Kontakt

Home  >  Aktuelles

Compliance in Hinsicht Datenschutz beim Backupkonzept gewährleisten

 

Ein sehr wichtiges IT-Thema ist die Frage der Ausgestaltung des Sicherheitsschutzziel Verfügbarkeit, genauer genommen die Durchführung von Datensicherungen / Backups. Auf die technischen Ausgestaltungsmöglichkeiten möchte ich hier gar nicht weiter eingehen, da bin ich auch kein Fachmann. Wie man aber schnell merkt, wenn man sich mit dem Thema beschäftigen muss ist, das es hier schnell zu einem klaren Zielkonflikt zwischen der Datensicherheit und dem Datenschutz kommen kann.

Denn in Unternehmensbackups befinden sich fast immer auch personenbezogene Daten. Für diese Daten können individuelle und darüber hinaus möglicherweise auch sehr unterschiedliche Löschpflicht greifen, vergl. z.B. die Vorgabe des Art. 17 Abs. 1 lit. a) DSGVO. Die Daten sind danach zu löschen, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind.

Was rechtlich einigermaßen klar ist, kann in technischer, praktischer oder auch wirtschaftlicher Hinsicht völlig unvertretbar sein. Während man in der IT-Sicherheit geringe bis mittlere Risiken auch mal akzeptieren kann, wenn die Eintrittswahrscheinlichkeit oder der Schaden ohnehin nicht sonderlich hoch ist, so ist das mit datenschutzrechtlichen Verpflichtungen, die mit exorbitant hohen Bußgeldern belegt werden können, nicht so einfach. Wenn so ein Verfahren dann mal von einer Aufsichtsbehörde beanstandet wird, kann man das möglicherweise auch nicht so ohne weiteres korrigieren. Es stellt sich jedenfalls in der Praxis das Problem, wie eine erforderliche Löschung umgesetzt werden kann. Insbsondere vor dem Hintergrund, dass Backups normalerweise nicht einfach ohne Folgen inhaltlich verändert werden können.

Korte hat sich in der ZD 4/2020, Seite XII f. schonmal zu dem Thema geäußert und kommt zu dem Ergebnis, dass es durch verschiedene technische und organisatorische Maßnahmen, die er aaO. weiter ausführt, möglich ist, einen eingemessenen Ausgleich der Interessen ohne ein sofortige Löschung sicherzustellen:

Somit ist es nicht erforderlich, Sicherungskopien im Monatsrhythmus oder einzelne Daten aus dem Backup zu löschen und so die Sicherheit der Datenverarbeitungssysteme zu gefährden. Vielmehr sieht Art. 17 DS-GVO explizit Ausnahmen vor, die die unterschiedlichen Interessen in einen gerechten Ausgleich bringen.”

Nun hat der EDSA/EDPB seinen Abschlussbericht zur koordinierte Durchsetzungsmaßnahme „Umsetzung des Rechts auf Löschung durch die für die Verarbeitung Verantwortlichen“ veröffentlicht und im Abschnitt 4.2.6 werden die Ergebnisse der Antworten der nationalen Aufsichtsbehörden zu genau dem oben angesprochenen Thema zusammengefasst. Zudem enthält der Bericht auch einige Empfehlungen für Verantwortliche.

Auch der EDSA erkennt hier an, dass Backups nicht in jedem Fall sofort gelöscht oder bereinigt werden können:

Backups sind ein wichtiges Instrument zum Schutz der Integrität personenbezogener Daten, wenn der Verantwortliche von einem Sicherheitsvorfall (z. B. Ransomware) betroffen ist. Daher ist es wichtig, die Integrität der Backups zu schützen. Je nach den technischen Einstellungen und Risiken ist es möglicherweise nicht immer ratsam, Informationen aus Backups zu ändern oder zu löschen.“

Voraussetzung dafür ist nach dem EDSA, das die technischen Möglichkeiten und die für die betroffene Personen damit bestehenden Risiken berücksichtigt werden. Aus der Verantwortung werden die unternehmen insofern nicht entlassen, den wie dr EDSA feststellt, müssen „Organisationen … über geeignete Verfahren verfügen [sollten], um Löschungsanträge zu verfolgen und diese auf wiederhergestellten Systemen so weit wie möglich zu erfüllen“.

