openDesk Backupkonzept

Löschkonzept

Dieses Löschkonzept beschreibt die organisatorischen, technischen und regulatorischen Grundlagen zur Löschung von Backup-Daten im Kontext eines Kubernetes-basierten Backup-Systems auf Basis von k8up und Restic. Ziel ist eine DSGVO-konforme, revisionssichere und nachvollziehbare Löschung von Sicherungskopien sowie die Erfüllung der Anforderungen aus Art. 5, Art. 17, Art. 28 und Art. 32 DSGVO sowie DIN 66395.

Retention-Strategie und automatische Löschung

Die Löschung von Backups erfolgt primär durch zeitbasierte Retention-Regeln. Die aktive Retention-Policy umfasst:

  • keepLast: 5
  • keepDaily: 14
  • keepWeekly: 4
  • keepMonthly: 12
  • keepYearly: 2

Auf Grundlage dieser Parameter werden alle Snapshots, die keiner dieser Kategorien entsprechen, von k8up als löschbar markiert und anschließend über Restic-Pruning entfernt. Die Retention-Policy gewährleistet damit:

  • eine systematische Reduktion historischer Snapshots,
  • die Einhaltung des Grundsatzes der Speicherbegrenzung gemäß Art. 5 Abs. 1 lit. e DSGVO,
  • eine Begrenzung der Vorhaltezeit personenbezogener Daten auf ein definiertes Minimum,
  • die Gewährleistung der Wiederherstellbarkeit über unterschiedliche Zeithorizonte (täglich, wöchentlich, monatlich, jährlich).

Backups beinhalten naturgemäß vollständige Systemabbilder und somit sämtliche Datenarten und Löschklassen. Eine selektive Löschung einzelner personenbezogener Datensätze innerhalb eines Snapshots ist technisch nicht möglich. Die Umsetzung individueller Löschbegehren erfolgt ausschließlich im Produktivsystem. Der betreffende Datensatz wird anschließend nicht mehr in zukünftigen Backups enthalten sein; historische Snapshots verbleiben nur bis zum Ablauf der Retention und werden dann vollständig gelöscht. Dieses Vorgehen entspricht Art. 17 Abs. 3 DSGVO, da Backups ausschließlich der Wiederherstellung und nicht der operativen Nutzung dienen.

Für Daten mit gesetzlichen Mindestaufbewahrungsfristen gemäß Art. 89 DSGVO erfolgt keine Umsetzung der Aufbewahrungspflichten über das Backup-System. Archivpflichtige Daten (z. B. steuerrechtliche Informationen oder Vertragsunterlagen) sind in separaten revisionssicheren Archivsystemen abzulegen. Backups dienen ausschließlich technischen Wiederherstellungszwecken und ersetzen keine gesetzlich vorgesehene Langzeitarchivierung. (Best Practice)

Dokumentation, Nachvollziehbarkeit und Auditfähigkeit der Löschung

Zur Erfüllung der Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO müssen Löschvorgänge nachvollziehbar, überprüfbar und dokumentiert sein. Technische und organisatorische Maßnahmen stellen sicher, dass Löschprozesse dauerhaft nachgewiesen werden können:

Technische Protokollierung

Die folgenden Maßnahmen zur technischen Protokollierung entsprechen etablierten Best Practices:

  • k8up generiert detaillierte Logs über Backup-, Prune- und Check-Vorgänge. Die Logs enthalten unter anderem angewendete Retention-Regeln, identifizierte und entfernte Snapshots sowie Erfolg oder Fehlschlag der Löschoperationen.
  • Restic erzeugt ergänzende Prune-Logs, die exakt dokumentieren, welche Snapshot-IDs entfernt wurden.
  • STACKIT S3 Access Logs (DELETE-Events) dienen als unabhängiger Nachweis, dass Objekte im Object Storage tatsächlich gelöscht wurden.

Zentrale Speicherung der Löschprotokolle

Alle relevanten Logs werden zentral in einer Protokollierungsplattform (z. B. OpenSearch, Loki oder Elastic) gespeichert, langfristig archiviert sowie vor Manipulation geschützt. Monatliche Löschberichte können automatisiert erzeugt und für Audits bereitgestellt werden. (Best Practice)

Auditierbarkeit und Nachvollziehbarkeit

Zur Sicherstellung der Auditierbarkeit und Nachvollziehbarkeit werden folgende Best Practices umgesetzt:

  • Durch zentralisierte Logs, monatliche Berichte und versionskontrollierte Retention-Konfigurationen lässt sich jederzeit nachweisen, dass Löschfristen eingehalten wurden.
  • Änderungen an Retention-Policies werden über ein Versionskontrollsystem dokumentiert.
  • Die Kombination aus Backup-Logs, S3-Events und einer klaren Rollenverteilung erfüllt die Anforderungen an die Nachweisführung nach Art. 5 Abs. 2 DSGVO und DIN 66395.

