Datenschutzkonform personenbezogene Daten Schwärzen

12. September 2024

Das Schwärzen von Dokumenten ist eine häufig eingesetzte Methode, um personenbezogene Daten vor der Weitergabe oder Veröffentlichung unkenntlich zu machen. Doch dabei treten immer wieder Fehler auf, die schwerwiegende Datenschutzverstöße zur Folge haben können.  Der Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) hat deshalb am 30.08.2024 eine Mitteilung veröffentlicht, in der er auf die häufigsten Fehlerquellen eingeht und aufzeigt, wie man datenschutzkonform personenbezogene Daten Schwärzen kann.

Wann ist das Schwärzen von Dokumenten erforderlich?

Das Schwärzen von Dokumenten kann aus verschiedenen Gründen notwendig sein. Neben der Sicherung von Geschäfts- oder Berufsgeheimnissen, kann das Ausschwärzen von gewissen Informationen auch eine gute Methode sein, um die unbefugte Weitergabe von personenbezogenen Daten entgegen der Datenschutzgrundverordnung (DSGVO) zu vermeiden. Dann handelt es sich um eine technische und organisatorische Maßnahme gemäß Art. 32 DSGVO. Dabei muss jedoch genau geprüft werden, ob die Daten auch tatsächlich durch das Schwärzen unlesbar geworden sind.

Richtige Nutzung von Software

Digitale Software-Programme für PDF- und Office-Dokumente, bieten zahlreiche Optionen, Textstellen zu schwärzen. Verwenden Nutzer hierbei jedoch die falsche Methode, können die Inhalte weiter lesbar sein. So können etwa Textpassagen, die nur visuell und nicht auch technisch abgedeckt sind, leicht wiederhergestellt werden, indem der Text kopiert und in einen Texteditor eingefügt wird. Eine visuelle Schwärzung etwa mit einem schwarzen „Texthervorhebungstool“ von Word auf schwarzer Schrift, reicht in der Regel nicht.

Lösung

Um sicherzustellen, dass die Daten tatsächlich entfernt werden, sollten Verantwortliche das Schwärzen technisch korrekt durchführen. Nutzer sollten sich deshalb mit den verschiedenen Schwärzungsfunktionen vertraut machen und eine richtige Anwendung sicherstellen. Wenn geeignete Programme fehlen oder Verantwortliche sich bei der Durchführung unsicher sind, besteht auch die Möglichkeit eine digitale Schwärzung vorzunehmen, das Dokument auszudrucken und dann wieder einzuscannen. Ebenso kann das Dokument auch händisch geschwärzt werden und dann eingescannt werden.

Unabhängig von der Wahl der Methode, empfiehlt der SDTB anschließend, „gründlich auf Schwärzungslücken [zu] prüfen“ und sicherzustellen, „dass die Schwärzungen [sich] nicht aufheben lassen“. Im Übrigen sei zu beachten, dass Online-Programme „weitere datenschutzrechtliche Risiken nach sich“ ziehen können, weshalb ein lokales Dateibearbeitungsprogramm die vorzugswürdigere Wahl sein könnte.

Entfernung von Metadaten

Zudem ist zu beachten, dass nicht nur sichtbare Textstellen, sondern auch Metadaten in digitalen Dokumenten personenbezogene Informationen enthalten können.

Metadaten sind versteckte Informationen, die in Dateien gespeichert werden und Details über die Datei selbst enthalten, wie z.B. Erstellungsdatum, Autor, Standort oder Bearbeitungsverlauf.

Lösung

Der SDTB empfiehlt Metadaten zu überprüfen und bei Bedarf mit entsprechenden Programmen zu löschen. Da Metadaten auch die Änderungshistorie enthalten können, sollte man gerade bei geschwärzten Dokumenten, die Datei nicht im Originalformat weiterreichen, sondern beispielsweise eine .docx-Datei zu einem PDF-Dokument umwandeln. Falls die Datei bearbeitbar sein muss, könne man auch den gesamten geschwärzten Inhalt in ein neues Office-Dokument einfügen. Allein das Kopieren der Datei reicht nicht.

Schwärzen auf Papier

Auch bei Papierdokumenten reiche das Schwärzen mit einem Stift nicht immer aus. Wurde die Ausschwärzung nicht ordentlich durchgeführt, kann der Text etwa durch das Halten gegen eine Lichtquelle oder unter Einsatz von Bildbearbeitungstools, die den Kontrast erhöhen, weiter erkannt werden.

Lösung

Laut der Mitteilung des SDTB solle man deshalb sicherstellen, dass die Schwärzungen wirklich deckend sind und keine Informationen durchscheinen. Insbesondere ist hierzu ein geeigneter Stift erforderlich. Im Übrigen kann man zur Sicherheit doppelte Schwärzungen vornehmen.

Richtiges Abdecken von Bildern

Müssen auf Bildern personenbezogene Daten, wie Gesichter oder Nummernschilder unkenntlich gemacht werden, greifen laut dem SDTB viele zu Unschärfeeffekten in Bildbearbeitungsprogrammen. Der SDTB erklärt jedoch, dass es sich hierbei um eine eher unsichere Methode handelt, da Programme unter Einsatz von Künstlicher Intelligenz unscharfe Bildbereiche teilweise wiederherstellen können.

Lösung

Eine vorzugswürdigere Methode sei das Einfügen von schwarzen Balken oder anderen undurchsichtigen Flächen. Im nächsten Schritt sei das bearbeitete Bild in einem Format wie JPG zu speichern, um sicherzustellen, dass die Originalinformationen nicht rekonstruiert werden können.

Fazit

Das Schwärzen personenbezogener Daten ist eine unverzichtbare Praxis im Datenschutz, birgt jedoch zahlreiche Fallstricke. Verantwortliche müssen sicherstellen, dass sowohl digitale als auch analoge Dokumente korrekt geschwärzt werden, um die Persönlichkeitsrechte der Betroffenen zu schützen und rechtlichen Sanktionen zu entgehen. Eine gründliche Kenntnis der möglichen Fehlerquellen und ein sorgfältiges Vorgehen ist hierbei unerlässlich.