Gastbeitrag Clearswift
EU-DSGVO: „Recht auf Vergessenwerden“ und Backups – ein Widerspruch?
Ein Kommentar von Michael Kretschmer, VP EMEA von Clearswift RUAG Cyber Security
Kürzlich wurde in verschiedenen Medien, unter anderem auf Blogs über die Frage spekuliert, ob Daten, welche in Backups gespeichert sind, nicht identifizierbar seien und somit nicht endgültig gelöscht werden könnten. Grund dafür sei, so die Vermutung, dass man Backup-Dateien nicht nach den persönlichen Daten einzelner Nutzer durchsuchen könne, um diese somit zu löschen und dem individuellen Wunsch nach Vergessenwerden nachzukommen. Dies gelte insbesondere für Daten, die sich in einem RDBMS (Relational Database Management System) oder einer Tabellenkalkulation befinden. Wenn dem so wäre, würde dies zu Konflikten führen bzgl. des „Recht auf Vergessenwerdens“, einem festen Bestandteil der neu in Kraft getretenen DSGVO?
Zum Hintergrund: Backups sind ein Hauptprozess der meisten Unternehmen, und während sich Methoden und Häufigkeit ihrer Erstellung im Laufe der Jahre verändert haben, ist die Prämisse die gleiche geblieben. Nämlich in der Lage zu sein, alle Daten zu einem bestimmen Zeitpunkt wiederherstellen zu können. Backups können entweder auf einer „Standard“-Festplatte, einem Tape und einem WORM-Medium (Write Once, Read Many) gespeichert sein. Gleiches gilt auch für Archivdaten – obwohl diese normalerweise indiziert sind und Informationen somit viel leichter aufzufinden sind. Darüber hinaus könnten inkrementelle Backups, je nach Backup-System, stündlich auf einer Festplatte erfolgen, dann täglich gespeichert und für Wochen, Monate oder gar Jahre in langfristige Backups eingestellt werden. Es kann demzufolge Backups geben, welche bereits Jahrzehnte lang bestehen. Genau diese Tatsache führt zu Problemen mit der DSGVO, insbesondere mit dem „Recht auf Vergessenwerden“ („Right to be Forgotten“ oder auch RTBF).
Wenn ein RTBF-Antrag eingeht, besteht die Möglichkeit, das gesamte alte Backup-bzw. Archivmaterial durchzugehen, den Antragsteller zu suchen und die entsprechenden Daten zu löschen. Auf der Festplatte würde die Suche relativ schnell vonstattengehen, auf dem Tape hingegen relativ langsam. Auf WORM würde sich die Suche allerdings als nahezu unmöglich erweisen- da es sich ja um “Write Once” handelt (dies ist schließlich darauf ausgelegt, nicht verändert zu werden – niemals.) Dies wäre also das Verfahren, wenn ein einzelner Antrag im Unternehmen eingeht. Allerdings wird es nicht bei einem Antrag bleiben, sondern es könnten jederzeit immer mehr Forderungen eingehen.
Auch der Übergang zu einem Szenario der Archivierung, bei dem Informationen der leichteren Auffindbarkeit wegen vor ihrer Speicherung indiziert werden, bedeutet nicht, dass dies die perfekte Lösung ist. Schließlich kommt auch hier die WORM-Speicherung zum Einsatz. Weiterhin kann in vielen Fällen eine Datei vorhanden sein, welche die personenbezogenen Daten des Betroffenen, aber auch andere Informationen enthält – so dass das einfache Löschen also nicht unbedingt eine Option ist. In solchen Fällen muss womöglich die gesamte Datei neu geschrieben werden, wobei dann die entsprechenden Daten ausgelassen werden.
Die Frage, die sich hier ergibt, ist die nach einer naheliegenden Lösung für diese Herausforderung – doch eine solche Lösung existiert nicht. Historische Backups und Archive könnten an der DSGVO-Compliance scheitern. Der Grund: Viele Organisationen migrieren ihre Backups (und Archive) im Laufe der Zeit. Dies erfolgt als „bewährtes Verfahren“, um zu gewährleisten, dass die Informationen wiederherstellbar sind. Möglicherweise ist ein Verfahren zur Löschung von RTBF-Informationen im Rahmen dieser Migration etwas, was Datenschutzbehörden als „Best Practice“ akzeptieren werden. Die Backup-Migration ist jedoch ein kontinuierlicher Prozess und könnte unter Umständen Jahre dauern.
Eine andere Alternative ist die Einführung eines Mechanismus‘, der Informationen bei der Wiederherstellung löscht. Auch dies ist ein festgelegter Prozess zum Ablauf, den Datenschutzbehörden als Weg zur Umsetzung des RTBF-Antrags akzeptieren könnten – und welcher minimale Unterbrechungen verursachen würde. Beide Konzepte werden auch die Herausforderung des „Vergessenwerdens“ und der gleichzeitigen Erinnerung daran, dass sie vergessen wurden, meistern müssen. Dies ist mithilfe eines „Einweg-Hashs“ für diese Information möglich – und auf diese Weise würde die Blockchain das Problem der Verschlüsselung „personenbezogener“ Informationen in Transaktionen lösen.
Fazit
Insgesamt lässt sich festhalten: Aufgrund der Tatsache, dass die DSGVO kürzlich erst in Kraft getreten ist, gibt es innerhalb der Verordnung noch verschiedene dunkle Winkel, welche noch besser erforscht werden müssen. Diese werden allerdings erst wirklich konkret werden, sobald es Rechtsfälle hierzu gibt.