Das Recht auf Löschung und Backups – ein unlösbares Dilemma?

Als externe Datenschutzbeauftragte erleben wir das sicher häufiger als die meisten anderen Personen, die sich beruflich mit Datenschutz beschäftigen. Ausnahme dürften hier lediglich die Beschäftigten der Aufsichtsbehörden für den Datenschutz sein: Die Wahrnehmung der Rechte der betroffenen Personen aus Kapitel 3 der DSGVO. Wir hatten dazu eine ganze Artikelserie verfasst, diese finden Sie hier:

• Teil 1: Allgemeine Regelungen
• Teil 2: Auskunft / Art. 15
• Teil 3: Berichtigung / Art. 16
• Teil 4: Löschung / Art. 17
• Teil 5: Einschränkung der Verarbeitung / Art. 18
• Teil 6: Datenübertragbarkeit / Art. 20
• Teil 7: Widerspruch / Art. 21
• Teil 8: Beschwerde bei der Aufsichtsbehörde / Art. 77
• Teil 9: Widerruf einer Einwilligung / Art. 7

In diesem Artikel soll es um das Dilemma gehen, mit dem Verantwortliche (und übrigens auch Auftragsverarbeiter, selbst wenn diese in Art. 17 DSGVO nicht ausdrücklich erwähnt werden) sich konfrontiert sehen, wenn es um die Löschung von Daten geht. Zu beachten ist dabei, dass das in Art. 17 DSGVO konstituierte Löschrecht nicht nur als aktiv durch die betroffenen Personen wahrgenommenes Recht existiert, sondern ebenso als Pflicht der für die Verarbeitung Verantwortlichen. Daten müssen aus den unterschiedlichsten Gründen gelöscht werden:

1. Wenn sie nicht mehr notwendig sind, um den ursprünglich definierten Verarbeitungszweck zu erreichen;
2. wenn eine Einwilligung widerrufen wird;
3. wenn wirksam Widerspruch gegen eine Verarbeitung eingelegt wird;
4. wenn die Daten unrechtmäßig verarbeitet wurden; oder
5. wenn es gesetzlich vorgeschrieben ist

Nur zwei dieser Anlässe für diese Löschpflicht (Punkte 2 und 3 in obiger Liste) werden durch die betroffenen Personen selbst ausgelöst. Dennoch sind diese die beiden arbeitsaufwändigsten Anlässe, muss doch aufgrund der aktiven Wahrnehmung der Betroffenenrechte gemäß Art. 12 Abs. 3 und 4 DSGVO eine Kommunikation mit der betroffenen Person zu diesen Wünschen erfolgen.

Im Rahmen dieser Kommunikation muss der betroffenen Person gemäß Art. 12 Abs. 4 DSGVO mitgeteilt werden, wenn ihren Wünschen nicht (vollständig) entsprochen wird. Auch dies ist für die Unternehmen eher mit Aufwand verbunden und kann zu Diskussionen mit den betroffenen Personen führen.

Gelöscht werden muss ständig

Schauen wir uns einmal einen Beispielfall an, wie er vermutlich täglich zig-fach in den Unternehmen vorkommt: Eine betroffene Person widerruft die Einwilligung in den Empfang eines Newsletters. Sofern diese Person keine weitere Beziehung zu dem Unternehmen hat, in deren Zusammenhang ihre E-Mailadresse noch benötigt wird, müssen die für den Versand genutzten Daten gelöscht werden. Vielleicht hat das Unternehmen auf Basis einer weiteren Einwilligung das Öffnungsverhalten getrackt. Je nach Formulierung des Widerrufs der Einwilligung ist dann fraglich, ob auch die Speicherung der Trackingdaten von dem Widerruf erfast ist. Unter Umständen verlangt die betroffene Person die Löschung dieser Daten sogar ausdrücklich.

Die Löschung der Daten aus den genutzten Systemen für Verwaltung der Abonnent*innen, Newslettererstellung und -versand sowie die Löschung der Informationen zum Öffnungsverhalten der Person sollte unseres Erachtens kein Problem darstellen. Sofern dies wider Erwarten ein Problem darstellen sollte, an dieser Stelle nur der dezente Hinweis auf Art. 5 Abs. 1 und 2 DSGVO. Diese verlangen, dass genau das möglich ist: Daten, die nicht mehr verarbeitet werden müssen oder dürfen, zu löschen.

Backups nicht vergessen

Mit der Löschung aus den produktiven Systemen sollten jetzt alle Pflichten erfüllt sein, oder? Leider ist genau das in den meisten Fällen nicht der Fall. Schließlich verlangen Art. 32 Abs. 1 lit. b und c DSGVO, dass die Verfügbarkeit von Systemen und Daten sichergestellt sein muss und dass zerstörte Daten wiederhergestellt werden können müssen. Diese Forderung erfüllen die Unternehmen üblicherweise durch die regelmäßige Erstellung von Backups. Es existieren also in den meisten Unternehmen Kopien der produktiv verarbeiteten Daten, um im Notfall diese Daten wiederherstellen zu können. Häufig werden mehrere dieser Backups an unterschiedliche Orte ausgelagert, um auch für den Fall, dass einer der Lagerorte zerstört wird, abgesichert zu sein.

Nun werden auch die in den Backups enthaltenen Kopien der aus den produktiv zu löschenden Daten nicht mehr benötigt, um genau zu sein ist deren Verarbeitung ab dem Zeitpunkt, zu dem sie in den produktiven Systemen gelöscht werden müssen, sogar unrechtmäßig.

