Diese Frage ist in der Literatur umstritten und leider noch nicht ausreichend wissenschaftlich geklärt. Es gibt verschiedene Vorschriften in der DSGVO, die für eine sofortige Löschung mit Wegfall der Erforderlichkeit oder sobald ein Betroffener dies nach Art. 17 DSGVO verlangt, sprechen. Zu nennen sind hier neben Art. 17 DSGVO aus den Grundsätzen für die Verarbeitung personenbezogener Daten die Art. 5 Abs. 1 lit. c) (Datenminimierung) und e) (Speicherbegrenzung).
Daraus könnte man also ableiten, dass eine Löschung der Daten in den längerfristigen Backups jedenfalls nach 14 Tagen (so eine Auffassung) oder spätestens innerhalb eines Monats (wenn man auf Art. 12 Abs. 3 DSGVO abstellt) herausgelöscht werden müssten. Dem stehen in der Regel aber schon praktische Probleme entgegen. Üblich und wohl auch dem Stand der Technik entsprechend, werden in der IT parallel Backups über verschieden Zeitebene hinaus erstellt. Neben täglichen Snapshots werden möglicherweise auch, wöchentliche, monatliche oder jährliche Sicherungen vorgenommen. Das Vorhandensein von Verschlüsselungstrojaner, die erst nach einer gewissen Zeit aktiv werden, legt dies auch nahe. Auch rechtlichen Gründe sprechen für dieses Vorgehen. Die DSGVO fordert mit Art. 32 DSGVO selber Maßnahmen hinsichtlich der Sicherstellung der Verfügbarkeit (Art. 32 Abs. 1 lit b DSGVO) zu treffen, sowie die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherstellen zu können (Art. 32 Abs. 1 lit c DSGVO). Um den Stand der Technik zu entsprechen, sollten Backups auch integer und revisionssicher sein. Würde man bei längerfristigen Backups einzelne Datensätze herauslöschen müssen, kann die Integrität solcher Backups und deren Widerherstellbarkeit meistens nicht mehr vollständig sichergestellt werden, falls es denn überhaupt geht.
Insofern gibt es in der Literatur ebenfalls Stimmen, die es nicht für datenschutzrechtlich gefordert ansehen, dass Sicherungskopien nur monatlich erstellt werden dürfen bzw. Daten aus längerfristigen Backups herausextrahiert werden müssen. Begründet wird dies damit, dass der Artikel 32 DSGVO keine direkten Ausnahmen von der Einhaltung der Sicherheit vorsieht und die Verhältnismäßigkeit der Maßnahmen risikobasiert vorzunehmen sei. Es geht hier insbesondere auch um das Recht auf Verfügbarkeit der Daten anderer Betroffener. Auch Art. 17 DSGVO sieht in Art. 3 Ausnahmen vor. Insbesondere dann, wenn dies der Erfüllung anderer rechtlicher Verpflichtung des Rechts der Union oder der Mitgliedstaaten dient, wozu man Art. 32 DSGVO mitzählen kann. Insofern ist es jedenfalls vertretbar keine Löschung in Langzeit-Backups vorzunehmen.
Auch in diesem Fall ist der Datenschutz der Betroffenen durch bestimmte Maßnahmen sicherzustellen:
- Zweckbindung hinsichtlich der Sicherheitskopien.
- Angemessener Schutz der Backups vor unbefugten Abrufen.
- Zu löschende Daten sind spätestens nach dem Wiederherstellungsprozess zu entfernen.
- Betroffene sind darüber zu informieren, dass ihre Daten nicht entfernt werden.
Es ist schade, dass der der Gesetzgeber all die Jahre nicht geschafft hat hier eine klare rechtliche Grundlage für längerfristige Backups zu schaffen. Es ist aber rechtlich vertretbar eine solche Speicherung durchzuführen.
