Drei Wochen Zeit für Sicherungsdaten
Mehr Sorgen als eine wasserdichte Löschung der Kundendaten aus den produktiven Storage-Systemen bereiten Eurocloud-Vorstand Becker die Sicherungskopien. Um Ausfallschutz zu gewährleisten, sind die Provider bekanntlich dazu verpflichtet, Backups der Kundendaten anzulegen. Diese müssen eine Zeitlang vorgehalten werden, um im Notfall den regulären Zustand wieder herstellen zu können.
Theoretisch müsste der Provider mit Vertragsende die Kundendaten auch aus den Sicherungskopien sofort entfernen. "Nach dem BDSG gibt es einen Anspruch, dass die Daten sofort von den Medien entfernt werden", sagt Becker. Das ist aber in der Praxis bei den Backups nicht möglich, da die Sicherung ein nicht isoliert herausnehmbarer Teil des Backups der gesamten Kundendaten ist.
"Aus praktischer Sicht ist es deshalb akzeptabel, wenn für einen begrenzten Zeitraum nach Vertragsende die Sicherungsdaten noch bestehen bleiben", erklärt Becker. Dieser Zeitraum sollte aber vertraglich definiert sein. "Üblicherweise sind diese Sicherungen in einem rollierenden Verfahren - meist von 21 Tagen - verfügbar. In diesem Fall ist es aus unserer Sicht in Ordnung, wenn die Sicherung bis zu den drei Wochen nach Vertragsende noch besteht." Dann aber, so Becker, sollte sie gelöscht sein.
Fazit
Wer absolut sichergehen will, dass seine Daten nach Vertragsende sofort und restlos gelöscht werden, sollte seine Informationen nicht in die Public Cloud geben. Das ist die Auffassung des BSI. Für alle anderen gilt: Wer kritische Geschäftsdaten in der Cloud speichert, sollte sich vor Vertragsabschuss über die technische Machbarkeit der Löschung informieren und diese vertraglich absichern lassen. Darüber hinaus muss der Kunde auf einem expliziten Löschprocedere bestehen und sich die Ausführung der physikalischen Datenlöschung bestätigen lassen. Eine weitere Option ist, dass sich der Auftraggeber einem von einer anerkannten Institution wie Eurocloud zertifizierten Cloud Provider anvertraut. (pg)