Navy Staff Office Publication NAVSO P-5239-26

Der Navy Staff Office Publication NAVSO P-5239-26 ist ein Standard zur Datenlöschung der US-Navy. Es ist eine softwarebasierte Datenbereinigungsmethode, die in verschiedenen Akten- und Datenvernichtungsprogrammen verwendet wird. Dabei werden vorhandene Informationen auf einer Festplatte oder einem anderen Speichermedium überschrieben. Die meisten Datenvernichtungsprogramme unterstützen neben NAVSO P-5239-26 auch noch weitere Datenbereinigungsmethoden. Es ist unklar, ob die US-Navy NAVSO P-5239-26 immer noch als softwarebasierten Datenbereinigungsstandard verwendet.

Wie funktioniert die Datenlöschmethode?

Der Standard gilt für MFM- und RLL-kodierte Laufwerke. Die gängige NAVSO P-5239-26 Datenlöschmethode besteht aus drei Durchläufen. Im ersten Durchlauf werden die Daten mit einem definierten Zeichen, z.B. einer Eins, überschrieben. Im zweiten Durchlauf werden die Daten mit dem Gegenstück des definierten Zeichens, z.B. einer Null, überschrieben.. Im dritten Durchlauf werden die Daten mit einem zufälligen Zeichen überschrieben. Zudem wird der Schreibvorgang überprüft.

Die meisten Datenvernichtungsprogramme implementieren diese Methode („alternate method“). Allerdings gibt es auch noch eine wirksamere Methode („preferred method“). Diese beinhaltet allerdings ein kompliziertes Überschreibmuster. Dazu werden die Daten zunächst mit einer Eins überschrieben. Dann folgt eine hierarchische Überschreibung mit Bits von Eins und Null. Dieses Muster muss für alle adressierbaren Datenblöcke wiederholt werden. Zuletzt erfolgt die Ausgabe eines Verschlüsselungsalgorithmus. Eine genauere Beschreibung dazu findet sich in 3.3.c.1 und in 3.3.c.2 der NAVSO-Publikation 5239-26.

Das Verfahren zum Löschen durch Überschreiben besteht darin ein Datenmuster auf alle Datenspeicherorte auf dem Medium zu schreiben. Das Überschreiben einer Festplatte mit der NAVSO P-5239-26 Datenlöschmethode verhindert eine softwarebasierte Datenwiederherstellung. Auch eine hardwarebasierte Datenwiederherstellung oder eine Extrahierung von Daten sollte im Regelfall nicht mehr möglich sein. Sie können sichergehen, dass ihre Daten auch tatsächlich gelöscht sind.

Sichere Datenlöschung nach Art. 17 Abs. 1 DS-GVO

Art. 17 Abs. 1 DS-GVO regelt einen klassischen Löschungsanspruch des Betroffenen gegen den Verantwortlichen und gilt damit als zentrales Recht der betroffenen Person. Eine sichere Datenlöschung ist deshalb nach Art. 17 Abs. 1 DS-GVO erforderlich, um das Recht des Einzelnen auf Schutz seiner personenbezogenen Daten zu wahren. Art. 17 Abs. 1 DS-GVO ist vergleichbar mit der Löschungsvorschriften aus § 20 Abs. 2 und § 35 Abs. 2 S. 2 BDSG.

