Gratis
29. Oktober 2018 - Löschpflichten

Daten aus der Google Cloud löschen – so geht’s!

Drucken

Beim Datenschutz in der Cloud spielt die Frage, wie sich personenbezogene Daten zuverlässig löschen lassen, eine wichtige Rolle. Deshalb sollten Unternehmen bei der Wahl ihrer Cloud-Anbieter auf deren Löschverfahren achten. Google hat nun erklärt, wie die Datenlöschung bei der Google Cloud Plattform funktioniert.

Cloud-Daten löschen Google offenbart: Das Löscherverfahren von Cloud-Daten kann Monate in Anspruch nehmen (Bild: paisan191 / iStock / Getty Images)

Daten löschen nach DSGVO

Stellen Sie sich vor, Ihr Unternehmen nutzt einen Cloud-Dienst wie die Google Cloud Platform (GCP), um die Kundendaten zu verwalten.

Als Datenschutzbeauftragte oder Datenschutzbeauftragter (DSB) weisen Sie auf das erforderliche angemessene Datenschutzniveau hin, damit der Betrieb die Anforderungen nach Artikel 28 DSGVO erfüllt.

Dazu gehört, dass Sie personenbezogene Daten im Rahmen der Betroffenenrechte und bei Beendigung der erbrachten Verarbeitungs-Leistungen sicher und fristgerecht löschen.

Dabei ist es nicht nur wichtig, wie Ihr Unternehmen den Auftrag, Daten zu löschen an den Dienstleister weiterreicht. Auch, wie das tatsächliche Löschverfahren beim Cloud-Provider aussieht, spielt eine Rolle.

Leider hat hier der Nutzer nicht immer den notwendigen Überblick.

Google informiert über Löschverfahren

Verschiedene Cloud-Provider wollen mehr Transparenz bieten. Deshalb informieren sie darüber, wie sie Daten in ihrer jeweiligen Cloud-Lösung löschen.

Google hat zur Google Cloud Platform (GCP) eine Auskunft veröffentlicht, die interessante Einblicke gewährt.

Der Internetriese erläutert,

  • wie er den Löschauftrag entgegennimmt und verarbeitet,
  • wie die Löschung selbst abläuft und
  • wie lange es dauert, bis die Daten tatsächlich aus der Google Cloud gelöscht sind.

Google speichert Daten an mehreren Standorten

Google hält die Kundendaten nicht nur einmal vor: Es repliziert die Daten auf mehreren Systemen und kopiert sie zum Schutz vor Datenverlust auf Sicherungssysteme.

Das ist aus Gründen der notwendigen Verfügbarkeit erforderlich, es ist aber bei der Löschung der Daten zu berücksichtigten.

Google verweist darauf, dass es die Daten an mehreren Standorten repliziert. Dabei würden die geografischen Einschränkungen für die Speicherorte, die der Kunde vorgibt, beachtet.

Löschanforderungen lassen sich für bestimmte Cloud-Inhalte, Projekte und für das ganze Google-Cloud-Konto stellen.

Abhängig vom genauen Löschwunsch markiert Google die Daten zum Löschen. Sie sind für den Kunden unzugänglich und nicht mehr in der Nutzeroberfläche ersichtlich.

Möglichkeit der Wiederherstellung

Gelöscht sind die Daten dann aber noch nicht. Google ist es möglich, Daten wiederzuherstellen, falls der Kunde eine Löschung fehlerhaft anforderte.

Nach dem Wiederherstellungs-Zeitraum findet die eigentliche logische Löschung statt.

Es gibt aber weiterhin Kopien der Daten in den Sicherungsdatenträgern (Backups). Die Backups werden durch jeweils neue Sicherungen überschrieben.

Das Löschen von Backup-Daten erfolgt verschlüsselt (kryptografisches Löschen).

Nach diesem Vorgang lassen sich die Speichermedien weiter nutzen, bis sie außer Betrieb gesetzt werden.

Ist das vollständige Löschen eines Speichermediums nicht möglich, zerstört Google das Speichermedium physisch.

Wichtig: Löschverfahren kann Monate dauern

Das Löschverfahren ist nicht nur mehrstufig, es dauert auch eine ganze Weile.

Google spricht offiziell

  • von etwa zwei Monaten, bis die Daten von aktiven Systemen gelöscht sind
  • und von sechs Monaten, bis die Daten aus dem Backup verschwunden sind.

Damit Sie die Löschfristen auch einhalten, ist es wichtig, dass in der Zwischenzeit jeder Zugriff und jede Verarbeitung ausgeschlossen sind.

Dieses Beispiel zeigt, dass das Löschen von Daten aus der Cloud ein komplexer und mehrstufiger Prozess ist. Das genaue Löschkonzept des Cloud-Anbieters muss deshalb Teil der Angebotsprüfung und Teil des Vertrags sein.

Zertifizierungen

Wünschenswert ist es für die nahe Zukunft, dass Cloud-Anbieter die Löschverfahren und ihre Konformität mit der DSGVO über Zertifizierungen nachweisen.

Entsprechende Cloud-Datenschutz-Zertifizierungen sind in der Entwicklung.

Hinsichtlich der IT-Sicherheit erfüllt Google mit den Google-Cloud-Services G Suite und Google Cloud Platform an allen Standorten weltweit die Sicherheitsanforderungen des BSI nach C5.

Dazu gehören auch Forderungen an eine „sichere Datenlöschung“.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker, Analyst und IT-Fachjournalist im Bereich IT-Sicherheit und Datenschutz.