Und jetzt?

Wie aber soll bitte mit diesen Daten umgegangen werden? Sollen die Löschungen jetzt auch in den Backups gemacht werden? Und wie soll das funktionieren? Uns ist derzeit kein Backupsystem bekannt, welches diese Anforderung unterstützen würde. Noch schlimmer (im Sinne von weniger erfüllbar) wird das ganze gemacht durch die Regelung des Art. 12 Abs. 3 Satz 1 DSGVO, welche von den Verantwortlichen verlangt, den betroffenen Personen

Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 [DSGVO] ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags

zur Verfügung zu stellen. Hier geht es eigentlich um die Fristen für die Kommunikation mit den betroffenen Personen. Die Einhaltung dieser Fristen bedingt allerdings, dass zuvor die entsprechenden Maßnahmen ergriffen worden sind. Letztlich besagt die Regelung, dass alle Daten auch aus den Backups innerhalb maximal eines Monats gelöscht werden müssen.

Dieses Problem (und es ist wirklich eines) haben neben uns auch schon andere entdeckt und sich dazu entsprechende Gedanken gemacht. Eine rechtssichere Lösung hat allerdings unseres Erachtens bislang niemand gefunden. Interessant finden wir einen Ansatz, der auf die Ausnahme des Art. 17 Abs. 3 lit. b DSGVO abstellt. Dieser erlaubt eine Ausnahme von der Löschpflicht, soweit die Verarbeitung erforderlich ist

zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert […]

Und diese Erforderlichkeit einer Verarbeitung im Rahmen von Backups wird gesehen in Art. 32 Abs. 1 lit b DSGVO. Die Argumentationskette stark verkürzt dargestellt:

1. Art. 32 Abs. 1 erfordert das Ergreifen technischer und organisatorische Maßnahmen zu Sicherstellung der Sicherheit der Verarbeitung personenbezogener Daten
2. Zu diesen Maßnahmen gehört auch, die Verfügbarkeit der Daten sicherzustellen, also das Anfertigen von Backups
3. Nach allgemeinem Verständnis ist die Integrität und Revisionssicherheit von Backups zu wahren. Ein manuelles Vornehmen von Änderungen an Backups ist somit nicht zulässig
4. Art. 32 DSGVO sieht keinerlei Ausnahmen bezüglich der Sicherheit der Verarbeitung vor
5. Sofern es also objektive und verpflichtende Gründe gibt, Backups länger als einen Monat aufzubewahren, kann es möglich (Achtung: nur möglich, nicht zwingend) sein, personenbezogene Daten aus Backups nicht zu löschen und weiter vorzuhalten, obwohl die Daten gemäß Art. 17 DSGVO einer Löschverpflichtung unterliegen.

Wir finden diesen Ansatz sehr kreativ, halten ihn aber für riskant und würden nicht empfehlen, der Argumentation zu folgen. Zumindest nicht, sofern man nicht dasjenige Unternehmen werden möchte, welches dafür gesorft hat, dass sich irgendwann der EuGH damit beschäftigen muss. Falls Sie dennoch Backups länger als einen Monat aufheben wollen oder müssen, empfehlen wir zumindest, Prozesse vorzusehen, die dafür sorgen, dass alle Daten, die nach der Erstellung eines Backups gelöscht wurden, nach der Rücksicherung des Backups erneut aus den betroffenen produktiven Systemen gelöscht werden. Optimalerweise sollte dies automatisiert erfolgen.

Informationspflichten gegenüber den betroffenen Personen nicht vergessen

Wie schon ganz oben erwähnt: Den betroffenen Personen muss die nicht erfolgte Löschung innerhalb eines Monats mitgeteilt werden. Wird jetzt sinngemäß mitgeteilt “wir löschen Deine Daten, aber im Backup behalten wir sie” könnte das von kritischen Rückfragen über endlose Diskussionen mit den betroffenen Personen (kennen wir nur zu gut 😉) bis hin zu Beschwerden bei den Aufsichtsbehörden (kennen wir auch 😱) führen. Schöner und für die Unternehmen einfacher wäre es, wenn die Daten einfach aus den Backups gelöscht werden könnten.

Fazit

Letztlich zeigt sich einmal mehr, dass die Regelungen der DSGVO in Sachen Rechte der betroffenen Personen die Realität in den Unternehmen nicht 100%ig trifft. Da Art. 23 Abs. 1 DSGVO die Möglichkeit bietet, das Löschrecht durch den Bundesgesetzgeber zu beschränken, wäre eine mögliche Lösung die Ergänzung des Bundesdatenschutzgesetzes (BDSG) um eine diesbezügliche Ausnahme. Noch besser wäre natürlich, wenn die Backupsysteme das selektive Löschen einzelner Daten aus den Datensicherungen ermöglichen würden, das halten wir allerdings offen gesagt für utopisch. Schließlich geht es nicht nur um das Löschen einzelner Dokumente, sondern es muss beispielsweise auch aus den Sicherungen proprietärer Datenbanken gelöscht werden.

Bis es eine Lösung gibt, die unseres Erachtens nur in einer Anpassung der gesetzlichen Regelungen liegen kann, müssen alle Verantwortlichen und Auftragsverarbeiter mit der Rechtsunsicherheit leben, dass Daten in Backups die Löschzeitpunkte teilweise um Jahre “überleben”.