Was Experten raten

Cloud-Daten sicher löschen

Daten in der Public Cloud nach Vertragsende unwiederbringlich zu löschen ist keine große Sache, könnte man meinen. Doch der Teufel steckt im Detail. Die virtualisierten Storage-Technologien machen es genau genommen unmöglich, Daten physikalisch und damit wirklich sicher zu überschreiben. Dennoch lassen sich Vorkehrungen treffen, damit es nicht zum Worst Case kommt.

Sensible Unternehmensdaten, die nach einem Cloud-Anbieter-Wechsel noch beim Provider verbleiben, sind für Unternehmen der Horror. So sollte es zumindest sein, denn geschäftskritische und personenbezogene Daten haben nach Vertragsende auf Speichermedien, die nicht mehr der Kontrolle des Dateneigentümers unterliegen, nichts mehr zu suchen. Das verbieten allein schon der Datenschutz, Compliance-Regeln und die Sorge um das Wohl und Renommee des ehemaligen Klienten. Eine Offenlegung nicht mehr kontrollierbarer Kunden- oder Mitarbeiterdaten kann für jedes Unternehmen existenzbedrohende Folgen haben.

Für solche Schreckensszenarien haben viele Nutzer von Public-Cloud-Angeboten allerdings kaum ein Gespür. "Nur die wenigsten Kunden verlangen nach Vertragsende explizit eine Löschung ihrer Daten", weiß Ertan Özdil, Geschäftsführer des Marburger Cloud-Dienstleisters Weclapp. Nach seinem Eindruck fordern vor allem sicherheitssensible Unternehmen, die in irgendeiner Form mit dem Thema Datensicherheit zu tun haben, die explizite Datenlöschung.

Der normale Kunde aber lege darauf keinen gesteigerten Wert. Dieser laxe Umgang mit der Datensicherheit findet sich selbst in größeren Betrieben. "In großen Unternehmen legen Fachabteilungen ihre Daten oft in der Cloud ab", sagt Özdil und ergänzt: "Wenn sie kündigen, wollen sie sich nicht mehr damit befassen und löschen selbst oder gar nicht."

Ein möglicher Grund für den sorglosen Umgang mit den eigenen Daten kann sein, dass es keine explizite rechtliche Regelung zum Löschen der Cloud-Daten gibt. Doch das ist nicht ganz richtig. Denn juristisch gilt auch für Cloud-Services der im Bundesdatenschutzgesetz (BDSG) verankerte Grundsatz der Datensparsamkeit. "Das ist eine Verpflichtung im BDSG, die jedermann betrifft, der Daten verarbeitet", klärt Michael Rath, Fachanwalt für IT-Recht in Köln, auf. "Wenn die Daten nicht mehr benötigt werden, müssen sie gelöscht werden."