnt sich naheliegenderweise an die DSGVO an und geht vom selben Löschungsbegriff aus. Dieser wird in der DSGVO zwar nicht definiert; die DSGVO versteht unter einer Löschung aber ebenfalls einen Vorgang, der eine Wahrnehmung der im Datum verkörperten Information ohne unverhältnismässigen Aufwand ausschliesst (wobei es nicht nur auf die Möglichkeiten des Verantwortlichen ankommt).
Der Entwurf des DSG enthält keine Legaldefinition von Vernichtung oder Löschung. Die Botschaft äussert sich dazu aber wie folgt:
Der Begriff «Vernichten» ist stärker als der Begriff «Löschen» und impliziert, dass die Daten unwiderbringlich zerstört werden. Wenn die Daten auf Papier vorhanden sind, ist dieses zu verbrennen oder zu schreddern. Schwieriger gestaltet sich die Datenvernichtung bei elektronischen Daten. Wurden die Daten mittels einer CD oder eines USB-Sticks übermittelt, muss einerseits der Datenträger unbrauchbar gemacht werden und andererseits sind alle Kopien so zu behandeln, dass die Daten auch nicht mehr lesbar gemacht werden können. Bei Personendaten, die im Anhang eines E‑Mails übermittelt wurden, müssen auch allfällige Zwischenspeicherungen dieses E‑Mails vernichtet werden. Übliche Löschbefehle oder eine reine Umformatierung stellen keine Vernichtung, sondern eine Löschung dar.
Es bestehen erhebliche Unterschiede zur DSGVO und zur Empfehlung aus Liechtenstein: Nach der Botschaft genügen schon “übliche Löschbefehle” für eine Löschung. Das wird dadurch unterstrichen, dass sich die “Vernichtung” als definitive Löschung nicht nur auf Datenträger bezieht – wie in der Empfehlung von Liechtenstein -, sondern auch auf Daten. Das bestätigt im Umkehrschluss, dass die “normale” Löschung keine definitive Löschung darstellt. Das hält die Botschaft im Anschluss an den Leitentscheid BVGE 2015/13 klar so fest.
Interessanterweise verlangt der Entwurf des DSG nirgends ausdrücklich eine Vernichtung; er spricht jeweils von “Vernichtung oder Löschung”. Damit dürfte es jeweils dem Verantwortlichen überlassen bleiben, ob er “löscht” oder “vernichtet”, in Anwendung der Grundsätze der Datensicherheit und damit auf Grundlage einer Risikoeinschätzung.
Für Unternehmen, die sich im Implementierungsprozess befinden, ist das eine gute Nachricht: Wird der DSGVO-Standard als Konzernstandard verankert, was aus operationellen Gründen und rechtlichen Risikoerwägungen häufig ist, wird im Bereich der Löschungskonzepte keine Anpassung für das DSG erforderlich.