Ein wichtigstes Instrument in der Datenschutz-Grundverordnung (DSGVO) sind die sog. „Betroffenenrechte“ nach Art. 12–23 DSGVO, wobei insbesondere das Recht auf Auskunft (Art. 15 DSGVO) und das Recht auf Löschung (Art. 17 Abs. 1 DSGVO) bzw. das „Recht auf Vergessenwerden“ (Art. 17 Abs. 2 DSGVO) in der Praxis Anwendung finden.
Dieser Beitrag befasst sich mit dem Recht auf Löschung einer betroffenen Person. Hier stellt sich in der praktischen Umsetzung für Verantwortliche oft die (technische) Frage, wann das Löschersuchen vollständig erfüllt ist, insbesondere, wenn Backup-Systeme im Spiel sind. Betroffene sollten sich wiederum bewusst machen, dass es neben der Löschung auch die Anonymisierung von Daten geben kann.
EDSA-Bericht zu technischen Aspekten der Datenlöschung in Backups
Im Rahmen der vom Europäischen Datenschutzausschuss (EDSA) koordinierten Prüfaktion zur Umsetzung des Rechts auf Löschung (CEF 2025, wir berichteten) wurde von den Datenschutzbehörden u. a. thematisiert, ob und inwiefern ein Löschersuchen nach Art. 17 DSGVO auch Daten in Backups betrifft. Im Gegensatz zum „Live-System“ (wie z. B. Outlook oder eine HR-Software), Verzeichnissen, Dokumenten und Akten in Papierform, nehmen technische „Backup-Systeme“ eine spezielle Rolle ein. Backups sind Teil der technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO, um bspw. „die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen“ (Art. 32 Abs. 1 lit. c DSGVO). Die Daten im „Backup-System“ sind losgelöst von denen im „Live-System“ zu betrachten und dienen nur dem Zweck, im Notfall eine Wiederherstellung der „alten“ Daten zu ermöglichen. Im Regelfall werden diese Daten bei modernen Systemen mit der Zeit überschrieben bzw. gelöscht. Zudem haben idealerweise nur wenige Personen Zugriff auf die Backups, die gesondert verschlüsselt oder geschützt vorgehalten werden.
Der EDSA stellt hierzu im Ergebnis dieser Untersuchung fest:
„Backups sind ein wichtiges Instrument zum Schutz der Integrität personenbezogener Daten, wenn der Verantwortliche von einem Sicherheitsvorfall (z. B. Ransomware) betroffen ist. Daher ist es wichtig, die Integrität der Backups zu schützen. Je nach technischen Einstellungen und Risiken ist es möglicherweise nicht immer ratsam, Informationen aus Backups zu ändern oder zu löschen.“ (EDSA, CEF-Ergebnisbericht, S. 20, Übersetzung aus dem Englischen)
Eine Löschung im „Live-System“ sollte immer möglichst zeitnah umgesetzt werden und ist in den meisten Fällen problemlos möglich. Bei (komplexen) Backup-Systemen stellt sie jedoch ein Risiko dar (Integrität des Backups wäre gefährdet), sodass eine Interessenabwägung zwischen dem Wunsch der betroffenen Person und dem Grundsatz der Datenintegrität (Art. 5 Abs. 1 lit. f DSGVO) vorgenommen werden muss, welche oftmals der Löschung der Daten aus dem Backup entgegenstehen dürfte. Weiterhin könnte es technisch nur schwer oder gar nicht umsetzbar sein, einen einzelnen Datensatz herauszusuchen und (manuell) zu löschen. Zudem könnte argumentiert werden, dass eine Speicherung von Daten in einem Backup lediglich der IT-Sicherheit dient und sie nicht für den ursprünglichen Zweck verarbeitet werden. Daher erfolgt keine „aktive“ Weiternutzung dieser Daten, sofern es eben nicht zu der „Wiederherstellung“ kommt.