Sehr ausführlich zu dem Thema hat sich übrigens aus der BayLfD (aus dem Bundesland Bayern, dass sich gleich zwei Aufsichtsbehörden zum Datenschutz leistet) in seinem Tätigkeitsbericht 2020 gemacht.

Der BayLfD stellt klar, dass personenbezogene Daten grundsätzlich auch in Backups löschbar sein müssen, akzeptiert aber eine zeitversetzte Löschung von Backup-Kopien („Reliktdaten“), wenn bestimmte technische und organisatorische Bedingungen eingehalten und dokumentiert sind.​ Seine Ausführungen lassen sich wie folgt zusammenfassen:

Ausgangspunkt: Löschpflicht und Begriff der Löschung

  • Art. 17 Abs. 1 Buchst. a DSGVO verlangt die Löschung personenbezogener Daten, sobald sie für den ursprünglichen Verarbeitungszweck nicht mehr notwendig sind.​
  • „Löschung“ bedeutet, dass das Datum im Verantwortungsbereich weder in produktiven Systemen noch in Sicherungskopien vorhanden oder wiederherstellbar sein darf; der BayLfD knüpft insoweit an das frühere Verständnis des BDSG a.F. („Unkenntlichmachen“) an.​
  • Die Löschpflicht erstreckt sich daher ausdrücklich auch auf Datenkopien in Backup-Systemen, die allein der Verfügbarkeitsvorsorge nach Art. 32 Abs. 1 Buchst. c DSGVO dienen.​

Problem: Gleichzeitige Löschung in Primär- und Backup-System

  • In der Praxis ist eine zeitgleiche Löschung in Produktivsystem und Backup häufig technisch nicht möglich oder nur mit unverhältnismäßigem Aufwand zu realisieren.​
  • Der BayLfD erkennt dieses Spannungsverhältnis an und verweist auf Erwägungsgrund 26 DSGVO: Nach Löschung im Primärsystem dürfen die Daten aus Sicht des „allgemeinen Ermessens“ nur mit geringer Wahrscheinlichkeit wiederherstellbar sein.​
  • Idealbild ist die Berücksichtigung einer synchronen Löschbarkeit bereits bei der Neukonzeption von IT-Systemen; dies versteht der BayLfD als Anforderung „Datenschutz durch Technikgestaltung“.​

Zulässigkeit zeitversetzter Löschung von Backup-Kopien

Der Bericht akzeptiert eine zeitlich verzögerte Löschung der Backup-Kopien, sofern kumulativ folgende Voraussetzungen erfüllt sind:​

