16. Datensicherheit
16.1
Probleme der Löschung von Daten am Beispiel von WORM-Platten
16.1.1
Nutzung von WORM-Platten
16.1.1.1
Ausgangslage
In der Datenverarbeitung gibt es eine Reihe von Problemen, an deren Lösung seit vielen Jahren gearbeitet wird. Dazu gehört die Registratur mit dem elektronischen Archiv. Für das elektronische Archiv müssen insbesondere folgende Ziele erreicht werden:
- Es müssen sehr große Datenbestände gespeichert werden können.
- Ein jederzeitiger Zugriff berechtigter Personen auf die Daten muß gewährleistet sein, wobei geringfügige Abstriche bei den Antwortzeiten akzeptiert werden.
- Die gespeicherten Daten müssen authentisch sein, d.h. sie dürfen nicht geändert werden können.
- Die Daten müssen über lange Zeiträume (zehn und mehr Jahre) lesbar bleiben.
- Es sollte möglich sein, Belege zu archivieren, d.h. die Vorlagen müssen originalgetreu wiedergegeben werden (Faksimile).
Für diese Zielsetzung hat sich in den letzten Jahren eine technische Alternative ergeben, die erstaunliche Möglichkeiten bietet: die sog. WORM-Platten (Write-Once-Read-Many). Bei diesen Speichermedien handelt es sich um Scheiben, die CDs ähneln, deren Durchmesser aber größer sein kann. Sie können einmal beschrieben werden und sind dann nicht mehr (beliebig) änderbar. Der Schreibvorgang erfolgt durch einen Laserstrahl mit hoher Kapazität, der "Löcher" in eine Schicht der Platte brennt bzw. chemische Änderungen herbeiführt. Wenn der Laserstrahl mit geringer Kapazität die Platte abtastet, werden die Änderungen erkannt. Die Speicherkapazität einer 30 cm durchmessenden Scheibe beträgt derzeit ca. 6,5 Giga-Byte (das entspricht etwa 3 Millionen Seiten Schreibmaschinentext oder ca. 100.000 als Faksimile gespeicherten Dokumenten). Darüber hinaus sind die Platten sogar robuster als die üblichen Magnetplatten. Bei immer mehr DV-Verfahren wird daher die Nutzung dieser Technik vorgesehen.
16.1.1.2
Eine Anwendung
Mitte des Jahres konnte ich mir ein DV-Verfahren ansehen, das ganz wesentlich auf Möglichkeiten von WORM-Platten zurückgreift. Das Verfahren wird von einer Agentur zur Vermittlung von Führungskräften entwickelt, könnte hinsichtlich der eingesetzten Technik aber ebensogut in einer hessischen Behörde anzutreffen sein. Kernstück ist eine Archivierungskomponente, bei der Schriftstücke als Grafik gespeichert werden. Die Schriftstücke können am Bildschirm angezeigt, ausgedruckt oder per Telefax versandt werden. Zusätzlich werden zu den einzelnen Vorgängen noch Stammdaten gespeichert.
In den Abläufen ist vorgesehen, alle eingehenden und ausgehenden Schriftstücke zu speichern, auch die von Erstbewerbern. Zumindest diesen Personen wäre nicht bekannt, daß alle Unterlagen bei Posteingang eingelesen (gescannt) werden. Sollte eine Bewerbung nicht erfolgreich sein oder zurückgezogen werden, so ist beabsichtigt, die Daten zu löschen.
16.1.1.3
Das Problem: Der Löschvorgang
Bei genauerer Betrachtung können sich im Zusammenhang mit der Löschung von Daten, die auf einmal beschreibbaren Datenträgern wie WORM-Platten gespeichert sind, datenschutzrechtliche Probleme ergeben. Im dargestellten Fall läuft eine Löschung wie folgt ab:
Auf dem Datenträger gibt es einen Datenteil, auf dem Nutzdaten gespeichert werden, sowie einen Verzeichnisteil. Im Verzeichnisteil wird hinterlegt, an welcher Stelle welche Daten gespeichert sind. Sollen nun Daten gelöscht werden, so wird im Verzeichnisteil ein Eintrag erzeugt, der besagt, daß bestimmte Daten als gelöscht zu interpretieren sind und daher überlesen werden müssen. Der Datenteil bleibt unverändert.
