Communication Security Establishment Canada Standard CSEC ITSG-06
Der „Communication Security Establishment Canada Standard CSEC ITSG-06“ ist ein softwarebasierter Standard zur Datenlöschung der Communication Security Establishment Canada (CSEC), der regierungseigenen kanadischen Kryptographiebehörde. Er wird in verschiedenen Akten- und Datenvernichtungsprogrammen verwendet, um vorhandene Informationen auf einer Festplatte oder einem anderen Speichermedium zu überschreiben. Der CSEC ITSG-06 Standard wurde ursprünglich in der IT Sicherheit Richtlinie zur Löschung und Deklassierung von elektronischen Datenspeichergeräten von der CSEC definiert.
Wie funktioniert die Datenlöschmethode?
Die CSEC ITSG-06 Datenlöschmethode besteht aus drei Durchgängen. Im ersten Durchlauf werden die Daten mit einer Null oder Eins überschrieben, im zweiten mit dem gegenteiligen Zeichen, d.h. wenn im ersten Durchlauf eine Eins geschrieben wurde, so wird im zweiten eine Null geschrieben bzw. andersherum. Im dritten Durchlauf werden die Daten mit einem zufälligen Zeichen überschrieben und es erfolgt abschließend eine Überprüfung des Schreibvorgangs.
Die CSEC ITSG-06 Methode ist identisch mit der Datenbereinigungsmethode NAVSO P-5239-26. Sie ist auch der DoD 5220.22-M Methode ähnlich, außer dass die CSEC ITSG-06 Methode die ersten zwei Schreibvorgänge nicht überprüft.
Die meisten Programme, die diese Methode verwenden, erlauben es dem Benutzer sie zu bearbeiten. Beispielsweise können in einem vierten Durchlauf mehrere zufällige Zeichen hinzugefügt werden. Es ist allerdings zu beachten, dass Änderungen dieser Löschmethode zu einer Methode führen könnten, die nicht länger als Löschstandard des CSEC ITSG-06 zu qualifizieren ist.
Durch das Löschen einer Festplatte mit dem „Communication Security Establishment Canada Standard CSEC ITSG-06“ sollte eine softwarebasierte und hardwarebasierte Datenwiederherstellung unmöglich sein. Dadurch können Sie sichergehen, dass ihre Daten auch tatsächlich gelöscht sind.
Sichere Datenlöschung nach Art. 17 Abs. 1 DS-GVO
Art. 17 DS-GVO gehört zu den Vorschriften über die Rechte der betroffenen natürlichen Personen, soweit deren Daten von der DS-GVO geschützt werden. Eine sichere Datenlöschung ist daher erforderlich, um das Recht des Einzelnen auf Schutz seiner personenbezogenen Daten zu wahren. Art. 17 Abs. 1 DS-GVO gibt der betroffenen Person das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogenen Daten unverzüglich gelöscht werden, und der Verantwortliche ist dazu verpflichtet, diese personenbezogene Daten unverzüglich zu löschen.
Art. 17 Abs. 1 DS-GVO zählt sechs Fallgruppen auf, in denen der Verantwortliche auf Antrag des Betroffenen zum Löschen der personenbezogenen Daten verpflichtet ist. Nach lit. a müssen die Daten gelöscht werden, wenn die Verarbeitung nicht mehr der Zweckerfüllung dient, beispielsweise das Vertragsverhältnis beendet ist und auch kein vertragsähnliches Vertrauensverhältnis mehr besteht. Denn so entfällt die Notwendigkeit für die Datenverarbeitung. Im Arbeitnehmerverhältnis kann ein ausgeschiedener Arbeitnehmer die Entfernung seiner persönlichen Daten aus dem Internetauftritt sowie seiner benutzten IT-Geräte verlangen, so Schaffland und Holthaus (in: Schaffland/Wiltfang, Datenschutz-Grundverordnung, Kommentar, Erich Schmidt Verlag, 2017). Art. 17 Abs. 1 DS-GVO gewährt jedoch auch die Datenlöschung bei Widerruf der Einwilligung (lit. b). Gleiches gilt auch bei lit. c im Falle eines Widerrufs bezüglich der Verarbeitung der Daten des Betroffenen. Dies gilt jedoch nur, wenn nach Art. 21 Abs. 1 DS-GVO vorrangig berechtigte Gründe des Verantwortlichen für die Verarbeitung vorliegen. Art. 17 Abs. 1 lit. d DS-GVO regelt, dass Daten gelöscht werden müssen, wenn ihre Verarbeitung, insbesondere ihre Erhebung, Speicherung und Nutzung, unrechtmäßig erfolgt bzw. durchgeführt wurde. Der Löschungsgrund aus Art. 17 Abs. 1 lit. e DS-GVO besteht dann, wenn die Löschung zur Erfüllung einer rechtlichen Verpflichtung aus dem unionsweiten oder den nationalen Recht erforderlich ist. Lit. f gibt ein Recht zur Löschung personenbezogener Daten für eine Datenerhebung nach einer als Kind abgegebenen Einwilligung.
Liegen die Voraussetzungen von Art. 17 Abs. 1 DS-GVO vor, so ist vom Verantwortlichen eine unverzügliche Löschung der personenbezogenen Daten vorzunehmen. Löschen bedeutet die Unkenntlichmachung gespeicherter personenbezogener Daten. Der Anspruch ist auf den Löschungserfolg gerichtet, d. h. die Informationen auf einem Datenträger dürfen in üblichen Datenwiederherstellungsverfahren nicht mehr gewonnen werden. Die Löschung soll zu einem absoluten Nutzungsverbot der Daten führen. Der Verantwortliche muss daher die Maßnahme ergreifen, die sicher zu dem erforderlichen Löschungserfolg führt.
Ein Verstoß gegen Art. 17 DS-GVO kann ansonsten zu einer Geldbuße führen. Ein solcher fällt unter die strengste Kategorie des Art. 83 DS-GVO Abs. 5 lit. b DS-GVO.
Wie helfen wir Ihnen dabei?
Durch das mehrmalige Überschreiben einer Festplatte mit der CSEC ITSG-06 Methode wird verhindert, dass Geschäftsgeheimnisse, Passwörter und weitere wichtige Dokumente und personenbezogenen Daten der gebrauchten IT-Altgeräte ausgespäht werden können. Da ein ausgeschiedener Arbeitnehmer die Entfernung seiner persönlichen Daten auf der von ihnen benutzten IT-Geräte verlangen kann, ist eine Löschung personenbezogener Daten auf allen ausgemusterten gewerblich genutzten IT-Altgeräten, insbesondere auf gebrauchten Computern und Handys, von Nöten. Die Datenlöschung der Remarketing Company gewährleitet eine vollständige und sichere Vernichtung der ursprünglichen Daten und schafft so Vertrauen zu Ihrem Unternehmen.