  1. Technische Unmöglichkeit oder Unzumutbarkeit
    • Es muss aus Sicht eines vernünftigen, sachkundigen Dritten nachvollziehbar sein, dass eine sofortige, gleichzeitige Löschung der Datensicherungskopie technisch nicht möglich oder im Hinblick auf den Schutzbedarf unverhältnismäßig aufwendig ist.​
    • Diese Einschätzung ist zu begründen und zu dokumentieren (Stand der Technik, Architektur des Backup-Systems etc.).​
  2. Löschfrequenz und Datensicherungskonzept
    • Die allgemeine Löschfrequenz bzw. Aufbewahrungsdauer der Backup-Sätze muss sich am Schutzbedarf der betroffenen Daten orientieren.​
    • Es muss ein dokumentiertes Datensicherungskonzept vorliegen, das insbesondere Sicherungsverfahren (voll, differenziell, inkrementell, Spiegelung) und etwaige Generationenprinzipien beschreibt; der BayLfD verweist ausdrücklich auf den BSI-Grundschutz-Baustein CON.3 „Datensicherungskonzept“ und die dortigen Umsetzungshinweise.​
  3. Zugriff nur über Wiederherstellungsprozess
    • Datensicherungskopien dürfen ausschließlich über die vorgesehene Wiederherstellungsfunktion ausgelesen werden können; ein direkter produktiver Zugriff auf Backup-Daten ist auszuschließen.​
    • Zur Absicherung verlangt der BayLfD insbesondere den Einsatz kryptographischer Verfahren für Backup-Daten (Verschlüsselung) in Anlehnung an Art. 32 Abs. 1 Buchst. a DSGVO und den BSI-Baustein CON.3 (Maßnahme „Einsatz kryptografischer Verfahren bei der Datensicherung“).​
  4. Umgang mit Reliktdaten bei Wiederherstellungen
    • Bei jeder Wiederherstellung aus dem Backup ist sicherzustellen, dass alle im Primärsystem bereits gelöschten personenbezogenen Daten (Reliktdaten) entweder gar nicht erst zurückgespielt oder – falls technisch unvermeidbar – unmittelbar nach der Wiederherstellung erneut gelöscht werden.​
    • Ziel ist, eine rechtswidrige „Wiederbelebung“ gelöschter Daten zu verhindern; die Wiederherstellungsprozeduren müssen dies technisch-organisatorisch abbilden.​
  5. Dokumentation und Rechenschaftspflicht
    • Der Verarbeitungsvorgang „Verwendung eines Backup-Systems“ ist zu dokumentieren, einschließlich des Löschkonzepts, der technischen Restriktionen und der implementierten Schutzmaßnahmen.​
    • Jede Wiederherstellung ist mit Angabe des Wiederherstellungsgrundes zu protokollieren; ebenso ist zu dokumentieren, dass Reliktdaten rechtzeitig vor bzw. nach Wiederherstellung gelöscht wurden.​

Praktische Konsequenzen aus Sicht des BayLfD

  • Verantwortliche sollen bei neuen Systemen von vornherein Backup-Architekturen wählen, die eine zeitnahe, idealerweise synchrone Löschung ermöglichen (z.B. logisch verknüpfte Löschmarker, selektive Löschung in Deduplizierungsumgebungen).​
  • Wo dies in bestehenden Umgebungen nicht vollumfänglich realisierbar ist, ist eine risikoorientierte Löschstrategie (Löschintervalle, Aufbewahrungsfristen, Verschlüsselung, strikte Rollen- und Rechtekonzepte) zu definieren und schriftlich zu fixieren.​
  • Im Ergebnis akzeptiert der BayLfD also keine pauschale Berufung auf „Backups sind von Löschungspflichten ausgenommen“, sondern nur eine eng begründete, zeitlich begrenzte Nachlaufphase von Sicherungskopien unter strikten technischen und dokumentierten Schutzvorkehrungen.


Ohne Arbeit auch an dem Thema Datenschutz kommen Unternehmen also auch bei Thema Datensicherung nicht zur Ergebnissen, die eine ausreichende Compliance und Corporate Governance gewährleisten. Andererseits ist da aber auch ein gewisses Verständnis für technische Gegebenheiten zu erkennen.

Bild von Michael Bock

Michael Bock

Michael Bock, Geschäftsführender Gesellschafter der Daseco GmbH und Inhaber der Rechtsanwaltskanzlei Bock

Neueste Beiträge

 

Datenschutz ist bei Due Diligence ein Thema

Zum Beitrag
 

Sind Caritasverbände eigentlich von NIS-2 betroffen?

Zum Beitrag
 

VG Wiesbaden 2025: Schufa Auskünfte, Verfahren und Grundsätze bei der Erstellung des Score-Werts sollten klar sein.

Zum Beitrag

Individuelles Angebot anfragen

Jetzt Kontakt aufnehmen

Wenn Sie an unseren Dienstleistungen interessiert sind, so nehmen Sie mit uns Kontakt auf. Gerne erstellen wir Ihnen ein individuelles Angebot.
+49 2154 481575
WhatsApp
ue.o1773201336cesad1773201336@ofni1773201336 1773201336