Um die Zugriffe auf den Datenträger durchführen zu können, wird ein aktuelles Verzeichnis geführt. Dieses Verzeichnis wird erzeugt, indem der Verzeichnisteil des Datenträgers gelesen und das aktuelle Abbild der Daten erstellt wird. Im vorliegenden Fall tauchen die "gelöschten" Daten daher nicht mehr auf, obwohl sie noch vorhanden sind. Wenn der Datenträger unter Umgehung des Verzeichnisses gelesen werden kann, stehen die Daten wieder im Zugriff.
In der geplanten Anwendung bleiben die Daten auf den Datenträgern faktisch gespeichert. Wenn man die Frage stellt, ob das Verfahren in der geplanten Technik zulässig sein kann, ist es angebracht, sich Begriffe und Probleme, die beim Löschen von Daten auftreten, in Erinnerung zu rufen.
16.1.2
Begriffsbestimmungen
16.1.2.1
Löschen
Im Hessischen Datenschutzgesetz (HDSG) und in ähnlicher Form auch in den anderen Datenschutzgesetzen werden Begriffe erläutert, die bei der Verarbeitung personenbezogener Daten wichtig sind. § 2 Abs. 2 Nr. 5 HDSG definiert das Löschen von Daten als "Unkenntlichmachen gespeicherter Daten". Der Begriff "Unkenntlichmachen" besitzt kein technisches Äquivalent. Es wurde daher versucht, Umschreibungen zu finden. In einer Kommentierung heißt es, daß "... die Kenntnis der Daten für jedermann zu jeder Zeit tatsächlich unmöglich sein muß" (Auernhammer BDSG 2. Aufl. 1981 S. 2 Rdnr. 13).
In den DIN 44300 Teil 8 (Informationsverarbeitung; für Begriffe Verarbeitungsfunktion) wird Löschen als "Daten auf einem Datenträger oder Daten in einem Speicher vernichten" definiert. In einer Anmerkung werden Beispiele wie Überschreiben, Versetzen in einen physikalischen Grundzustand oder Entfernen der Daten aus ihrer Umgebung und Schließen der Lücke genannt.
Nach diesen Definitionen ist vor dem Hintergrund der technischen Gegebenheiten die Löschung im Ausgangsfall nicht gegeben, denn es ist lediglich durch Software, die geändert werden kann, der Zugriff unterbunden. Es ist denkbar, daß der Anbieter der WORM-Platte und des Laufwerks über das Wissen und die Möglichkeiten verfügt, auf gelöschte Daten zuzugreifen, wenn die Platte zur Verfügung steht. Man kann sogar noch weitergehen und feststellen, daß die derzeit praktizierten Umsetzungen einer Löschung bei DV-Verfahren meist nicht in diesem Sinne durchgeführt werden. Logische Löschungen genügen den Definitionen eigentlich nie, und selbst eine physische Löschung erfüllt diesen Anspruch bei strenger Auslegung oft nicht (vgl.
16.1.3.2).
Angesichts immer besserer Analysetechniken und der je nach Schutzbedürftigkeit der Daten unterschiedlichen Schutzziele wird im Entwurf der DIN 33858 ("Löschen von schutzbedürftigen Daten auf magnetischen Datenträgern") für magnetische Datenträger nicht mehr der Anspruch erhoben, daß eine Reproduktion der Daten unmöglich sein muß. Vielleicht wird als Ziel einer Löschung definiert, daß "...der Zustand der physikalischen Darstellung durch äußere Feldeinflüsse (Magnetfeld) so verändert wird, daß eine Reproduktion der Daten unmöglich oder weitgehend erschwert wird".
