Datenlöschung aus Backups
Die Datenschutz-Grundverordnung sieht in Artikel 5 grundsätzlich vor, dass Verantwortliche im Zuge der „Datenminimierung“ (Art. 5 Abs. 1 lit. c DS-GVO) nur die notwendigen Daten vorzuhalten haben und diese im Zuge der „Speicherbegrenzung“ (Art. 5 Abs. 1 lit. e DS-GVO) nur so lange speichern dürfen, wie es der Zweck erfordert. Gleichzeitig wird jedoch die „Integrität und Vertraulichkeit“ (Art. 5 Abs. 1 lit. f DS-GVO), also der Schutz der Daten vor unbeabsichtigtem Verlust oder Zerstörung, gefordert. Im Falle von Datensicherungen und Backups stellt sich nun die Frage, wie alle Pflichten miteinander vereinbar sind, wenn eine Person von ihrem Recht auf Löschung Gebrauch macht.
Das Recht auf Löschung
Sowohl Datenminimierung als auch Speicherbegrenzung erfahren durch das Recht auf Löschung (Art. 17 DS-GVO) eine Konkretisierung. Betroffene Personen haben das Recht, die von ihnen verarbeiteten personenbezogenen Daten unverzüglich löschen zu lassen, wenn diese nicht durch eine andere Rechtsvorschrift länger aufbewahrt werden müssen, wie z. B. Rechnungsdaten. Voraussetzung für die Löschung ist ein Antrag der betroffenen Person unter Benennung von einem der Löschgründe (Art. 17 Abs. 1 lit. a bis f DS-GVO). Daraus resultierend hat die verantwortliche Stelle die Daten unverzüglich zu löschen. Unverzüglich lässt sich am ehesten aus Art. 12 Abs. 3 Satz 1 DS-GVO ableiten, wonach spätestens einen Monat nach Eingang des Antrags der Betroffene zu informieren ist. Vermutlich kann auch hier eine Verlängerung der Frist gegenüber dem Betroffenen „beantragt“ bzw. „angemeldet“ werden, wenn es eine Begründung gibt. Grundsätzlich gilt jedoch, dass bei einem Antrag auf Löschung alle Daten des Betroffenen gelöscht werden müssen und nicht wiederherstellbar sein dürfen.
Die verantwortliche Stelle (oder der Datenschutzkoordinator oder Datenschutzbeauftragter) muss alle getätigten Maßnahmen zu einem Löschgesuch einer betroffenen Person für die Dokumentation verschriftlichen, um den Dokumentationspflichten nachzukommen.
Quelle: pixabay.com
Sicherheit der Verarbeitung
Der Grundsatz von Integrität und Vertraulichkeit verpflichtet Verantwortliche Sicherheit in der Verarbeitung zu gewährleisten, die in Art. 32 DS-GVO unter Nennung der Anforderungen an diese benannt werden. Ein Ziel ist dabei die Verfügbarkeit von Daten, die der Verantwortliche durch geeignete technische und organisatorische Maßnahmen gewährleisten muss. Aktuell geschieht dies primär durch die Erstellung regelmäßiger Backups. Deren Hauptzweck ist die Absicherung der vollständigen Verfügbarkeit von IT-Systemen und der darin enthaltenen Daten, die auch personenbezogene Daten umfassen. Nach aktuellem Stand der Technik sollten Backups integer und revisionssicher sein, um im Falle einer Wiederherstellung diese vollständige Verfügbarkeit gewährleisten zu können. Die Backups müssen in regelmäßigen Zyklen erfolgen. Häufig werden neben den täglichen Backups auch zusätzliche monatliche und jährliche Backups erstellt. Dies hängt immer vom internen Sicherheitskonzept ab.
Was bedeutet die Sicherheit der Verarbeitung im Verhältnis zum Recht auf Löschung?
Grundsätzlich ist der Verantwortliche verpflichtet die Daten eines Betroffenen zu löschen, wenn der Zweck erfüllt ist oder der Betroffene eine entsprechende Löschung gerechtfertigt verlangt. Ob sich diese Löschpflicht allerdings auch für Backups gilt, möchten wir im Folgenden beleuchten.
