U.S. Army AR380-19
Der Datenlöschstandard der U.S. Army AR380-19 ist ein von der amerikanischen Armee spezifiziertes und veröffentlichtes Verfahren zur Überschreibung vorhandener Informationen auf einer Festplatte oder einem anderen Speichermedium. Dieses softwarebasierte Datenlöschverfahren wurde ursprünglich in der Verordnung „Army Regulation 380-19“ durch die amerikanische Armee veröffentlicht. Unklar ist, ob die Armee dieses Datenbereinigungsverfahren heute noch einsetzt. Jedenfalls ist die AR380-19 Methode noch Bestandteil der meisten Datenlöschprogramme und wird somit weiterhin verwendet.
Wie funktioniert die Datenlöschmethode?
Die AR380-19 Datenlöschmethode besteht aus drei Durchläufen. Zuerst werden die Daten mit einem Zufallswert überschrieben, dann mit einem bestimmten Wert (z.B. einer Null) und anschließend mit dessen Komplement (z.B. einer Eins). Abschließend erfolgt im dritten Durchlauf die Überprüfung des Schreibvorgangs.
NAVSO P-5239-26 und CSEC ITSG-06 sind fast identisch zu AR 380-19, außer dass die drei Durchgänge unterschiedlich angeordnet sind. Bei NAVSO P-5239-26 und CSEC ITSG-06 ist das erste ein definiertes Zeichen, das zweite ist das Komplement zu dem vorherigen Zeichen und im dritten Durchlauf erfolgt das Schreiben eines zufälligen Zeichens mit abschließender Verifizierung.
Es ist möglich bei einigen Programmen die Durchläufe anzupassen. So ist es beispielsweise möglich im vierten Durchlauf zufällige Zeichen zu schreiben, aber keine Überprüfung durchzuführen. Es ist allerdings zu beachten, dass Änderungen dieser Löschmethode zu Methoden führen könnten, die nicht länger als AR380-19 Löschstandard zu qualifizieren sind.
Werden Datenträger mit der AR380-19 Datenlöschmethode gelöscht, kann in aller Regel weder mit einer software- noch mit einer hardwarebasierten Datenwiederherstellungsmethode eine Datenwiederherstellung durchgeführt werden. Dadurch können Sie sichergehen, dass ihre Daten auch tatsächlich gelöscht sind.
Sichere Datenlöschung nach Art. 17 Abs. 1 DS-GVO
Art. 17 DS-GVO regelt das Recht der betroffenen Person auf Löschung seiner personenbezogenen Daten. Eine sichere Datenlöschung ist nach Art. 17 Abs. 1 DS-GVO erforderlich, um das Recht des Einzelnen auf Schutz seiner personenbezogenen Daten zu wahren. Der Betroffene hat das Recht, vom Verantwortlichen eine Löschung seiner Daten zu verlangen, den Verantwortlichen trifft eine unverzügliche Pflicht zur Löschung.
In Art. 17 Abs. 1 DS-GVO sind sechs Tatbestände beschrieben, die einen Löschungsanspruch des Betroffenen zur Folge haben. Der erste mögliche Grund besteht darin, dass die Daten nicht mehr für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, notwendig sind (Art. 17 Abs. 1 lit. a DS-GVO). Nach Art. 17 Abs. 1 lit. b DS-GVO besteht eine Löschpflicht, wenn der Betroffene seine ursprünglich erteilte Einwilligung widerruft und es an einer anderweitigen Rechtsgrundlage für die Verarbeitung seiner Daten fehlt. Art. 17 Abs. 1 lit. c DS-GVO legt dem Verantwortlichen eine Löschpflicht auf, wenn die betroffene Person Widerspruch gegen die Verarbeitung personenbezogener Daten einlegt und keine vorrangigen berechtigten Gründe für die Verarbeitung vorliegen. Eine Löschpflicht besteht ebenso bei unrechtmäßiger Verarbeitung personenbezogener Daten (Art. 17 Abs. 1 lit. d DS-GVO). Eine Verarbeitung ist unrechtmäßig, wenn sie gegen die Vorgaben der DS-GVO verstößt. Das Recht auf Löschen personenbezogener Daten besteht nach Art. 17 Abs. 1 lit. e DS-GVO auch, wenn es zur Erfüllung einer rechtlichen Verpflichtung nach dem Recht der Europäischen Union oder Mitgliedstaaten erforderlich ist. Art. 17 Abs. 1 lit. f DS-GVO regelt das Recht auf Löschung der Daten von Kindern.
Soweit eine der oben genannten Gründe vorliegt, ist eine unverzügliche Löschung durch den Verantwortlichen vorzunehmen, d.h. innerhalb von zwei Wochen (so Paal in: Paal/Pauly, Datenschutz-Grundverordnung Bundesdatenschutzgesetz, Kommentar, C.H. Beck, 2017). Löschen ist als das Unkenntlichmachen gespeicherter personenbezogener Daten zu definieren. Als Löschung wird zum einen die physische Vernichtung bzw. Unbrauchbarmachung der personenbezogenen Daten sowie die technische Löschung von elektronischen Daten gesehen. Eine Löschung im technischen Sinn meint einen Vorgang, nach dessen Ende auf die Daten bzw. deren Inhalt nicht mehr mit den üblichen Verfahren zurückgegriffen werden kann, da der Datenträger überschrieben wurde. Nach der Löschung darf es niemandem ohne unverhältnismäßig hohen Aufwand möglich sein, auf die Daten zuzugreifen. Ziel ist, dass die personenbezogenen Daten nicht mehr verarbeitet bzw. ohne übermäßig hohen Aufwand wiederhergestellt werden können.
Wie helfen wir Ihnen dabei?
Das Recht auf Löschung bzw. die Verpflichtung zur Löschung personenbezogener Daten ist als Ausdruck des Grundsatzes der Datenminimierung zu verstehen. Deshalb müssen personenbezogene Daten gelöscht werden, wenn diese von dem Verantwortlichen nicht mehr benötigt werden. Eine sichere Löschung ist nur durch das mehrmalige Überschreiben gewährleistet. So wird mit der AR380-19 Methode verhindert, dass Geschäftsgeheimnisse, Paswörter und weitere wichtige Dokumente und personenbezogenen Daten gebrauchter IT-Altgeräte ausgespäht werden können. Um dem unionsweiten Datenschutz gerecht zu werden und eine Beeinträchtigung der Grundrechte anderer zu verhindern und Vertrauen zu Ihrem Unternehmen zu schaffen, nimmt die Remarketing Company eine revisionssichere Datenlöschung auf Ihren ausgemusterten Informationstechnologie-Produkten für Sie vor.