16.1.2.2
Logisches Löschen
Je nach dem Speichermedium kann das sog. logische Löschen unterschiedlich realisiert werden:
- Wiederbeschreibbare Datenträger Die zu löschenden Daten (ganze Datensätze oder Dateien) werden dadurch unkenntlich gemacht, daß sie als gelöscht gekennzeichnet werden. Dies kann geschehen, indem Verzeichniseinträge unkenntlich gemacht werden, Pointer (interne Zeiger) zurückgesetzt werden oder ein Löschkennzeichen gesetzt wird. Die Bereiche, in denen die Daten gespeichert sind, werden in der Regel zum Überschreiben freigegeben. (Dieser Kompromiß zum physischen Löschen durch Überschreiben wurde gewählt, da der Zeitaufwand für das Überschreiben großer Datenmengen bei einem Rechner, an dem viele Benutzer arbeiten, nicht akzeptiert werden konnte.) Ein bekanntes Beispiel ist das Löschen von Dateien unter MS-DOS, bei dem lediglich das erste Zeichen des Verzeichniseintrags mit einem Sonderzeichen ("?") überschrieben wird. Durch das Betriebssystem MS-DOS wird dann die Datei als nicht mehr vorhanden interpretiert. Sollen einzelne Datenfelder gelöscht werden, so geschieht dies meistens durch Überschreiben mit neuem Inhalt (physisches Löschen).
- Einmal beschreibbare Datenträger Wie schon oben beschrieben, wird aus den Einträgen im Verzeichnisteil des Datenträgers auf dem Rechner ein aktuelles Verzeichnis der Daten erstellt. Soll eine Löschung erfolgen, so wird als neuer Eintrag ein Löschvermerk vorgenommen, der bei der Generierung des aktuellen Verzeichnisses den Verweis auf die Daten überschreibt. Die Datenbereiche bleiben erhalten.
16.1.2.3
Physisches Löschen
Beim physischen Löschen von Daten gibt es unterschiedliche Möglichkeiten. Sollen nicht alle auf einem Medium gespeicherten Daten gelöscht werden, so geschieht dies üblicherweise durch Überschreiben, was nur bei wiederbeschreibbaren Datenträgern möglich ist (Übrigens: auch einmal beschreibbare Datenträger können in einzelnen Fällen so behandelt werden, vgl. 16.1.3.2). Statt einzelne Daten auf einem Datenträger unkenntlich zu machen, kann es auch angebracht sein, die gesamten gespeicherten Daten unkenntlich zu machen. Dies kann durch Überschreiben, Entmagnetisieren oder Zerstören erfolgen.
16.1.3
Probleme
Bei der Frage, ob eine bestimmte Art, Daten zu löschen, datenschutzgerecht ist, muß das Ausmaß der Gefährdung geklärt und in Relation zur Sensibilität der Daten gesetzt werden. Dabei muß u.a. geklärt werden, wer mit welchem Aufwand die Daten rekonstruieren kann.
16.1.3.1
Logische Löschung
Es liegt in der Definition einer logischen Löschung (die Daten sind noch gespeichert; sie sind lediglich als gelöscht gekennzeichnet), daß die prinzipielle Möglichkeit der Rekonstruktion immer besteht. Handelt es sich um einen wiederbeschreibbaren Datenträger, so bedeutet eine logische Löschung, daß die als gelöscht gekennzeichneten Bereiche zum Überschreiben freigegeben sind. In Abhängigkeit von der Art der Speicherbereiche und dem zur Verfügung stehenden Speicherplatz kann ein Überschreiben kurzfristig erfolgen, nach längerer Zeit stattfinden oder muß erst im Rahmen eines Reorganisationslaufes angestoßen werden. Beispiele hierfür sind:
- Temporäre Speicher Die freigegebenen Speicher werden meist kurzfristig überschrieben (physische Löschung). Der Benutzer muß nicht eingreifen.