In Art. 17 Abs. 1 DS-GVO werden sechs Löschungsgründe genannt (lit. a bis f). Dazu zählt der Wegfall der Notwendigkeit zur Zweckerfüllung (lit. a),der der Verwirklichung der Grundsätze der Datenminimierung und der Speicherbegrenzung aus Art. 5 Abs.1 c und e DS-GVO dienen soll. Vom Widerruf der Einwilligung (lit. b) ist sowohl der Widerruf einer Einwilligung in die Verarbeitung allgemeiner personenbezogener Daten nach Art. 6 Abs. 1 lit. a DS-GVO als auch die Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 DS-GVO umfasst. Der Widerspruch gegen die Verarbeitung (lit. c) erfasst den Widerspruch nach Art. 21 Abs. 1 DS-GVO gegen die Verarbeitung personenbezogener Daten und den Widerspruch gegen die Datenverarbeitung zum Zwecke der Direktwerbung nach Art. 21 Abs. 2 DS-GVO. Art. 17 Abs. 1 lit. d DS-GVO normiert ein Löschungsgrund, wenn die Daten unrechtmäßig verarbeitet wurden. Der Löschungsgrund aus Art. 17 Abs. 1 lit. e DS-GVO besteht dann, wenn die Löschung zur Erfüllung einer rechtlichen Verpflichtung aus dem unionsweiten oder den nationalen Recht erforderlich ist, d. h. dass die Löschungspflicht in einer Rechtsnorm geregelt ist oder aus arbeitsgerichtlicher Rechtsprechung stammt, so Herbst (in: Kühling/Buchner- Datenschutzgrundverordnung: DS-GVO, Kommentar, C.H. Beck, 2017). Der Schutz von Kindern beim Umgang mit ihren personenbezogenen Daten wird in Art. 17 Abs. 1 lit. f DS-GVO geregelt. Der Löschungsanspruch steht demjenigen zu, der im Kindesalter in die Erhebung und Verarbeitung seiner personenbezogenen Daten in Bezug auf angebotene Internetdienste eingewilligt hat.

Liegt einer dieser Löschungsgründe vor, so steht dem Betroffenen ein Löschungsanspruch gegen den Verantwortlichen zu. Die Löschung hat unverzüglich zu erfolgen. Dies bedeutet, dass der Verantwortliche die Daten spätestens innerhalb eines Monats nach Eingang des Löschantrags gelöscht haben muss, so Herbst (in: Kühling/Buchner- Datenschutzgrundverordnung: DS-GVO, Kommentar, C.H. Beck, 2017). Der Anspruch auf Löschung nach Art. 17 Abs. 1 DS-GVO kann aber auch ohne ein Antrag der betroffenen Person eine Pflicht zur Löschung begründen. Denn Art. 17 Abs. 1 DS-GVO normiert auch eine Löschungspflicht des Verantwortlichen unabhängig vom Löschungsanspruch der betroffenen Person. Der Verantwortliche muss regelmäßig prüfen, ob ein Löschungsgrund vorliegt. Sollte dies der Fall sein, muss er die betroffene Person über die mögliche Löschung informieren und ihr Gelegenheit geben, die Daten nicht zu löschen sondern nur ihr Recht auf Einschränkung der Verarbeitung geltend zu machen.

Inhalt des Löschungsanspruchs ist die Löschung, d. h. das Unkenntlichmachen gespeicherter personenbezogener Daten. Entscheidend ist das Ergebnis der Löschung, nämlich die Unmöglichkeit, die zuvor verkörperten Informationen wahrzunehmen. Es darf niemandem ohne unverhältnismäßig hohen Aufwand möglich sein, die betreffende Information nach dem Löschvorgang noch wahrzunehmen. Bei wieder beschreibbaren Datenträgern, so z.B. Festplatten, muss ein tatsächliches Überschreiben der Daten mit neuen Daten oder mit einem Überschreibmuster zum Zweck des Löschens erfolgen. In solchen Fällen kann der Einsatz spezieller Löschsoftwares bzw. Datenlöschprogrammen notwendig sein. Auch kann der Datenträger physisch zerstört werden oder die Löschung von Verknüpfungen oder Codierungen erfolgen. Das bloße Entsorgen des Datenträgers ist kein Löschen, da eine Kenntnisnahme der Information durch andere Personen weiterhin für möglich gehalten wird.

Wie helfen wir Ihnen dabei?

Eine sichere Datenlöschung ist nur gewährleistet, wenn ein Datenträger mehrmals überschrieben wurde. Das vollständige Überschreiben führt zu einer Vernichtung der ursprünglichen Daten und eine Wiederherstellung dieser ist nicht mehr möglich. Mit der NAVSO P-5239-26 Methode wird verhindert, dass personenbezogene Daten nach dem Entsorgen gebrauchter IT-Altgeräte ausgespäht werden können. Um dem unionsweiten Datenschutz der DS-GVO gerecht zu werden, nimmt die Remarketing Company für Sie eine revisionssichere Datenlöschung auf den von Ihnen ausgemusterten Datenträgern vor und schafft so Vertrauen zu Ihrem Unternehmen.