Beim Teilen von Informationen mit Dritten oder der Öffentlichkeit ist es unerlässlich, das Need-to-Know-Prinzip zu befolgen. Dies dient nicht nur dem Schutz von Geschäfts- oder Berufsgeheimnissen, sondern ist auch aufgrund der DSGVO erforderlich, wenn personenbezogene Daten in Dokumenten vorhanden sind. Es muss sichergestellt werden, dass diese Daten vollständig und unwiderruflich entfernt wurden. Die sächsische Datenschutz- und Transparenzbeauftragte (SDTB) informiert, wie man Schwärzungen DSGVO-konform umsetzt. Hier die wichtigsten Punkte im Überblick.
Schwärzen schützt sensible Daten
Ein wesentliches Prinzip der DSGVO ist die Datenminimierung. Um diesem Prinzip nachzukommen, ist das Schwärzen von personenbezogenen Informationen als eine Technisch-Organisatorische Maßnahme (TOM) eine bewährte Methode. Besonders in Schulungen oder anderen Praxisbeispielen ist es oft nicht notwendig, reale Kundendaten zu verwenden. Bevor originale Dokumente weitergegeben oder veröffentlicht werden, sollten sensible Inhalte durch eine DSGVO-konforme Schwärzung unkenntlich gemacht werden.
Darüber hinaus bietet das Schwärzen eine Möglichkeit, auf unerwünschte personenbezogene Daten zu reagieren, die ohne Aufforderung übermittelt wurden. Weitere Informationen zu diesem Thema finden Sie in unserem Blogbeitrag über den Umgang mit aufgedrängten Daten.
Technische Umsetzung der Schwärzung
In der Praxis ist es wichtig, dass Schwärzungen korrekt ausgeführt werden, um versehentliche Offenlegungen zu vermeiden. Häufig wird ein Textabschnitt nur optisch überdeckt, bleibt aber weiterhin lesbar, wie die SDTB in ihrem Leitfaden erklärt. Selbst wenn Schriftarten oder Balken in der gesendeten Version nicht entfernt werden können, lässt sich der geschwärzte Text oft durch einfaches Markieren und Kopieren wieder lesbar machen.
Digitale Lösungen für das Schwärzen
Zur Überprüfung, ob eine Schwärzung technisch korrekt durchgeführt wurde, empfiehlt es sich, die Bedienungsanleitung der verwendeten Software zu konsultieren. Beispielsweise stellt Adobe Informationen zum Schwärzen von PDF-Dokumenten in Acrobat Pro zur Verfügung. Diese Funktion ist jedoch häufig nur in der kostenpflichtigen Version verfügbar. Alternativ kann spezielle Software zum Schwärzen verwendet werden. Dabei sollte darauf geachtet werden, dass die Software DSGVO-konform ist. Ein lokal installierter PDF-Editor bietet oft die sicherere und datenschutzfreundlichere Lösung. Es ist auch ratsam, vor dem Schwärzen eine Sicherheitskopie des Dokuments zu erstellen, um im Notfall auf die ursprünglichen Daten zugreifen zu können.
Analoge Methoden zum Schwärzen
Wenn digitale Lösungen nicht in Frage kommen, besteht die Möglichkeit, das Dokument digital zu schwärzen, es auszudrucken und anschließend erneut einzuscannen. Eine händische Schwärzung, zum Beispiel mit einem Filzstift oder durch das Abdecken von Textstellen, ist theoretisch ebenfalls möglich. Es muss jedoch sichergestellt werden, dass der geschwärzte Text nach dem Einscannen wirklich unlesbar ist. Ein Risiko besteht darin, dass der Text, wenn das Papier gegen das Licht gehalten wird, weiterhin erkennbar bleibt. Aufgrund solcher Risiken wird das Schwärzen mit einem Filzstift als ungeeignet für eine vollständige Anonymisierung betrachtet. Die italienische Datenschutzbehörde hat bereits ein Bußgeld verhängt, weil Gesundheitsdaten manuell unzureichend geschwärzt wurden.
Eine detaillierte Anleitung zum richtigen Schwärzen von Word- und PDF-Dokumenten ist auf der Hilfe-Seite der TUM zu finden.
Entfernung von Metadaten vor dem Versand
Dokumente enthalten oft unsichtbare Metadaten, die personenbezogene Informationen wie den Ersteller oder das Erstellungsdatum enthalten können. Diese Metadaten müssen vor dem Versand entfernt werden, wenn sie nicht sichtbar sein sollen. Besonders heikel wird es, wenn vorherige Versionen oder versteckte Kommentare in Office-Dokumenten wiederhergestellt werden können. Im schlimmsten Fall erhält der Empfänger dadurch Informationen, die für ihn nicht bestimmt waren. Auch hier ist der Blick in die Bedienungsanleitung der verwendeten Software hilfreich, um sicherzustellen, dass alle Metadaten entfernt wurden.
Eine weitere Möglichkeit, Metadaten zu entfernen, besteht darin, das Dokument in ein anderes Format, wie zum Beispiel PDF, zu exportieren.
Das sollte getan werden:
– Technisch korrektes Entfernen von Textstellen aus dem Dokument
– Einsatz einer speziellen Software zum Schwärzen, wie z.B. PDF24 Toolbox
– Dokument digital schwärzen, ausdrucken und wieder einscannen
– Speichern und Exportieren von Dokumenten als nicht bearbeitbare PDF
– Wechsel des Dateiformats, damit die Originaldaten nicht wiederhergestellt werden können
– Gründliche Überprüfung auf Schwärzungslücken vor dem Versenden
Das sollte vermieden werden:
– Nur die Hintergrundfarbe des Textes auf Schwarz setzen
– Eine Grafikmarkierung über den Text legen
– Wiederherstellbare Vorgängerversionen bei Word-Dokumenten
– Weitergabe eines geschwärzten Office-Dokuments im originalen Dateiformat (z.B. docx)
Fehler beim Schwärzen und mögliche Meldepflicht
Die SDTB empfiehlt dringend, Dokumente vor dem Versand auf unvollständige Schwärzungen zu überprüfen und sicherzustellen, dass sie nicht wiederhergestellt werden können. Wenn personenbezogene Daten trotz Schwärzung wieder zugänglich werden, handelt es sich um eine Verletzung des Datenschutzes. In solchen Fällen muss im Einzelfall geprüft werden, ob eine Meldepflicht besteht.
Bildrechte: kostenloses Bild von Pixabay: Sammler Dokumente Büro - Kostenloses Foto auf Pixabay - Pixabay
Inhaltslizenz: Zusammenfassung der Inhaltslizenz (pixabay.com)