Löschung von personenbezogenen Daten aus Backups – ein in der Praxis oft diskutiertes Thema. Die Ausgangslage ist recht klar: befinden sich in Backups personenbezogene Daten, so gilt auch für diese die Löschpflicht, etwa nach der Vorgabe des Art. 17 Abs. 1 lit. a) DSGVO. Die Daten sind zu löschen, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind.

Zumeist stellt sich dann jedoch in der Praxis das Problem, wie diese Löschung umgesetzt werden kann. Entweder rein technisch. Oder auch für dem (validen) Hintergrund, dass Backups nicht einfach inhaltlich verändert werden können.

Andeutung des EDSA – Löschung ist nicht immer zwingend

Jüngst hat der EDSA seinen Abschlussbericht zur koordinierte Durchsetzungsmaßnahme „Umsetzung des Rechts auf Löschung durch die für die Verarbeitung Verantwortlichen“ veröffentlicht (PDF). Im Abschnitt 4.2.6 werden die Ergebnisse der Antworten der nationalen Aufsichtsbehörden zu genau dem oben angesprochenen Thema zusammengefasst. Zudem enthält der Bericht auch einige Empfehlungen für Verantwortliche.

Die aus praktischer Sicht interessante Aussage trifft der EDSA direkt zu beginn des Abschnitts.

„Backups sind ein wichtiges Instrument zum Schutz der Integrität personenbezogener Daten, wenn der Verantwortliche von einem Sicherheitsvorfall (z. B. Ransomware) betroffen ist. Daher ist es wichtig, die Integrität der Backups zu schützen. Je nach den technischen Einstellungen und Risiken ist es möglicherweise nicht immer ratsam, Informationen aus Backups zu ändern oder zu löschen.“

Die europäischen Aufsichtsbehörden empfehlen also, dass personenbezogene Daten aus Backups gerade nicht zu löschen sind, wenn dies die Integrität und damit auch das Ziel der Widerherstellbarkeit beeinträchtigen würde.

Jedoch macht der EDSA dies von zwei Voraussetzungen abhängig: 1) den technischen Möglichketen; 2) dem Risiko (wohl für betroffene Personen).

Erfolgt keine Datenlöschung aus Backups, verlangt der EDSA jedoch, dass

„Organisationen … über geeignete Verfahren verfügen [sollten], um Löschungsanträge zu verfolgen und diese auf wiederhergestellten Systemen so weit wie möglich zu erfüllen“.

Werden personenbezogene Daten, die eigentlich gelöscht werden müssten, nicht gelöscht und dann aus dem Backup wieder in das Livesystem gespielt, muss der Verantwortliche also Maßnahmen und Prozesse etablieren, dass diese Daten gelöscht werden.

Interessant ist auch die Information in dem Bericht, dass die Hälfte der befragten Aufsichtsbehörden Bedenken hinsichtlich der Löschung personenbezogener Daten aus Backups äußerte. Das Problem für Verantwortliche wird also bei den Aufsichtsbehörden gesehen.

Der Vorschlag des EDSA kann Verantwortlichen in der Praxis als Argumentationsstütze helfen, wenn Daten aus Backups nicht gelöscht werden (können). Wichtig ist jedoch, eine inhaltlich valide Begründung vorzuhalten, warum Daten nicht gelöscht werden (können) und die unterbliebene Löschung keine (hohen) Risiken für Betroffene darstellt.

Umsetzungsvorschlag des BayLfD

Bereits in seinem Tätigkeitsbericht 2020 hat sich der BayLfD mit dem Löschen von Daten aus Backups befasst. Und seine Empfehlungen enthalten genau jene beiden Aspekte, auf die auch nun der EDSA abstellt.

Ziel der Löschung soll eigentlich sein, dass ein Datum nach der Löschung in den Dateisystemen, die dem betroffenen Verantwortlichen zurechenbar sind, weder vorhanden ist noch wiederhergestellt werden kann. Die Löschpflicht erfasse daher eigentlich auch Backups-Systeme.

Zur Lösung des Problems verweist der BayLfD auf ErwG 26 DSGVO. Danach dürfen gelöschte personenbezogene Daten nicht oder nach allgemeinem Ermessen nur mit geringer Wahrscheinlichkeit wiederherstellbar sein.

„Das bedeutet in der betrachteten Konstellation, dass nach der datenschutzrechtlichen Löschung von Daten im Primärsystemen diese nun nicht mehr vorhandenen personenbezogenen Daten nur mit geringer Wahrscheinlichkeit durch eine Kopie aus dem Backup-System (Reliktdaten) im gerade genannten Sinn wiederherstellbar sein dürfen“.

Sollte eine zeitgleiche Löschung (im Primärsystem und im Backup) nicht möglich sein, ist dies entsprechend zu begründen.

„Diese dokumentierte Begründung muss auch die umgesetzten Schutzmaßnahmen enthalten oder auf diese verweisen, die ergriffen wurden, damit eine zeitlich verzögerte Löschung der Reliktdaten nur mit geringer Wahrscheinlichkeit zur Reproduzierbarkeit der aus dem Primärsystem gelöschten Daten führen kann“.

Der BayLfD stellt dann eine Liste an Voraussetzungen auf, die Verantwortliche erfüllen müssen, wenn sie Daten in Backups nicht löschen.

• Technische Unmöglichkeit oder Unzumutbarkeit: Bei dem betroffenen Backup-System ist aus Sicht eines verständigen Betrachters nachvollziehbar die gleichzeitige Löschung der Datensicherungskopie technisch nicht möglich oder im Hinblick auf den vorliegenden Schutzbedarf der personenbezogenen Daten unverhältnismäßig aufwändig.
• Löschfrequenz im Backup-System: Die Wiederholungsfrequenz der allgemeinen Löschung sowie gegebenenfalls außerordentliche Löschungen nicht mehr benötigter Datensicherungskopien richtet sich im Backup-System nach dem Schutzbedarf der betroffenen personenbezogenen Daten. Die Löschstrategie im Backupsystem wird in Form eines Datensicherungskonzeptes nachgewiesen.
• Verfügbarkeit nur mittels Wiederherstellung: Es ist hinreichend sichergestellt, dass die Datensicherungskopien ausschließlich über die vorgesehene Wiederherstellungsfunktionalität aus dem Backup-System ausgelesen werden können.
• Löschung bei Wiederherstellung: Bei jeder Wiederherstellung von Daten aus dem Backup-System muss gewährleistet sein, dass alle Daten, die im Primärsystem aus Datenschutzgründen bereits gelöscht wurden, nicht wiederhergestellt oder – falls technisch nicht anders möglich – nach der Wiederherstellung wieder gelöscht werden.
• Dokumentation und Umsetzungsnachweis: Der Verarbeitungsvorgang „Backup-System verwenden“ ist geeignet zu dokumentieren und dessen wirksame Umsetzung nachzuweisen.

Die Ansicht EDSA liegt aus meiner Sicht auf der Linie der bereits vorhandenen Empfehlungen des BayLfD. Beide bieten Verantwortlichen in der Praxis eine gute Richtschnur dafür, wie mit personenbezogenen Daten in Backups umzugehen ist.