- Dateien Je nach dem verfügbaren Speicherplatz erfolgt ein Überschreiben kurzfristig oder erst nach längerer Zeit. Ein Eingriff ist normalen Benutzern oft nicht möglich. Es gibt in vielen Fällen aber die Möglichkeit, ein physisches Löschen durch Überschreiben zu veranlassen.
- Datenfelder oder einzelne Datensätze Diese bleiben in der Regel erhalten und sind lediglich mit einem Löschkennzeichen versehen. Ein Überschreiben erfolgt erst nach einem Reorganisationslauf. Bei Datenfeldern hängt es von der Anwendung ab, ob sie bei Änderungen sofort überschrieben werden. Viele Betriebssysteme enthalten Hilfsprogramme, oder es gibt Zusatzprogramme zu den Betriebssystemen (UTILITIES, TOOLS), die eine Rekonstruktion noch nicht überschriebener Dateien ermöglichen; dies gilt analog auch für Datenbanken. Dabei wird einem hoffentlich kleinen Personenkreis (Systemverwalter, Datenbankadministratoren etc.) diese Möglichkeit eingeräumt. Es gibt allerdings Fälle, beispielsweise bei MS-DOS PCs, in denen derartige Programme weitverbreitet sind. Handelt es sich um einmal beschreibbare Speicher, so sind die Daten in jedem Fall weiter vorhanden. Solange der Datenträger noch existiert, ist es mit einem gewissen Aufwand auch möglich, auf die Daten zuzugreifen.
Eine logische Löschung kann, unabhängig von der Sensibilität der Daten, im Grundsatz dann nicht datenschutzgerecht sein, wenn es mit geringem Aufwand möglich ist, gelöschte Daten zu rekonstruieren. Sie ist auch nicht ausreichend, wenn ein Datenträger entsorgt oder im Rahmen eines Datenträgeraustausches genutzt wird.
Wird im täglichen Betrieb eines DV-Systems mit dem logischen Löschen von Daten gearbeitet, ist es eine Mindestanforderung, daß der "normale" Benutzer die durch ein Betriebssystem vorgetäuschte Löschung nicht umgehen kann. Wird der Speicherplatz ferner mit einer nicht zu großen zeitlichen Verzögerung überschrieben, so kann das Ergebnis einer logischen Löschung in den meisten Fällen akzeptiert werden.
In der eingangs beschriebenen technischen Konstellation muß im Einzelfall geprüft werden, ob die Löschung ausreichend ist. Neben den Fragen nach der Sensibilität der Daten und den tatsächlichen Zugriffsmöglichkeiten, spielt es auch eine Rolle, wie die Entsorgung der Platten erfolgt und in welchen Zeiträumen Reorganisationsabläufe stattfinden (vgl. Ziff. 16.1.3.2 letzter Absatz).
16.1.3.2
Physisches Löschen
Das physische Löschen von Datenträgern ist im Ergebnis wirksamer als ein logisches Löschen. Es ist daher anzustreben, daß in möglichst vielen Fällen so verfahren wird. Zu den Verfahren selbst ist anzumerken:
- Entmagnetisieren Bei magnetisierbaren Datenträgern gibt es die Möglichkeit, eine Löschung durch Entmagnetisieren durchzuführen. Dabei muß die Stärke des Magnetfeldes, mit dem die Löschung erfolgt, in Abhängigkeit vom Material des Datenträgers gewählt werden, damit es keine Möglichkeit gibt, die gelöschten Daten zu rekonstruieren. Im Entwurf der DIN 33858 ("Löschen von schutzbedürftigen Daten auf magnetischen Datenträgern") wurden die Abhängigkeiten dadurch berücksichtigt, daß als Mittel, um die Wirkung eines Löschgerätes festzustellen, Prüfbänder mit entsprechenden physikalischen Eigenschaften vorgesehen sind. Wenn die Entmagnetisierung korrekt erfolgt, d.h. bei einer ausreichenden Dämpfung (also eine dem jeweiligen Material und den Analysemethoden angepaßten Magnetfeldstärke), kann eine Rekonstruktion ausgeschlossen werden. Es ist dabei durch regelmäßige Kontrollen sicherzustellen, daß das Gerät noch richtig funktioniert, da anders als beim Zerstören eine Prüfung durch Augenschein nicht möglich ist. Im Prinzip ist diese Form der Löschung datenschutzgerecht.
