Die Datenlöschung aus Backups und Archiven
Die Datenschutz-Grundverordnung (DSGVO) hat die Art und Weise, wie Unternehmen mit personenbezogenen Daten umgehen, grundlegend verändert. Eine der größten Herausforderungen besteht darin, die Löschpflichten, die sich aus der DSGVO ergeben, in Bezug auf die Datenlöschung auf Sicherungskopien und Archive umzusetzen. In diesem Blogbeitrag werden wir uns mit dieser Herausforderung befassen und die Unterschiede zwischen einem Backup und einem Archiv klären.
Grundprinzipien der DSGVO
Die DSGVO nennt in Artikel 5 verschiedene Grundprinzipien wie Datenminimierung, Speicherbegrenzung und Zweckbindung. Das bedeutet, dass die verantwortliche Stelle nur die notwendigen personenbezogenen Daten vorzuhalten hat und diese im Zuge der Speicherbegrenzung nur so lange speichern darf, wie es der Zweck erfordert.
Backup und Archiv: Was ist der Unterschied?
Backups und Archive sind beides Methoden, um Daten zu speichern. Der Unterschied liegt jedoch im Zweck der Speicherung und in der Speicherdauer.
Ein Backup dient der kurzfristigen Speicherung von Daten und der Wiederherstellung dieser Daten im Falle eines Datenverlusts. Typischerweise erstellt die IT Backups regelmäßig nach einem definierten Zeitplan. Die Originaldaten werden nicht gelöscht, aber ältere Backups zugunsten neuerer Versionen.
Ein Archiv dient hingegen der langfristigen, revisionssicheren Aufbewahrung von Daten. Unternehmen archivieren Daten vorrangig, weil sie gesetzlich dazu verpflichtet sind. Die revisionssichere Archivierung bedeutet, dass die Speicherung der Dokumente den Richtlinien der Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) sowie weiteren steuer- und handelsrechtlichen Grundsätzen des Handelsgesetzbuchs (HGB) entsprechen muss.
Die Herausforderung der Datenlöschung aus Backups und Archiven
Die Herausforderung besteht darin, die Löschpflichten der DSGVO mit der Notwendigkeit der Datensicherung und -archivierung in Einklang zu bringen. Wenn beispielsweise eine Person von ihrem Recht auf Löschung nach Art. 17 DSGVO Gebrauch macht, stellt sich die Frage, wie diese Löschung in Backups und Archiven umgesetzt werden kann.
Die DSGVO sieht Ausnahmen von der Löschpflicht vor, wenn rechtliche Verpflichtungen des Rechts der Union oder eines Mitgliedstaats bestehen. Die Maßnahme „Datensicherung“ bzw. „Backup“ könnte eine solche Verpflichtung darstellen.
Nach Abwägung der Interessen der Betroffenen dürfte es nicht erforderlich sein, einzelne Daten aus der Datensicherung zu löschen und so die Sicherheit der Datenverarbeitungssysteme zu gefährden. Es ist jedoch wichtig, Betroffene darauf hinzuweisen, dass ihre Datensensätze in Backups nicht direkt gelöscht, sondern im regelmäßigen Zyklus der Backuperstellung überschrieben bzw. gelöscht werden.
Fazit
Die Datenlöschung aus Backups und Archiven stellt eine Herausforderung dar, die eine sorgfältige Planung und Umsetzung erfordert. Unternehmen müssen ein Gleichgewicht finden zwischen den Anforderungen der DSGVO in Bezug auf die Löschung personenbezogener Daten und der Notwendigkeit, Daten für Sicherungs- und Archivierungszwecke zu speichern. Dies erfordert ein klares Verständnis der Unterschiede zwischen Backups und Archiven sowie der spezifischen Anforderungen, die die DSGVO an die Datenlöschung stellt.