Dokumente, die personenbezogene Daten enthalten, müssen / sollen in bestimmten Situationen weitergegeben oder veröffentlicht werden, sei es im Rahmen von Gerichtsverfahren, bei Betroffenenanfragen oder bei der Bearbeitung durch externe Dienstleister. Damit bestimmte Informationen jedoch nicht in falsche Hände geraten, ist das datenschutzkonforme Schwärzen von Dokumenten eine essenzielle Maßnahme. Diese Maßnahme gehört zu den technisch-organisatorischen Maßnahmen, die gemäß Art. 32 DSGVO ergriffen werden müssen, um die Sicherheit der Datenverarbeitung zu gewährleisten.
Schwärzen im Sinne der DSGVO
Die DSGVO verfolgt das Ziel, den Schutz personenbezogener Daten zu sichern. Unter personenbezogenen Daten versteht die Verordnung alle Informationen, die sich auf eine identifizierbare Person beziehen, wie zum Beispiel Name, Adresse, Telefonnummer oder E-Mail-Adresse. Die Schwärzung personenbezogener Daten in Dokumenten ist insbesondere dann erforderlich, wenn diese Daten an Dritte weitergegeben werden sollen und die Empfänger nicht zur Kenntnisnahme berechtigt sind.
Beispiele zu Fortbildungsmaßnahmen oder auch Auswertungen zur Qualitätssteigerung gibt es reichlich. Hier einige Beispiele:
- Wunddokumentation
- Arbeitsunfälle
- Qualitätssicherung Produktion
- Fuhrparkmanagement
- Supervisionen
- Fallbesprechungen
Ungeeignete Methoden des Schwärzens
Es gibt verschiedene Methoden, um Daten in einem Dokument zu schwärzen, aber nicht alle sind effektiv. Eine der häufigsten Fehlerquellen ist das bloße Überdecken des Textes mit schwarzen Balken, sei es durch die Verwendung von Textmarker-Funktionen in Programmen wie z.B. Microsoft Word oder durch das Einfügen von Balken in PDF-Dokumente. Diese Methode ist unsicher, da technisch versierte Personen in der Lage sind, diese Überdeckungen zu entfernen und den ursprünglichen Text wiederherzustellen. Auch das Einfärben des Textes in derselben Farbe wie der Hintergrund führt zu einem ähnlichen Problem, da die ursprünglichen Daten bei einer einfachen Formatänderung wieder sichtbar werden können.
Technisch sicheres Schwärzen
Um das Schwärzen korrekt durchzuführen, sind spezielle Tools und Methoden erforderlich, die sicherstellen, dass die Informationen irreversibel entfernt werden. Ein geeignetes Schwärzen beinhaltet in der Regel das dauerhafte Entfernen oder Ersetzen der Daten, sodass sie nicht wiederhergestellt werden können. Zum Beispiel kann in Word-Dokumenten der Text durch „XXX“ oder andere Zeichen ersetzt werden, bevor das Dokument in ein PDF umgewandelt wird. Es ist auch wichtig, dass alle Metadaten, die u.a. Informationen über die Historie des Dokuments enthalten, ebenfalls gelöscht werden.
Es gibt spezialisierte Programme, die spezielle Werkzeuge zum Schwärzen anbieten, welche sicherstellen, dass der ursprüngliche Text nicht mehr wiederhergestellt werden kann. Wichtig ist jedoch, dass die eingesetzten Tools verifiziert sind und eine tatsächliche Schwärzung garantieren.
Hinweis: Online-Dienste, bei denen PDF-Dateien hochgeladen werden müssen, um darin im Browser bestimmte Bereiche schwärzen zu können, ziehen unter Umständen weitere datenschutzrechtliche Risiken nach sich. Daher ist genau zu prüfen, ob nicht ein lokal installierter PDF-Editor mit entsprechenden Funktionen zur Anonymisierung die bessere Wahl ist.
Schwärzung in Bildern
Nicht nur Textdokumente, sondern auch Bilder, wie etwa Screenshots, enthalten oft Daten, die geschwärzt werden müssen. Auch hier ist es wichtig, nicht einfach einen Balken über die Daten zu legen, sondern den betroffenen Bereich des Bildes komplett zu löschen. Ein sicherer Ansatz kann z.B. darin bestehen, das Bild in einem anderen Format zu konvertieren, dass keine Metadaten enthält und somit keinen Rückschluss auf die gelöschten Daten zulässt.
Hinweis: Werden sogenannte „Unschärfeeffekte in Grafikprogrammen“ eingesetzt, können mit Hilfe von Künstlicher Intelligenz die verschwommenen Inhalte durchaus rekonstruiert werden, daher gilt diese Methode aber als wenig sicher.
Schwärzen als Teil des Datenschutzmanagements
Wenn es um die Einführung technischer und organisatorischer Maßnahmen geht, denkt ein Verantwortlicher wahrscheinlich meist an die offensichtlichen Vorkehrungen, wie beispielsweise die Sicherung der Büroräume vor unbefugtem Zutritt oder das Sperren des Bildschirmes bei Abwesenheit des Nutzers, Passwortschutz für den Rechnerzugriff oder Backups. Die Mitarbeitenden über datenschutzkonformes digitales Schwärzen von Dokumenten zu informieren, ist möglicherweise keine geläufige Maßnahme. Es sollte aber nicht vergessen werden! Dazu gehört auch die Schulung der Mitarbeitenden im Umgang mit entsprechenden Software-Tools und die regelmäßige Überprüfung von Dokumenten auf korrekt durchgeführte Anonymisierung.
Rechtliche Implikationen und (mögliche) Sanktionen
Das Nichteinhalten der DSGVO, etwa durch unsachgemäßes Schwärzen von Dokumenten, kann erhebliche rechtliche Konsequenzen nach sich ziehen. Kommt es zu einem Datenschutzvorfall, kann dies u.U. zu Bußgeldern von Aufsichtsbehörden führen aber auch Abmahnungen von Wettbewerbern oder Schadenersatzansprüchen Betroffener könnten mögliche Konsequenzen sein.
Fazit
Das Schwärzen von Dokumenten ist ein wichtiger Prozess im Rahmen der DSGVO, um den Schutz personenbezogener Daten gewährleisten zu können. Um sicherzustellen, dass die geschwärzten Daten nicht wiederhergestellt werden können, müssen geeignete technische und organisatorische Maßnahmen ergriffen werden. Unsichere Methoden wie das Einfärben oder bloße Überdecken mit Balken sind nicht ausreichend. Stattdessen sollten spezielle Tools verwendet und das gesamte Dokument, einschließlich der Metadaten, gründlich überprüft werden. Schließlich sollten Unternehmen klare Richtlinien zur Schwärzung implementieren, um rechtliche Risiken möglichst minimieren zu können.
Für eine individuelle Beratung, zum Thema Schwärzen unter Berücksichtigung der DSGVO, nehmen Sie gern Kontakt zu uns auf.