- Überschreiben Beim Überschreiben bleiben Restinformationen über die vorher gespeicherten Daten erhalten, die aber nur mit einem erheblichen technischen (und damit finanziellen) Aufwand ausgewertet werden können. Durch mehrmaliges Überschreiben kann die Restinformation so weit minimiert werden, daß eine Rekonstruktion ausgeschlossen werden kann. In den meisten Fällen führt eine Formatierung des Datenträgers (der Datenträger wird zur Nutzung in seinen Grundzustand versetzt) zum gleichen Ergebnis. Es kann aber zu Schwierigkeiten führen, wenn eine Formatierung das Ergebnis nicht herbeiführt. Bei MS-DOS in der Version 5.0 führt der FORMAT-Befehl nur bei Angabe des Parameters/U die Formatierung einer Diskette so aus, daß eine Rekonstruktion der Daten nicht mehr möglich ist. Ohne Eingabe des Parameters ist eine Formatierung im Ergebnis nur eine logische Löschung! Zu WORM-Platten muß angemerkt werden, daß sie in gewissen Konstellationen "mehrfach beschreibbar" sein können. In Fachzeitschriften wurde ein Verfahren beschrieben, mit dem auch eine Manipulation von Daten möglich sein soll. Bevor eine Schreiboperation auf einer WORM-Platte beginnt, wird bei einigen Herstellern ein "Blank-Check" vorgenommen, d.h. es wird geprüft, ob an der vorgesehenen Stelle, einem Sektor, bereits Daten gespeichert sind. Wenn der "Blank-Check" ausgeschaltet wird, könnte der Sektor ein zweites Mal beschrieben werden. Es würden neue "Löcher" erzeugt, die alten "Löcher" jedoch bestehen bleiben. In diesem Fall würden die Prüfbits i.d.R. nicht mehr stimmen und den Sektor als fehlerhaft ausweisen. Wenn jetzt mit geänderten Daten versucht wird, den Sektor zu beschreiben, würde zuerst festgestellt, daß er fehlerhaft ist und zu einem Reservesektor verzweigt. Dort würden dann die geänderten Daten gespeichert und bei folgenden Lesezugriffen als echte Daten angezeigt. In der Betrachtung der Löschproblematik ist wesentlich, daß in diesem Fall gespeicherte Daten durch Überschreiben unkenntlich gemacht werden könnten. Derzeit ist ein Löschen nicht möglich, weil die Software, die die WORM-Platte steuert, die überschriebenen Daten als fehlerhaft interpretieren würde. Die wenigen Reservesektoren der Platte würden dann für Fehlerkorrekturmaßnahmen in Anspruch genommen. Innerhalb kurzer Zeit wäre die Platte unbrauchbar. Die Software der WORM-Platten ist derzeit nicht in der Lage, die prinzipielle Möglichkeit des Löschens umzusetzen. Hier könnten die Anbieter eine Möglichkeit zum physischen Löschen von Daten erarbeiten.
- Zerstören Ein Datenträger kann in jedem Fall dadurch "gelöscht" werden, daß man ihn zerstört. Ob diese Form der Löschung im jeweiligen Fall datenschutzgerecht ist, hängt u.a. von dem Aufwand ab, mit dem aus den Resten eine Rekonstruktion von Daten möglich ist. Für Papier und Mikrofilm kann hier auf die DIN 32757 ("Vernichtung von Informationsträgern") verwiesen werden, in der Regelungen getroffen sind. Wenn geplant ist, Magnetdatenträger oder optische Speichermedien zu zerkleinern, muß beachtet werden, daß die Speicherkapazitäten sehr groß sind. So können Magnetbandkassetten derzeit ca. zwei Seiten Schreibmaschinentext auf einen Zentimeter Band speichern oder optische Speichermedien bis zu 1.000 Seiten je Quadratzentimeter. Auch wenn bezweifelt werden muß, daß es viele Fälle gibt, in denen technische Geräte zur Verfügung stehen, mit denen aus derartigen Resten eine Rekonstruktion erfolgen kann, muß die Möglichkeit ins Kalkül gezogen werden. Bei neuen Analysetechniken und für sensible Daten können sich ungeahnte Konsequenzen ergeben. Die Grundsätze der DIN 32757, die für Papier und Mikrofilme gelten, können nicht ohne weiteres übernommen werden.
