Das Recht auf Löschung nach Art. 17 DSGVO gehört zu den zentralen Betroffenenrechten im europäischen Datenschutzrecht. In der Praxis zeigt sich jedoch immer wieder, dass gerade die Löschung personenbezogener Daten in Backup-Systemen und komplexen IT-Architekturen zu den anspruchsvollsten Compliance-Themen überhaupt zählt.
Für Geschäftsführer und Führungskräfte ist diese Entwicklung von hoher Relevanz. Denn der Bericht macht deutlich, dass Aufsichtsbehörden nicht nur auf formale Löschkonzepte achten, sondern zunehmend die technische Realität in Unternehmen bewerten. Es reicht nicht mehr aus, Löschung abstrakt in Richtlinien zu beschreiben. Erwartet wird ein belastbares Zusammenspiel aus Datenschutzorganisation, IT-Sicherheitsarchitektur und dokumentierten Prozessen für den Ernstfall.
Warum Backups datenschutzrechtlich so anspruchsvoll sind
⚖️ Art. 17 DSGVO
Verlangt die unverzügliche Löschung personenbezogener Daten, wenn kein Rechtfertigungsgrund für die weitere Verarbeitung besteht.
🛡️ Art. 32 DSGVO
Verpflichtet Unternehmen dazu, Verfügbarkeit, Integrität und Wiederherstellbarkeit von Daten durch Backups sicherzustellen.
In modernen Sicherungsarchitekturen ist die gezielte Entfernung einzelner Datensätze aus bestehenden Backups oft technisch kaum sinnvoll umsetzbar. Wer ein geschlossenes Backup-Archiv nachträglich verändert, riskiert die Integrität des gesamten Sicherungsbestands. Aus datenschutzrechtlicher Sicht bedeutet das: Die Löschpflicht endet nicht an der Backup-Grenze, aber ihre praktische Erfüllung muss im Spannungsfeld von Recht, Technik und IT-Sicherheit bewertet werden.
Der zentrale Befund des EDSA: Kein Freibrief, aber ein praxisnaher Ansatz
Der EDSA verfolgt einen pragmatischen Ansatz. Bestehende Backups müssen nicht in jedem Fall aktiv durchsucht und verändert werden. Entscheidend ist, ob eine Löschung technisch überhaupt möglich ist, ohne die Schutzfunktion des Backups zu gefährden. Wer sich auf technische Unmöglichkeit beruft, muss dies dokumentieren. Ruhende Daten im Backup dürfen jedoch streng geschützt nicht für operative Zwecke genutzt werden.
⚠️ Der eigentliche Compliance-Prüfstein: der Restore-Fall
Der entscheidende Punkt liegt nicht im ruhenden Backup, sondern im Wiederherstellungsfall. Wird ein System wiederhergestellt, können personenbezogene Daten erneut in das produktive System gelangen. Der Löschanspruch lebt in diesem Moment praktisch wieder auf. Ein rechtssicheres Löschkonzept braucht ein separates Löschregister oder eine technische Steuerung, um gelöschte Datensätze bei einem Restore automatisiert erneut zu entfernen.
Was der Bericht über die Praxis in Unternehmen offenlegt
Die europäische Untersuchung zeigt ein gemischtes Bild. Häufig resultieren Schwachstellen aus historisch gewachsenen IT-Landschaften und mangelnder abteilungsübergreifender Zusammenarbeit. Zu den gravierendsten Defiziten zählen:
Interne Verfahren
Fehlende oder unklare Prozesse sowie unzureichend geschulte Mitarbeitende bei Löschanträgen.
Fristen & Ausnahmen
Probleme bei der Einhaltung von Aufbewahrungsfristen und Unsicherheiten bei Art. 17 Abs. 3 DSGVO.
Pseudonymisierung
Defizite bei der Anonymisierung, wenn Daten nicht gelöscht, sondern nur unzureichend pseudonymisiert werden.