Diese Problematik wurde auch bereits in § 35 Bundesdatenschutzgesetz (BDSG) aufgegriffen:
„Ist eine Löschung im Fall nicht automatisierter Datenverarbeitung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich und ist das Interesse der betroffenen Person an der Löschung als gering anzusehen, besteht das Recht der betroffenen Person auf und die Pflicht des Verantwortlichen zur Löschung personenbezogener Daten gemäß Artikel 17 Absatz 1 der Verordnung (EU) 2016/679 ergänzend zu den in Artikel 17 Absatz 3 der Verordnung (EU) 2016/679 genannten Ausnahmen nicht. In diesem Fall tritt an die Stelle einer Löschung die Einschränkung der Verarbeitung gemäß Artikel 18 der Verordnung (EU) 2016/679. Die Sätze 1 und 2 finden keine Anwendung, wenn die personenbezogenen Daten unrechtmäßig verarbeitet wurden.“ (§ 35 Abs. 1 BDSG)
Im Rahmen seines CEF-Berichts kündigte der EDSA bereits weitere Unterstützung an. Zunächst sollen zusätzliche Handlungsempfehlungen für einen praktischen Umgang zu Datenlöschungen in Backups bereitgestellt werden. Auch sollen Standards vorschlagen werden, wie Daten in einer sicheren und strukturierten Weise vernichtet werden können und wie verantwortliche Stellen dies nachweisen können. Als sog. „Best Practices“ werden dabei eine automatische Übermittlung, aber auch ggf. die Anonymisierung vor Überführung, von personenbezogenen Daten in ein Backup hervorgehoben.
Anonymisierung als Löschung? Oder doch nicht?
Überdies wurde jüngst in einem Verfahren vor dem Oberlandesgericht (OLG) Dresden (Urteil vom 03.02.2026, Az. 4 U 292/25) vom Gericht geklärt, ob die Löschung auch mit einer „Anonymisierung“ gleichzustellen ist und im Ergebnis eine solche Anonymisierung bereits ausreicht, um dem Grundgedanken aus Art. 17 Abs. 1 DSGVO zu entsprechen.
In dem vielbeachteten Rechtsstreit gegen Meta Platforms (Facebook) hob das OLG Dresden in seinem Urteil hervor:
„Der Klagepartei steht auch ein Anspruch auf Anonymisierung der in Ziffer 1 b) und c) aufgeführten Daten zu, Art. 17 DSGVO. Die DSGVO sieht zwar kein ausdrückliches Recht auf Anonymisierung vor, jedoch ist diese ein Minus zur Löschung und damit von Art. 17 DSGVO umfasst. Der Löschpflicht kann auch durch entsprechende Anonymisierung der Daten entsprochen werden (vgl. Meents/Hinzpeter in Traeger/Gabel (Hrsg.) Kommentar zur DSGVO, 2022, § Art. 17, Rn 75; Schaffland/Holthaus in Schaffland/Wiltfang, Kommentar DSGVO 2025, Art. 17, Rn 57a – juris), wenn die betroffene Person die Anonymisierung verlangt.“
Dies entspricht grundsätzlich dem derzeitigen Konzept der DSGVO, wonach bei einer angenommenen Anonymisierung, d. h. dem fehlenden Personenbezug, der Datensatz aus dem Anwendungsbereich der DSGVO herausfällt, was im Ergebnis grundsätzlich auch das Ziel der Löschung ist, auch wenn der Weg dahin anders sein dürfte.
Doch diese Argumentation kann auch infrage gestellt werden. Während das Ziel der Löschung darin liegt, dass diese Daten vernichtet werden bzw. nicht mehr existieren (oder unkenntlich gemacht werden), sind generell bei einer Anonymisierung noch Teile dieser Daten vorhanden, nur eben nicht (mehr) der Personenbezug. Es verbleiben also weiterhin Informationen, z. B. in einer Datenbank. Zwar könnte dies bei einer „einfachen“ Löschung (Überschreibung) einer Datei auf einem Computer oder einer Datenbank ebenfalls passieren, da dieses nicht zwangsläufig eine physische Zerstörung der Speichermedien bedeutet. Hierzu gibt es seitens des BSI technische Empfehlungen zur Umsetzung eines Löschkonzepts. Doch am Ende soll sichergestellt sein, dass keine Infos mehr abrufbar/vorhaben sind. Die Zerstörung von Informationen, z. B. durch Schreddern, ist diesbezüglich auf den ersten Blick sicherer.