Während es bei wiederbeschreibbaren Datenträgern mehrere Möglichkeiten gibt, eine physische Löschung durchzuführen, bleibt bei nicht wiederbeschreibbaren Datenträgern in der Regel nur der Weg, den Datenträger zu zerstören, nachdem aktuelle Daten auf einen anderen Datenträger kopiert wurden.
16.1.3.3
Weitere Probleme
Ein weiteres Problem besteht darin, bei der Löschung bestimmter Daten diese tatsächlich an allen Stellen zu löschen, an denen sie gespeichert sind.
Einerseits betrifft dies Sicherungen von Dateien, die in vielen Kopien vorhanden sein können, andererseits kommen die Daten evtl. in Dateien oder Datenbeständen vor, an die man nicht denkt. Werden beispielsweise Daten mit einem Datenbankmanagementsystem verwaltet, so werden Logdateien (Protokolle von Änderungen in Datenbanken) geführt, die es erlauben, Datenbanken zu rekonstruieren. In diesen Logdateien befinden sich Kopien von Änderungen in einer Datenbank. So werden Abbilder von Datensätzen vor und nach einer Löschung gespeichert. Es ist nicht möglich, aus diesen Logdateien Teile zu löschen oder Sperrvermerke vorzunehmen, weil es dann nicht mehr möglich wäre, mit den Logdateien die Datenbank zu rekonstruieren. Ähnlich sieht es mit Systemprotokollen aus, die in Rechenzentren zu Abrechnungszwecken benutzt werden. Die Daten werden noch so lange benötigt, wie es erforderlich sein kann, zur Fehlerklärung auf die Abrechnungsdaten zuzugreifen. Oft beinhalten die Protokolle auch personenbezogene Daten über Benutzer, wie Zeitpunkt der An- und Abmeldung am System. Diese Daten werden dann ebenso lange wie die Abrechnungsdaten gespeichert.
16.1.4
Zusammenfassung
In die Bewertung, ob eine vorgesehene Löschung datenschutzgerecht ist, muß die Angemessenheit einfließen. Als Ziel einer Löschung ist anzusehen:
Es darf nicht oder nur mit einem von der Sensibilität der Daten abhängigen, hohen technischen, zeitlichen und finanziellen Aufwand möglich sein, gelöschte Daten zu rekonstruieren.
Als Regelfall der Löschung ist die physische Löschung anzustreben. In diesem Zusammenhang muß beachtet werden, daß
beispielsweise der Formatbefehl des Betriebssystems MS-DOS 5.0 mit dem Parameter/U ausgeführt werden muß, damit eine physische Löschung erfolgt. Es sind Fälle denkbar, in denen auch eine logische Löschung akzeptiert werden kann. Dabei ist aber eine Prüfung im Einzelfall vorzunehmen. Es sollte das Ziel sein, im Rahmen eines Entsorgungskonzepts zu klären, wie durch eine Kombination von logischer Löschung, Überschreiben, Entmagnetisierung, Zerstörung oder einer nachgeschalteten Entsorgung zu erreichen ist, daß gelöschte Daten nicht rekonstruiert werden können.
Um die datenschutzrechtlichen Probleme bei der Löschung von auf WORM-Platten gespeicherten Daten minimieren zu können, sind die Anbieter gefordert, Möglichkeiten zu erarbeiten, mit denen doch eine physische Löschung durchgeführt werden kann.