Wer seine Daten aus einem Online-Speicherdienst löschen möchte, muss scheinbar nur den richtigen Browser-Knopf drücken. Doch sind die Daten dann sofort gelöscht? Google hat nun das Löschverfahren für die Google Cloud beschrieben.
Cloud-Dienste und der Datenschutz
Zwei von drei Unternehmen in Deutschland nutzen bereits Cloud-Computing, also IT-Dienste wie Speicherplatz, Rechenleistung und Anwendungen aus dem Internet. Wie der Cloud Monitor 2018 des Digitalverbands Bitkom ergab, sind die Unternehmen bei der Wahl des Cloud-Dienstes zu Recht darauf bedacht, dass sie die Datenschutz-Grundverordnung (DS-GVO) einhalten. Die DS-GVO fordert unter anderem, dass personenbezogene Daten von Kunden unter bestimmten Voraussetzungen unverzüglich zu löschen sind. Das gilt zum Beispiel dann, wenn die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind und keine Aufbewahrungspflichten etwa steuerlicher Art bestehen. Die Löschpflicht betrifft nicht nur das interne Netzwerk und die Computer, die Ihr Unternehmen selbst betreibt, sondern auch die personenbezogenen Daten, die in einer Cloud gespeichert sind. Doch wie lassen sich eigentlich die Daten aus einer Cloud löschen?
Löschen ist nicht nur ein Klick
Auf den ersten Blick ist das Löschen von Daten auf dem eigenen Rechner dem Löschen in der Cloud sehr ähnlich. Man sucht im Programmmenü den Löschbefehl und klickt darauf. Doch weder auf dem eigenen Computer noch in der Cloud bedeutet der Befehl „Löschen“, dass die Daten wirklich umgehend gelöscht sind. Bei einem Windows-Rechner landen die Daten in aller Regel im Papierkorb des Computers. Und von dort könnte man sie ohne größeren Aufwand wiederherstellen. Bei einer Cloud ist dies nicht anders: Löschen bedeutet nicht, dass die Daten sofort und endgültig aus dem Cloud-Speicher verschwunden sind. Denn wie beim PC gibt es auch hier die Option, die Daten wiederherzustellen. Wie geht dann aber das „richtige“ Löschen? Google hat das genaue Verfahren für die Google Cloud Plattform (GCP) ausführlich beschrieben.
Endgültiges Löschen in der Cloud kann Monate dauern
Ohne jeden Einzelschritt zu betrachten, lässt sich sagen, dass bei Google – und ebenso bei vielen anderen Cloud-Anbietern – das Löschen nur Schritt für Schritt geht. Entsprechend lange dauert es. So befinden sich die Cloud-Daten aus Gründen der Verfügbarkeit und Ausfallsicherheit bei Google nicht nur auf einem Cloud-Server, sondern auf mehreren. Bis der Löschauftrag für bestimmte Cloud-Daten wirklich alle Speicherorte erreicht hat und dort umgesetzt wurde, können zwei Monate vergehen, so Google. Da sich die Daten dann auch noch in Backups befinden können, dauert das Löschen insgesamt bis zu sechs Monate. Das zeigt, dass Daten auch in der Cloud nicht sofort gelöscht sind.
Wichtig: Sperren der Daten
Wichtig ist es deshalb, dass die Daten ab dem Moment des Löschauftrags gesperrt (Einschränkung der Verarbeitung) sind, also nicht mehr genutzt werden können. Laut Google wird dies unter anderem durch eine Verschlüsselung der zu löschenden Daten erreicht. Wie genau das Löschen funktioniert und wie lange es dauert, sollte man also seinen Cloud-Anbieter fragen. Unternehmen sollten Cloud-Dienste also nur nutzen, wenn auch das Löschverfahren den Datenschutzvorgaben entspricht. Im Idealfall prüft und zertifiziert dies eine unabhängige Stelle. Die Google-Cloud zum Beispiel hat, wie mehrere andere Cloud-Anbieter auch, vom BSI, dem Bundesamt für Sicherheit in der Informationstechnik, das sogenannte C5-Testat erhalten. Dabei wird auch das Löschverfahren überprüft. Trotzdem sollten Unternehmen immer das jeweilige Datenschutzkonzept hinterfragen.
Wenn Sie Fragen haben, kontaktieren Sie uns:
per E-Mail consulting@AdOrgaSolutions.de oder
Büro München +49 89 411 726 – 35 / Büro Wien +43 1 253 017- 8177.
14. Januar 2019
Autorin: Regina Mühlich