Art. 32 DS-GVO verpflichtet den Verantwortlichen Daten sicher vorzuhalten, während Art. 17 DS-GVO die Löschung innerhalb eines Monats vorsieht, wenn ein entsprechender Antrag eingeht. Die Grundsätze der Revisionssicherheit und Integrität hingegen verbieten es eine manuelle Löschung von einzelnen Daten aus Backups vorzunehmen. Vom Prinzip dürften Verantwortliche solche Backups also nur einen Monat speichern, um die zeitlichen Anforderungen des Art. 17 DS-GVO gerecht zu werden. Aus technischer Sicht sind jedoch Backups für unterschiedliche Zeiträume (wie bereits erwähnt: monatlich, jährlich, etc.) sinnvoll und entsprechend vorzuhalten. Eine derartige Ausnahme ist auch nicht in Art. 32 DS-GVO vorgesehen.
In Art. 17 Abs. 3 DS-GVO sind hingegen Ausnahmen von der Löschpflicht in Form einer Abwägung der unterschiedlichen Interessen aufgeführt. Diese Ausnahmen können beispielsweise die rechtlichen Verpflichtungen des Rechts der Union bzw. eines Mitgliedsstaates sein. Art. 32 DS-GVO ist grundsätzlich eine solche Verpflichtung, da aus dem Wortlaut des Artikels eine Erstellung von Sicherungskopien bzw. Backups zur Rechtspflicht wird. Wenn der Stand der Technik sowie der Zweck von Backups mit in die Betrachtung einbezogen wird, dürfte eine komplette Löschung von Daten aus den Backups nicht angemessen sein.
Abwägung der Interessen der Betroffenen
Neben dem Recht des direkt Betroffenen Kontrolle über seine Daten auch durch Löschung ausüben zu können, müssen Interessen weiterer potentiell betroffener Personen und Verantwortlicher abgewogen werden. Bei einer potentiellen Wiederherstellung von Systemen kommt es möglicherweise zu Fehlern durch die Löschung von Daten aus Sicherungskopien. Somit wäre das Recht auf Verfügbarkeit von Daten anderen Betroffenen gegenüber eingeschränkt. Bei Fehlern in der Wiederherstellung hätte der Verantwortliche in der ständigen Verfügbarkeit seiner Systeme eventuell Probleme. Hierbei geht es zum einen um wirtschaftliche Interessen des jeweils Verantwortlichen, zum anderen muss gleichzeitig der Stand der Technik in der IT-Sicherheit gewährleistet werden. Hier ist es wichtig zu erwähnen, dass das Trennungsgebot es notwendig macht, dass Backups nicht durchsuchbar sind, um eine strikte Trennung vom operativen Verarbeitungssystem zu gewährleisten.
Fazit
Art. 17 DS-GVO sieht explizit Ausnahmen vor, die die unterschiedlichen Interessen von Betroffenen und Verantwortlichen unter einen Hut bringen. Somit ist es nicht erforderlich, Sicherungskopien im Monatsrhythmus oder einzelne Daten aus dem Backup zu löschen und so die Sicherheit der Datenverarbeitungssysteme zu gefährden. Es ist aber zwingend erforderlich, den Betroffenen darauf hinzuweisen, dass diese Datensätze nicht direkt gelöscht, sondern im regelmäßigen Zyklus der Backuperstellung überschrieben werden.
Kontaktieren Sie uns!
Sollten Sie Fragen zu diesem oder zu anderen Themen weitergehende Fragen im Bereich des Datenschutzes haben, stehen wir Ihnen gerne jederzeit zur Verfügung.
Wir betreuen Unternehmen, Vereine oder gemeinnützige Organisationen bei der Umsetzung des betrieblichen Datenschutzes in der Datenschutz-Grundverordnung (DS-GVO) und im Gesetz über den Kirchlichen Datenschutz (KDG). Hierzu entwickeln wir auf Ihr Unternehmen, Ihren Verein oder Ihre gemeinnützige Organisation abgestimmte Datenschutzkonzepte und unterstützen Sie aktiv bei der Umsetzung. Gerne beraten wir auch Sie bei der Umsetzung Ihres Projektes.
Nehmen Sie gerne jederzeit Kontakt zu uns auf.