Löschpflichten brauchen ein belastbares Zusammenspiel aus Datenschutz und Informationssicherheit
Ein wirksames Löschkonzept beginnt bei der Frage, wo Daten verarbeitet werden und wie sich produktive Daten, Archive, Protokolle und Backups unterscheiden. Besonders wichtig ist eine Architektur, in der Löschentscheidungen systematisch nachvollzogen werden können.
- Klare Zuständigkeiten und dokumentierte Workflows
- Definierte Prüfmaßstäbe für Ausnahmetatbestände
- Technisch umsetzbare Routinen im Produktivsystem
- Verzahnte Disaster-Recovery- und Restore-Prozesse
Warum auch KI- und Datenplattformen neu gedacht werden müssen
Wo personenbezogene Daten in Data Lakes oder KI-Systemen verarbeitet werden, betont die Datenschutzkonferenz das Gewährleistungsziel der Intervenierbarkeit. Verantwortliche müssen auf Datenverarbeitungen eingreifen und Betroffenenrechte umsetzen können. Bevorzugt werden Systeme, bei denen eine Löschung beherrschbar bleibt oder ein Retraining ohne die betroffenen Daten möglich ist. Datenschutz by Design ist hier ein operatives Entscheidungskriterium.
Was Unternehmen jetzt konkret tun sollten
1. Datenflüsse verstehen
Ein vollständiges Verständnis der eigenen Datenflüsse und Speicherorte etablieren.
2. Klare Regeln definieren
Verbindlich festlegen, wann gelöscht, wann gesperrt und wann aufbewahrt werden darf.
3. Zentrales Register
Ein Verfahren implementieren, mit dem Löschersuchen systemübergreifend nachgehalten werden.
4. Backups abgrenzen
Backup-Strategien sauber von operativen und analytischen Datenbeständen trennen.
5. Restore testen
Den Restore-Prozess absichern, damit gelöschte Daten nicht unbemerkt in den aktiven Bestand zurückkehren.
Häufig gestellte Fragen (FAQ)
Müssen Backups für Löschanfragen sofort durchsucht und verändert werden?
Nein. Der Europäische Datenschutzausschuss (EDSA) verfolgt hier einen pragmatischen Ansatz. Wenn eine Löschung im Backup technisch die Integrität der gesamten Datensicherung gefährden würde, muss sie nicht zwingend sofort erfolgen. Voraussetzung ist jedoch, dass diese Unmöglichkeit dokumentiert wird und die Backups streng geschützt ausschließlich für die Notfall-Wiederherstellung genutzt werden.
Was ist das größte datenschutzrechtliche Risiko bei Backups?
Der eigentliche Compliance-Prüfstein ist der sogenannte Restore-Fall. Wird ein System aus einem älteren Backup wiederhergestellt, gelangen zuvor rechtmäßig gelöschte Daten wieder in das produktive System. Hier muss durch Löschregister oder automatisierte Prozesse sichergestellt werden, dass diese Daten umgehend erneut entfernt werden.
Wie wirkt sich der Einsatz von Künstlicher Intelligenz auf Löschpflichten aus?
Bei KI-Systemen und Data Lakes fordert die Aufsicht die „Intervenierbarkeit“. Unternehmen müssen in der Lage sein, Datensätze in Trainingsdaten wiederzufinden und Betroffenenrechte umzusetzen. Löschfähigkeit muss als Architekturprinzip (Datenschutz by Design) bei der Beschaffung und Entwicklung von KI zwingend mitgedacht werden.
Reicht ein schriftliches Löschkonzept für die Aufsichtsbehörden aus?
Nein, ein formales Konzept auf dem Papier ist nicht mehr ausreichend. Die Aufsichtsbehörden bewerten zunehmend die technische Realität. Es wird ein belastbares, funktionierendes Zusammenspiel aus Datenschutzorganisation, IT-Sicherheitsarchitektur und tatsächlich überprüfbaren, dokumentierten IT-Prozessen erwartet.
