Backups und Archive – wie weit geht die Löschpflicht für personenbezogene Daten?

RA / Fachanwalt für IT-Recht Dr. Jens Bücking, Stuttgart

 

Die Frage wird in der Unternehmenspraxis insbesondere bei Daten ausgeschiedener Arbeitnehmer relevant. Dabei kommt der Abgrenzung Archivdaten zu Backup-Daten maßgebliche Bedeutung zu:
Es wird vertreten, dass es (ausnahmsweise) unzumutbar weil unverhältnismäßig wäre, Vertragsdaten zu Personen, beispielsweise ausgeschiedenen Arbeitnehmern, auf Backups oder in externen Speichern zu löschen. In Fällen, in denen hiervon die gesamte Sicherung erfasst würde, scheint dies sicherlich vertretbar. Es verwischen sich häufig die technischen und administrativ-organisatorischen Grenzen zwischen Archiv und Backup.

Unbestritten dürfte indes sein, dass dann, wenn das Backup – etwa nach einem Datendesaster – wieder eingespielt wird, auch eine (neuerliche) Löschung des betreffenden einzelnen Datensatzes erfolgen muss. Gilt dies aber auch vorher schon, weil dem Sicherungsbedürfnis des Arbeitgebers und insbesondere eben auch seiner Verpflichtung zu einer effizienten IT-Sicherheit der Vorrang eingeräumt werden müsste?

 

Grundsätzlich gilt:

 

  • Datenkopien, die im Rahmen der Datensicherung entstehen, sind bei der Löschung zu berücksichtigen.
  • Falls die Daten im Produktivsystem gelöscht werden, müssen sie zeitnah auch im Backup und weiteren Sicherungsmedien gelöscht werden. Sicherungskopien (z.B. auf einem USB-Stick) sind ebenfalls zu vernichten, ungeachtet dessen, wie viele Backups vorhanden sind.
  • Bei einer Datenwiederherstellung können unter Umständen Daten in Systeme zurückgespielt werden, in denen diese zuvor vernichtet wurden. In diesem Fall muss unverzüglich ein erneutes Vernichten erfolgen. Zudem muss gewährleistet sein, dass die Sicherungskopien nur für Zwecke der Systemwiederherstellung verwendet werden.

 

Aber gibt es eine Privilegierung für „echte Backups“?

Unternehmensorganisatorisch bedarf es eines Sicherungs- und Löschkonzepts für die bestimmten im IT-System vorhandenen Kategorien von Daten; dieses hat sich an den gesetzlichen Aufbewahrungsfristen zu orientieren.

Für das Löschkonzept wiederum ist eine klare Unterscheidung zwischen Archiven und Sicherungskopien notwendig.

 

Archive

 

… dienen dazu, Daten langfristig vorzuhalten. Daten werden häufig in Archive verlegt, wenn an Datensätzen oder anderen Beständen keine Veränderungen mehr vorgenommen werden, sie jedoch aus gesetzlichen oder sonst zulässigen Gründen weiterhin aufbewahrt werden müssen bzw. dürfen. Ein Archiv kann mithin unterschiedliche Datenarten mit unterschiedlichen Löschfristen enthalten.

Sicherungskopien (Backups)

… dürfen nicht als Archive verwendet werden, denn sie haben eine andere Funktion. Sie werden zur Wiederherstellung von Systemen und Datenbeständen nach Störungen benötigt und dürfen daher nicht verändert werden. Sicherungskopien existieren in der Regel in verschiedenen Versionen oder Versionsketten. Jede der Versionen kann unterschiedlich alte Datenbestände der gleichen Datenart enthalten. Die einzelnen Instanzen von Datenobjekten erreichen daher ihre Löschfrist zu sehr unterschiedlichen Zeiten. Zur Einhaltung von Löschregeln wären deshalb häufig einzelne Daten aus den Sicherungskopien zu löschen.

