IT-Sachverständiger Neumann
Datenminimierung nach DSGVO vs. Datenextraktionen in der IT-Forensik
Lösungen für einen grundlegenden Zielkonflikt
Datum: 02.12.2025, Christoph Neumann, Forensik-Blog
1. Einleitung – Die Datenminimierung nach DSGVO und Full File System Image (FFSI)
Die Grundsätze der Datenminimierung nach der DSGVO und die Erstellung eines Full File System Image (FFSI) oder alternativ eines Physical Images (PI) in der IT-Forensik scheinen auf den ersten Blick unvereinbar. Ein FFSI/PI erstellt eine vollständige, bitweise Kopie eines Speichermediums, während die DSGVO die Verarbeitung personenbezogener Daten auf das unbedingt Notwendige beschränkt. Auch Gerichte weisen bei Beauftragung von forensischen Auswertungen explizit auf eine Pflicht zur Datenminimierung hin. Die gleiche Pflicht zur Berücksichtigung gilt auch für Unternehmen, z.B. im Rahmen der Erstellung einer "Forensic Readiness Policy".
Wie ist dies vereinbar? In der Praxis hat sich hier ein Vorgehen etabliert, das beiden Anforderungen gerecht wird.
2. Der Zielkonflikt
Ein kurzer Blick auf die folgenden Definitionen verdeutlicht den grundlegenden Zielkonflikt:
Full File System Image (FFSI) / Physical Image (PI):
Diese Begriffe werden teilweise synonym verwendet, aber technisch gibt es Unterschiede:
Ein FFSI umfasst alle Daten eines Dateisystems, einschließlich gelöschter Dateien, Systemdateien und ggfls. personenbezogener Daten Dritter. Ein PI umfasst alle Partitionen, Bootsektoren, freien Speicher, versteckte Bereiche, Systembereiche, gelöschte Dateien und somit ebenfalls ggfls. personenbezogener Daten Dritter eines Mediums.
Das PI stellt quasi einen "Goldstandard" in der Forensik dar, insbesondere bei kritischen Untersuchungen, Incident Response und der Strafverfolgung und wird grundsätzlich angestrebt. Ziel ist es, die Integrität der Daten zu gewährleisten und Manipulationen auszuschließen. Es wird idealerweise eingesetzt, wenn wirklich alles gesichert werden muss. Denn oft ist zu Beginn einer Untersuchung nicht klar, welche Daten relevant werden können. Das gilt insbesondere bei Sicherheitsvorfällen.
Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO):
Die DSGVO verlangt, dass personenbezogene Daten nur in angemessenem Umfang verarbeitet werden.
Auf den ersten Blick widerspricht dies der umfassenden Sicherung durch ein PI, da viele der Daten für die Untersuchung irrelevant sein und ggfls. eine Vielzahl an persönlichen Daten Dritter beinhalten könnten.
3. Der praxisbewährte Lösungsansatz: Zwei-Stufen-Prinzip
Gerichte und Datenschutzbehörden erkennen an, dass zur sicheren Untersuchung eines IT-Vorfalls oder Beweismittels zunächst umfangreichere Sicherungsmaßnahmen erforderlich sein können, um eine Integrität der Daten zu gewährleisten. In der Praxis hat sich daher ein zweistufiger Ansatz etabliert:
Stufe 1 – Umfassende, zweckgebundene Sicherung
Stufe 1 beinhaltet eine möglichst umfassende Sicherung aller Daten.
Das Ziel:
Vollständige, manipulationssichere Erfassung des Speichermediums.
Die Begründung:
Zum Zeitpunkt der Sicherung ist oft noch unklar, welche Daten für die Untersuchung relevant sind. Temporäre Dateien, gelöschte Bereiche oder versteckte Spuren könnten entscheidend sein.
Die Rechtsgrundlage:
Das berechtigte Interesse an der effektiven Rechtsverfolgung oder Aufklärung des Vorfalls (Art. 6 Abs. 1 lit. f DSGVO).
Wichtig hierbei: Die Sicherung erfolgt ausschließlich für den Untersuchungszweck und ist protokolliert (Chain of Custody).
Stufe 2 – Selektive Analyse und Datenminimierung
Stufe 2 beinhaltet die eigentliche Analyse/Auswertung, welche dem Prinzip der Datenminimierung folgt: Die Auswertung der Daten muss hochselektiv erfolgen.
Das Ziel:
Verarbeitung ausschließlich der relevanten Daten.
Die Maßnahmen:
Die Analyse beschränkt sich ausschließlich auf definierte Datenbereiche. Dies kann durch App-Selektion, die Definition von bestimmten Zeiträumen oder Keyword-Suchen erfolgen.
Unbeteiligte, irrelevante personenbezogene Daten, die im Datensatz enthalten sind, dürfen nicht ausgewertet oder gar für andere Zwecke genutzt werden. Sie müssen entweder pseudonymisiert, geschwärzt oder – sobald ihre Irrelevanz feststeht – gelöscht werden (z.B. durch physische Trennung der Analyseumgebung vom Produktivsystem). Weiterhin müssen die Daten sicher verwahrt und vor Zugriff unberechtigter Personen geschützt werden ("Need-To-Know"-Personenkreis). Dies lässt sich aus weiteren Anforderungen der DSGVO (Art. 5) ableiten.
4. Zusammenfassung
Gibt es eine Vereinbarkeit von "Goldstandard" der Forensik und Datenminimierung nach DSGVO?
JA, wenn der Prozess korrekt gestaltet wird!
Gerichte und Datenschutzbehörden akzeptieren Physical Images als vollständige und manipulationssichere Beweissicherung, da die Integrität der Daten durch Prüfsummen (Hashes) nachweisbar ist.
Aber:
Es ist zu trennen zwischen einer umfassenden Sicherung zur Wahrung der Beweismittelintegrität und der strikt selektiven und datenschutzkonformen Analyse, um die Datenminimierung sicherzustellen.
Organisationen sollten in ihrer "Forensic Readiness Policy" diesen zweistufigen Prozess klar dokumentieren. Nur so lassen sich IT-forensische Untersuchungen rechtssicher und DSGVO-konform durchführen.
Kurzprofil des Autors
Christoph Neumann ist IT-Forensiker und Sachverständiger für digitale Beweismittel aus Mainz. Er befasst sich mit der Sicherung, Analyse und Bewertung digitaler Daten im Auftrag von Unternehmen, Gerichten und Behörden.
Bei Fragen, Anregungen oder weiterführende Informationen schreiben Sie mir gerne eine Nachricht:
KONTAKT.
IT-Sachverständiger Neumann - Sachverständiger, Gutachter und IT Forensiker
Telefon: +49 6732 607 9976
Fax: +49 6732 607 9731
E-Mail: info@it-sachverstaendiger-neumann.de
Wilhelm-Theodor-Römheld-Straße 14
55130 Mainz