Sichere Löschung bei Vertragsende und Offboarding

Die DSGVO verlangt gemäß Art. 28 Abs. 3 lit. g DSGVO die vollständige Löschung oder Rückgabe aller personenbezogenen Daten – einschließlich aller Kopien und Backups – nach Abschluss der Verarbeitungsleistungen.

Retention-Regeln allein erfüllen diese Anforderung nicht. Daher werden für die sichere Löschung bei Vertragsende zusätzliche Maßnahmen definiert:

Vollständige Eradikation von Backup-Daten

Je nach Repository-Struktur kann die sichere Löschung durch folgende Best-Practice-Verfahren umgesetzt werden: die vollständige Entfernung des zugehörigen Backup-Buckets im Object Storage oder die vollständige Löschung aller Snapshots im Restic-Repository. Diese Maßnahmen gelten als endgültige Löschung im Sinne der DSGVO, da eine Wiederherstellung unmöglich ist.

Dokumentation der Löschung

Für die Löschung bei Vertragsende wird gemäß Best Practice ein Löschprotokoll erstellt, das mindestens Folgendes umfasst:

  • Zeitpunkt der Löschung,
  • verantwortliche Rollen,
  • Summary der gelöschten Backup-Artefakte,
  • technische Logs (Prune-Logs, S3-DELETE-Logs).

Das Protokoll wird revisionssicher archiviert und dem Verantwortlichen zur Verfügung gestellt.

Rollen und Verantwortlichkeiten

Die DIN 66398 fordert die Benennung klarer Verantwortlichkeiten und Umsetzungsregeln für Löschprozesse. Für das Backup- und Löschkonzept werden folgende Rollen definiert:

Backup-Administrator

Der Backup-Administrator überwacht Backup-, Prune- und Check-Jobs und prüft die Einhaltung der Retention-Regeln. Er analysiert Warnungen und Fehler und dokumentiert Löschvorgänge und Reports.

Die folgenden drei Rollen entsprechen Best Practices für ein DSGVO-konformes Löschkonzept:

Löschverantwortlicher

Der Löschverantwortliche führt manuelle und vollständige Löschungen durch (Bucket-Wipe, Prune-All) und ist verantwortlich für die Löschung bei Vertragsende. Er arbeitet nach dem Vier-Augen-Prinzip mit einer prüfenden Rolle zusammen.

Prüfinstanz

Die Prüfinstanz kontrolliert periodisch die Einhaltung der Retention-Policy und validiert Löschberichte und S3-Delete-Events. Sie bestätigt die Wirksamkeit der Löschprozesse.

Datenschutzbeauftragter

Der Datenschutzbeauftragte prüft jährlich die Wirksamkeit und DSGVO-Konformität und bewertet das Löschkonzept. Er ist in Offboarding-Löschungen eingebunden.

Cluster-Initialisierer und Restore-Admin

Diese Rollen haben keine Löschbefugnis. Sie sind ausschließlich für Bereitstellung und Restore-Prozesse zuständig. Die Trennung der Zuständigkeiten unterstützt das Vier-Augen-Prinzip und schützt die Integrität der Backups.

Regelmäßige Wirksamkeitsprüfung

Gemäß Art. 32 Abs. 1 lit. d DSGVO sind die technischen und organisatorischen Maßnahmen regelmäßig zu überprüfen, zu bewerten und zu evaluieren. Die Wirksamkeitsprüfung umfasst mehrere Bereiche.

Integritätsprüfungen

Die Integritätsprüfung umfasst folgende Best Practices:

  • die regelmäßige Ausführung von Restic check zur Validierung der Datenintegrität
  • die Auswertung von k8up-Check-Jobs und Fehlerindikatoren.

Retention-Validierung

Im Rahmen der Retention-Validierung werden folgende Best Practices angewendet:

  • die periodische Überprüfung der Löschung abgelaufener Snapshots anhand der Logs
  • die Prüfung auf verwaiste Objekte (Zombie-Backups) im Object Storage.

Restore-Tests

Für Restore-Tests gelten folgende Best Practices: regelmäßige Restore-Tests (mindestens einmal jährlich) in einer isolierten Umgebung, der Vergleich des wiederhergestellten Zustands mit dem erwarteten Datenbestand sowie die Dokumentation der Testergebnisse. Siehe Kapitel 4.3 Automatisierte Restore-Tests für mehr Details.

Prüf- und Berichtsprozess

Der Prüf- und Berichtsprozess folgt diesen Best Practices:

  • die Erstellung strukturierter Prüfberichte
  • die revisionssichere Ablage der Ergebnisse
  • die Vorlage der Berichte im Rahmen interner und externer Audits.