Dieses ist jedenfalls einer „Schwärzung“ von Unterlagen vorzuziehen, die wiederum weitere Risiken mit sich bringt, wie z. B. die fehlerhafte Unkenntlichmachung. Einen Leitfaden, wie Sie Dokumente erfolgreich schwärzen, finden Sie übrigens hier: Bayerischer Landesbeauftragter für den Datenschutz (BayLfD), AKI 66.
Eine Frage der Definition?
Die Begriffe „Anonymisierung“ und „Löschung“ werden auch vom EDSA differenziert voneinander betrachtet. So wird die Anonymisierung von Daten als technische Schutzmaßnahme empfohlen, falls deren Löschung nicht unmittelbar umzusetzen ist. Auf der anderen Seite stellt der EDSA fest, dass eine Anonymisierung von personenbezogenen Daten in Einzelfällen (Verwendung von Daten zu Analyse- und Statistikzwecken) mit der Löschung gleichgesetzt wird. Diese Gleichsetzung trifft in der praktischen Anwendung allerdings nicht immer zu. Ursächlich dafür ist eine Unklarheit im Hinblick darauf, was rechtlich und technisch unter dem Begriff Anonymisierung zu verstehen ist. Dies umfasst auch die Abgrenzung zu dem Vorgang der Pseudonymisierung. Auch hierzu möchte der EDSA entsprechende technische Leitlinien bereitstellen.
Während der Begriff der „Pseudonymisierung“ legaldefiniert ist (Art. 4 Ziffer 5 DSGVO) findet sich derzeit keine gesetzliche Definition der „Anonymisierung“ wie auch der „Löschung“ innerhalb der DSGVO. Es ergibt sich lediglich aus dem Grundgedanken des Datenschutzrechts, dass durch das „unumkehrbare Entfernen des Personenbezugs“ (vgl. Hansen, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht. 2. Auflage 2025, Art. 4 Nr. 5, Rn. 23) diese Daten aus dem Anwendungsbereich der DSGVO fallen.
Hier verbleiben allerdings gewisse Risiken: Denn durch die zunehmende Rechenleistung und wachsende Datensätze könnte die für eine Anonymisierung gehaltene Methode in Wirklichkeit eine Pseudonymisierung sein, wenn bspw. später durch das Hinzufügen von Daten oder durch weiterhin bestehende „Verknüpfungen“ ein Personenbezug (wieder) hergestellt werden könnte.
Das Thema ist im Kontext der aktuellen Diskussion zur Anpassung des Begriffs des personenbezogenen Datums und der Rechtsprechung vom EuGH (wir berichteten) zu betrachten.
Fazit
Betroffenen Personen, die ein Löschersuchen nach Art. 17 DSGVO geltend machen, sollte bewusst sein, dass Löschung nicht immer Löschung bedeutet, wie an der regelmäßigen Datenaufbewahrung in Backups deutlich wird. Auch ist die rechtliche und technische Abgrenzung zu dem Vorgang der Anonymisierung dabei unklar. Die DSGVO bleibt vermutlich diesbezüglich auch in naher Zukunft sehr abstrakt und technikneutral.
Mit Spannung dürften die angekündigten praktischen Handlungsempfehlungen, Leitlinien und Standardisierungsmaßnahmen des EDSA erwartet werden, die etwas Licht ins Dunkel bringen. Dabei ist auch zu begrüßen, dass der EDSA – jedenfalls indirekt – einen praxisnahen Ansatz verfolgt. Der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Baden-Württemberg hat in diesem Kontext bereits einen ersten Überblick über „Best Practices“ veröffentlicht.