Backups in DSGVO und BDSG

Nach DSGVO hat ein Betroffener Rechte, unter anderen nach Auskunft über seine Daten, aber auch die Korrektur oder Löschung derselben.
Dabei entsteht die Frage, ob sich diese Rechte nur auf den aktuellen aktiven Datenbestand beziehen oder auch auf Datensicherung (Backup) und Archive. Müssen zum Beispiel nach erfolgter Korrektur im oder Löschung aus dem aktuellen Datenbestand auch Backups nachträglich verändert werden, um dem Verlangen nach Korrektur oder Löschung nachzukommen?
Dies wäre möglicherweise schädlich für die Sicherheit der Daten: Backups dürfen nicht verändert werden, sonst würde der Betriebszweck Datensicherung gestört, sie würden wertlos.
Wir legen dar, wie sowohl das BDSG als auch unabhängig davon die DSGVO diese Problematik abfangen.

Restore Problematik
Aus den nun unveränderten Backups und Archiven resultiert jedoch eine neue Problematik: Bei einem Restore aus einem Backup, welches vor der Durchführung der verlangten Korrektur bzw. Löschung erstellt wurde, tauchen genau diese nicht-korrigierten bzw. ungelöschten Daten wieder auf im aktiven Datenbestand – ein klarer Verstoß gegen den Sinn der DSGVO.
Wir schlagen eine TOM vor als Lösung für dieses Problem.

Überblick Backups in DSGVO & BDSG

Die Rechte der Betroffenen sind definiert in
DSGVO Artikel 15-18,
Wir analysieren die Situation mit Blick auf
BDSG §34 & 35,
und zeigen einen alternativen Lösungsansatz nur mit Bezug auf
DSGVO Artikel 4 & 32
Für die Restore-Problematik schlagen wir eine TOM vor:
TOM: DSGVO konformes Restore

DSGVO Artikel 15-18

Laut DSGVO hat der Betroffene folgende Rechte:

• (Artikel 15) Auskunftsrecht der betroffenen Person
  
• (Artikel 16) Recht auf Berichtigung
  
• (Artikel 17) Recht auf Löschung
  
• (Artikel 18) Recht auf Einschränkung der Verarbeitung
  

Ein Beispiel: Wenn die betroffene Person verlangt, ihre persönlichen Daten zu löschen, hat der Verantwortliche diese (Zitat:) unverzüglich zu löschen.

BDSG §34-35

Das BDSG (Bundesdatenschutzgesetz, PDF) in der Fassung vom 30. Juni 2017 (auch BSDG-neu genannt) passt das nationale Datenschutzrecht der DSGVO an. Dabei werden auch Gestaltungsfreiräume der DSGVO umgesetzt.

Für unsere Diskussion sind die Paragraphen
§34 BDSG „Auskunftsrecht der betroffenen Person“
§35 BDSG „Recht auf Löschung“
relevant.
Hier legt das BDSG fest, dass Backups nicht zu Auskunftszwecken herangezogen werden müssen, soweit dies mit „unverhältnismäßigen Aufwand“ verbunden wäre. Da einmal erstellte Backups anschließend nicht mehr Bestandteil „automatisierter Datenverarbeitung“ sind, würde dies zutreffen. Auch müssen mit denselben Argumenten Korrekturen und Löschungen nicht in Backups eingearbeitet werden: „In diesem Fall tritt an die Stelle einer Löschung die Einschränkung der Verarbeitung gemäß Artikel 18 der (DSGVO).“

Vorteil der europaweiten DSGVO
Das BDSG gibt klare Anweisung zu Backups, ist jedoch nicht europaweit gültig. Jeder Mitgliedsstaat hat seine eigene Datenschutzgesetzgebung – und es wird schwierig, diese nachzuverfolgen um subtile Unterschiede festzustellen.
Das für deutsche Firmen gültige BDSG gilt auch für internationale Kunden derselben. Weniger einfach ist die Situation, wenn Firmen Niederlassungen in mehreren Ländern betreiben und so unter mehrere nationale Regularien fallen, die sich möglicherweise unklar überlappen oder widersprechen.
Die DSGVO hilft hier: bei näherer Betrachtung löst die DSGVO alleine schon das Backup Problem.

DSGVO Artikel 4 & 32

Nach DSGVO Artikel 32 ergreifen „… der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten…“
In anderen Worten: Die DSGVO verpflichtet zu Risiko adäquater IT Sicherheit und IT Betrieb.

Ein wichtiges Element in einem regulären IT Betrieb ist Datensicherung (Backup) und Archivierung. Backup, um beschädigte Daten umgehend wiederherzustellen, Archive, um über die Backup-Periode hinaus länger zurückliegende z.B. Beschädigungen zu korrigieren.

