Nach Art. 17 Abs. 1 Buchst. a Datenschutz-Grundverordnung (DSGVO) sind personenbezogene Daten zu löschen, wenn sie für den ursprünglichen Verarbeitungszweck nicht mehr notwendig sind.
Zum Thema Löschung von personenbezogenen Daten hat sich der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) in seinen Tätigkeitsberichten bereits mehrfach im Hinblick auf unterschiedliche fachliche Zusammenhänge geäußert (siehe 29. Tätigkeitsbericht 2019 unter Nr. 3.2 und 18. Tätigkeitsbericht 1998 unter Nr. 3.3.3, Nr. 7.2.1.1, Nr. 7.2.4 sowie Nr. 8.1). Diese auch für alle bayerischen öffentlichen – insbesondere staatlichen und kommunalen – Stellen relevante Thematik wurde nun durch die Fragestellung erweitert, wie die Löschung von Datenkopien, die in Backup-Systemen ausschließlich der Datensicherung dienen, in zeitlicher Hinsicht erfolgen muss. Der BayLfD führt in seinem unten vermerkten 30. Tätigkeitsbericht vom 25.5.2021 zu dieser Frage unter Nr. 12.5 Folgendes aus:
„Der Begriff ‚Löschung‘ wird in der Datenschutz-Grundverordnung nicht näher definiert. Das bisherige deutsche Datenschutzrecht verstand darunter das ‚Unkenntlichmachen gespeicherter Daten‘ (vgl. § 3 Abs. 4 Nr. 5 Bundesdatenschutzgesetz in der bis zum 24.5.2018 geltenden Fassung). Somit hat ein datenschutzrechtlicher Löschvorgang eines bestimmten personenbezogenen Datums die Folge, dass dieses nach der Löschung in den Dateisystemen, die dem betroffenen Verantwortlichen zurechenbar sind, weder vorhanden ist noch wiederhergestellt werden kann. Diese Anforderung trifft folglich nicht nur den aktiven produktiven Datenbestand, sondern auch die Datenkopien, die in Backup-Systemen aus Verfügbarkeitsgründen (vgl. Wiederherstellungsanforderung in Art. 32 Abs. 1 Buchst. c DSGVO) verarbeitet werden. Da eine zeitgleiche Löschung des aktiven personenbezogenen Datums und seiner im Backup-System gespeicherten Kopie oftmals insbesondere aus technischen Gründen nicht zeitgleich, sondern nur zeitversetzt möglich ist, stellt sich die Frage, wie die datenschutzrechtliche Forderung mit dem derzeit technisch sowie organisatorisch Möglichen in Einklang gebracht werden kann.
Nach Erwägungsgrund 26 DSGVO dürfen gelöschte personenbezogene Daten nicht oder nach allgemeinem Ermessen nur mit geringer Wahrscheinlichkeit wiederherstellbar sein. Das bedeutet in der betrachteten Konstellation, dass nach der datenschutzrechtlichen Löschung von Daten in Primärsystemen diese nun nicht mehr vorhandenen personenbezogenen Daten nur mit geringer Wahrscheinlichkeit durch eine Kopie aus dem Backup-System (Reliktdaten) im gerade genannten Sinn wiederherstellbar sein dürfen. Idealerweise sollte daher bei der Neukonzeption von IT-Systemen die Anforderung einer zeitgleichen Löschung von Daten aus dem Backup mit berücksichtigt werden.
Sollte eine zeitgleiche Löschung trotz Berücksichtigung aller relevanten Schutzmaßnahmen nach Art. 32 DSGVO, also insbesondere nach dem aktuellen Stand der Technik und Organisation nicht möglich sein, ist dies entsprechend zu begründen.
Diese dokumentierte Begründung muss auch die umgesetzten Schutzmaßnahmen enthalten oder auf diese verweisen, die ergriffen wurden, damit eine zeitlich verzögerte Löschung der Reliktdaten nur mit geringer Wahrscheinlichkeit zur Reproduzierbarkeit der aus dem Primärsystem gelöschten Daten führen kann.
