Das „Recht auf Vergessenweden“ erhielt spätestens mit dem „Google-Spain-Urteil“ nicht nur mediale Aufmerksamkeit, sondern auch den entgültigen Einzug in die Datenschutzlandschaft. Mit dem Start der DS-GVO steht dieses Recht in einer Reihe mit dem Recht auf Löschung in Art. 17. Dabei regelt die entsprechend benannte Norm primär Löschpflichten.
RECHT AUF LÖSCHUNG
Demnach sind personenbezogene Daten unverzüglich zu löschen, sobald die Daten zum ursprünglichen Verarbeitungszweck nicht mehr notwendig sind, bzw. die betroffene Person ihre Einwilligung widerrufen hat und kein sonstiger Rechtfertigungsgrund einschlägig ist, die betroffene Person Widerspruch einlegt und keine vorrangigen berechtigten Gründe für die Verarbeitung vorliegen oder die Löschung zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich ist. Daneben sind die Daten selbstverständlich zu löschen, wenn bereits die Verarbeitung an sich unrechtmäßig war.
Der Verantwortliche unterliegt also einerseits automatisch einer gesetzlichen Löschungspflicht und muss andererseits den Löschungsbegehren der Betroffene nachkommen. Wie die Daten im Einzelfall gelöscht werden sollen, wird vom Gesetz nicht weiter beschrieben. Maßgeblich ist, dass im Ergebnis keine Möglichkeit mehr besteht, die Daten ohne unverhältnismäßigen Aufwand wahrzunehmen. Als ausreichend wird es daher angesehen, die Datenträger physisch zu zerstören oder die Daten unter Verwendung spezieller Software endgültig zu überschreiben.
RECHT AUF VERGESSENWERDEN
Neben dem Recht auf Löschung findet das Recht auf Vergessenwerden Einzug in Art.17 Abs.2 DS-GVO:
Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er gemäß Absatz 1 zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.
Ein Löschantrag steht unter keinerlei Formvoraussetzungen und darf durch den Verantwortlichen auch nicht an solche geknüpft werden. Dennoch muss die Identität des Betroffenen in geeigneter Weise nachgewiesen werden. Anderenfalls kann der Verantwortliche erst noch zusätzliche Informationen anfordern oder das Löschen sogar verweigern. Liegt ein Antrag auf Löschung oder eine gesetzliche Löschpflicht vor, hat die Umsetzung unverzüglich zu erfolgen. Das bedeutet, dass dem Verantwortlichen nur eine angemessene Zeit zur Prüfung der Voraussetzungen einer Löschung zur Verfügung steht. Im Falle eines Löschungsantrags ist der Betroffene spätestens innerhalb eines Monats über ergriffene Maßnahmen oder über die Gründe der Ablehnung zu informieren.
Liegen gesetzliche Aufbewahrungsfristen vor, können die Daten nach dem Einhalt dieser Fristen gelöscht werden.
LÖSCHUNG UND VERNICHTUNG
In Art.4 lit. 2 DS-GVO wird zwischen „Löschen“ und „Vernichten“ unterschieden, es erfolgt jedoch keine spezifische Determinierung der Begriffe:
„Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Unter Löschung versteht man jegliche Art der Unkenntlichmachung der betroffenen Daten. Dass auch Sicherheitskopien der Daten zu löschen sind, ist in der DS-GVO nicht geregelt, war jedoch eigentlich in Art.17 Abs. 4 vorgesehen. Jedoch wurde dies letzten Endes nicht realisiert.
RECHTMÄßIGKEIT DER VERARNBEITUNG IN SICHERHEITSKOPIEN
In Art. 6 Abs. 1 sind die einzelnen Rechtsgrundlagen für die Erhebung personenbezogener Daten beschrieben und definiert. In lit. f beruft sich die Rechtsgrundlage auf das „Berechtigte Interesse“, sofern die Grundrechte der Betroffenen nicht überwiegen sollten. In ErwGr 49 DS-GVO wird auf den IT-Sicherheits-Aspekt verwiesen, der hier als berechtigtes Interesse gesehen werden kann. Die Verarbeitung darf jedoch nur erfolgen, wenn diese ausschließlich im Rahmen des notwendigen und für den Zweck angemessenen Umfangs erfolgt. Der Zweck bezieht sich in diesem Fall auf die Sicherstellung der Informationssicherheit. Art. 4 Z 12 besagt folgendes:
Im Sinne dieser Verordnung bezeichnet der Ausdruck: Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.
Ergo kann aus diesem Absatz ableiten, dass der Verlust von personenbezogenen Daten als Verletzung der Sicherheit anzusehen ist und damit auch mit einen Datenschutzverstoß gleichgesetzt werden muss. Die Datensicherung muss in Bezug auf die gesicherten personenbezogenen Daten jedoch „unbedingt notwendig und verhältnismäßig“ sein, um ein berechtigtes Interesse darstellen zu können und die Interessen und Grundrechts der natürlichen Personen dürfen nicht überwiegen.
Man kann also zusammenfassen, dass IT-Sicherheit ein berechtigtes Interesse für die Verarbeitung in Backups ist.
EIN DATENSICHERUNGSKONZEPT IST DIE GRUNDLAGE FÜR DIE RECHNTMÄIGKEIT DER SPEICHERUNG
Eine Organisation, die das „berechtigte Interesse“ als Grundlage für die Rechtmäßigkeit der weiteren Verarbeitung personenbezogener Daten in Datensicherungen heranziehen möchte, muss ein angemessenes Datensicherungskonzept erarbeiten und beschreiben, wie die Sicherung erfolgt. Diese Sicherung erfolgt pseudonymisiert. Die Daten können ohne weitere Zwischenschritte nicht direkt ausgelesen werden.
- Eingeschränkter Personenkreis führt die Sicherung durch
- Backups sind räumlich getrennt von den normalen Rechnern und der Zugriff ist eingeschränkt.
- Mitarbeiter, die personenbezogene Daten verarbeiten, haben keinen Zugriff.
- Der Restoreablauf (Datenwiederherstellung) ist Bestandteil im Datensicherungskonzept.
- Sicherungskopien erfolgen in mäßigen Abständen. Sicherungskopien werden regelmäßig überschrieben/vernichtet und haben kein Ablaufdatum
Kommt es zu einem Löschersuchen, muss man die Sicherungskopien/Backups nicht löschen, solange man ein geeignetes Datensicherungskonzept besitzt. Die Rechtsgrundlage stützt sich hierbei auf das berechtigte Interesse. Bei der Widerherstellung von Daten aus den Backups sind im aktiven System, die Daten die bereits daraus gelöscht wurden, erneut zu löschen/vernichten. Somit ist eine erneute Nutzung der Daten ausgeschlossen.