Zwischen Sicherungskopien und Archiven muss deshalb klar getrennt werden:

Die personenbezogenen Daten in Archiven unterliegen den Löschregeln der jeweiligen Datenkategorie und müssen nach diesen Regeln im Archiv gelöscht werden.

Für die Löschung von Sicherungskopien müssen dagegen eigene Fristen festgelegt werden, die bezüglich der Regellöschfristen der im Backup enthalten „gemischten“ Daten verhältnismäßig sind. Dann also werden die gelöschten Daten bei der nächsten Sicherungsgeneration nicht mehr gesichert, die frühere (getestet funktionsfähige) Version, die noch die zu löschenden Daten beinhaltet, wird – notfalls im Ganzen, wenn nicht sektoral oder speziell möglich – gelöscht.

Sündenfall Vermischung

 

Häufig werden Backupkonzepte vernachlässigt, wenn Daten archiviert werden. Allerdings trifft die Löschverpflichtung die Daten in Archiven ebenso wie die Anwendungsdaten der Produktivsysteme ohne Einschränkung. Die Privilegierung von Backupdaten ist auf solche Datenbestände nicht anwendbar.

Geeignete Löschfristen

 

Insgesamt ist die Rechtslage aber nicht vollständig geklärt, insbesondere wie weit die Privilegierung für „echte Backups“ reicht und mit welchen Fristen man auf der sicheren Seite ist:

Nach § 20 Abs. 3 BDSG tritt die Sperrung von Daten anstelle einer Löschung, soweit eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist.

(Vorsicht ist hier allerdings geboten; so führt die Kommentierung im Standardkommentar zum BDSG von Simitis, 8. Auflage, zu § 20 Abs. 3, RdNr 52ff aus: „Diese Voraussetzungen sind im Falle automatisierter Verarbeitung in aller Regel nicht gegeben.“)

Die eingangs dargestellten Argumente der Datensicherheit und der Unverhältnismäßigkeit allein verfangen aber schon deshalb nicht uneingeschränkt, weil aus Gründen der Datensicherheit und der Verfügbarkeit (Schutz vor zufälliger Zerstörung) häufig nach dem Großvater/Vater/Sohn-Prinzip Tages-, Monats und Jahressicherungen erstellt werden: Mit der Erstellung einer neuen Jahressicherung besteht keine Zweckerforderlichkeit mehr, die seitherige bzw. vorherige Jahressicherung noch im Weiteren vorzuhalten; sie wäre also zu löschen. Nach dieser Logik blieben maximal Backupdaten von 1 Jahr „vorrätig“ gespeichert.

Allerdings unterliegen diese Daten einer besonderen Zweckbindung. Insofern besteht insbesondere für Arbeitnehmerdaten, die der Arbeitgeber im Rahmen des Backup noch speichert, eine Zweckbindung und somit keine Gefahr für das Persönlichkeitsrecht des Arbeitnehmers. Der besonderen Zweckbindung wird auch Rechnung getragen bei einem Auskunftsersuchen, denn nach § 19 Abs. 2 BDSG unterbleibt eine Auskunft, wenn Daten Zwecken der Datensicherung dienen.

Im Ergebnis hat die verantwortliche Stelle der Sensibilität der Daten und der Aufbewahrung zur Aufgabenerforderlichkeit durch ein Backupkonzept mit entsprechenden Speicherfristen Rechnung zu tragen. Derartige Speicherfristen dürften sich dann zwischen 3 und 12 Monaten bewegen. Auch wenn belastbare Judikatur fehlt und unbeschadet der in der Literatur vertretenen teils kontroversen Ansichten: Innerhalb dieser Frist sollte es nicht erforderlich sein, in gleicher Weise bzw. zu den gleichen Zeitpunkten wie bei den Anwendungsdaten auch die Backupdaten zu löschen. Die besondere Zweckbindung dieser Daten verhindert eine unzulässige Verwendung und sichert das Persönlichkeitsrecht des Betroffenen.