Im Ergebnis darf die Löschung der Datensicherungskopie nur bei kumulativer Erfüllung folgender Anforderungen zeitlich verzögert von der Löschung des entsprechenden personenbezogenen Datums im Primärsystem erfolgen:
– Technische Unmöglichkeit oder Unzumutbarkeit: Bei dem betroffenen Backup-System ist aus Sicht eines verständigen Betrachters oder einer verständigen Betrachterin nachvollziehbar die gleichzeitige Löschung der Datensicherungskopie technisch nicht möglich oder im Hinblick auf den vorliegenden Schutzbedarf der personenbezogenen Daten unverhältnismäßig aufwändig.
– Löschfrequenz im Backup-System: Die Wiederholungsfrequenz der allgemeinen Löschung sowie gegebenenfalls außerordentliche Löschungen nicht mehr benötigter Datensicherungskopien richtet sich im Backup-System nach dem Schutzbedarf der betroffenen personenbezogenen Daten. Die umgesetzte Löschstrategie für die Datensicherungskopien im Backupsystem wird in Form eines Datensicherungskonzeptes nachgewiesen. Dieses Konzept enthält insbesondere auch wichtige Aspekte zum datenschutzrechtlichen Grundsatz der Erforderlichkeit, wie etwa das zum Einsatz kommende Sicherungsverfahren (zum Beispiel vollständig, differenziell, inkrementell, Spiegelung) und das gegebenenfalls verwendete Generationenprinzip. Erläuterungen hierzu und weitergehende Informationen sind etwa in den ‚Umsetzungshinweisen zum Baustein CON.3 Datensicherungskonzept‘ des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu finden.
– Verfügbarkeit nur mittels Wiederherstellung: Es ist hinreichend sichergestellt, dass die Datensicherungskopien ausschließlich über die vorgesehene Wiederherstellungsfunktionalität aus dem Backup-System ausgelesen werden können. Zur Absicherung der ausschließlichen Verwendung dieser Wiederherstellungsfunktion sind geeignete Schutzmaßnahmen umzusetzen, wie insbesondere der Einsatz kryptografischer Verfahren für die Datensicherungskopien im Backup-System (vgl. Art. 32 Abs. 1 Buchst. a DSGVO und den Punkt ‚CON.3.A13 Einsatz kryptografischer Verfahren bei der Datensicherung‘ aus dem IT-Grundschutz-Baustein ,CON.3 Datensicherungskonzept‘ des Bundesamts für Sicherheit in der Informationstechnik).
– Löschung bei Wiederherstellung: Bei jeder Wiederherstellung von Daten aus dem Backup-System muss gewährleistet sein, dass alle Daten, die im Primärsystem aus Datenschutzgründen bereits gelöscht wurden (Reliktdaten), nicht wiederhergestellt oder – falls technisch nicht anders möglich – so nach der Wiederherstellung wieder gelöscht werden, dass ihre rechtswidrige Verarbeitung ausgeschlossen ist.
– Dokumentation und Umsetzungsnachweis: Der Verarbeitungsvorgang ,Backup-System verwenden‘ ist geeignet zu dokumentieren und dessen wirksame Umsetzung nachzuweisen. Dabei ist insbesondere darauf zu achten, dass jede Wiederherstellung von Daten unter Angabe des Wiederherstellungsgrundes und der gegebenenfalls rechtzeitig durchgeführten Löschung von Reliktdaten dokumentiert wird.“
30. Tätigkeitsbericht des Bayerischen Landesbeauftragten für den Datenschutz vom 25.5.2021, im Internet abrufbar unter https://www.datenschutzbayern.de in der Rubrik „Tätigkeitsberichte“
Entnommen aus Fundstelle Bayern, 7/2022, Rn. 75.