Widersprüchliche Anforderungen?
DSGVO Artikel 32 verlangt Risiko-Adäquate IT Sicherheit und Betrieb während die Rechte der Betroffenen verlangen, dass deren Daten auch in Backups und Archiven modifiziert oder gelöscht werden?

Ein genauerer Blick in “Artikel 4: Begriffsbestimmungen” hilft hier weiter:

• Satz 2 listet für die Definition von Verarbeitung alle relevanten Aktionen in Bezug auf Daten - inklusive Veränderung und Löschen.
  
• Satz 3 definiert die Einschränkung der Verarbeitung für künftige Verarbeitungen, also für die Zukunft
  

Nach Satz 2 findet die Einschränkung der Verarbeitung auf die Zukunft auch für Auslesen (von Information), Löschen und Veränderung (und alle anderen Aktionen in Bezug auf Daten) Anwendung
Aus der Kombination beider Sätze folgt, dass Archive und Backups nach DSGVO nicht nachträglich verändert werden müssen.

TOM: DSGVO konformes Restore

Für den Fall der Datenwiederherstellung (Restore) aus Backup oder Archiv könnten personenbezogene Daten „wiedererstehen“ deren Löschtermin nach der Erstellung des betreffenden Backups liegt.

TOM (Technisch Organisatorische Maßnahme)
Der Lösungsansatz geht davon aus, dass ohne Mehrkosten eine Liste mit allen Datenlöschungen/Modifizierungen vorliegt. Diese Liste wird angewandt auf den Restore, bevor jener den Status “aktiver Datenbestand” erhält und somit die Vorgaben der DSGVO erfüllen muss.

Bei Anfragen zur Löschung oder Modifizierung von personenbezogenen Daten werden zunächst die Anfragenden in einem wohldefinierten Prozess identifiziert und authentisiert. Es muss sichergestellt werden, dass nur der eine richtige Fritz Adam Müller exakt seine Daten löschen oder korrigieren lässt – und nicht die von seinem Nachbarn Fritz Alfred Müller. Da dieser Prozessschritt detailliert dokumentiert werden muss zum Nachweis der nötigen Sorgfalt, entsteht hier ohne Extra-Aufwand eine Liste der Löschungen bzw. Korrekturen.
Diese Liste wird für eine Wiederherstellung von Daten aus einem Backup verfügbar gemacht und auf diesen angewandt, bevor die Daten genutzt werden.

KMU Perspektive: Eine ausgefeilt gestaltete Lösung würde Maintenance-, Update- und Trainings-Aufwand erzeugen, auch während der Zeit, in der sie nicht genutzt wird.
Anfragen nach Artikel 15-18 sind immer noch recht selten.
Restores sind auch vergleichsweise selten.
Die technische Umsetzung der Maßnahme kann so – angemessen zur Häufigkeit bzw. Seltenheit von Restores - kostenminimiert ausfallen: vermutlich wird der Sysadmin, der den Restore durchführt, schon mit Bordmitteln (Script) die Löschungen umsetzen können. Dieses Vorgehen wird beispielhaft getestet und detailliert dokumentiert als Bestandteil der Beschreibung der TOM.

Große Unternehmen und solche, in denen auf Grund der Art des Geschäfts Anfragen nach DSGVO Art. 15-18 häufig sind, kommen an der (Semi-/Voll-)Automatisierung der Ausführung von Löschungen und Korrekturen an wiederhergestellten Backups nicht vorbei.

Links

[1]: Artikel 15: Auskunftsrecht der betroffenen Person
https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679#d1e2528-1-1
[2]: Artikel 16: Recht auf Berichtigung
https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679#d1e2614-1-1
[3]: Artikel 17: Recht auf Löschung
https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679#d1e2621-1-1
[4]: Artikel 18: Recht auf Einschränkung der Verarbeitung
https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679#d1e2715-1-1
[5]: BDSG-neu HTML
https://www.gesetze-im-internet.de/bdsg_2018/index.html#BJNR209710017BJNE003600000
[6]: BDSG-neu PDF
https://www.gesetze-im-internet.de/bdsg_2018/BDSG.pdf
[7]: §34 BDSG
https://www.gesetze-im-internet.de/bdsg_2018/__34.html
[8]: §35 BDSG
https://www.gesetze-im-internet.de/bdsg_2018/__35.html
[9]: Artikel 32: Sicherheit der Verarbeitung
https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679#d1e3395-1-1
[10]: Artikel 4: Begriffsbestimmungen
https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679#d1e1508-1-1

• ← Previous Post
• Next Post →