Nr. 6.4 – Löschung
(Art. 28 Abs. 3 lit. e i.V.m. Art. 17 Abs. 1)

Kriterium

(1) Der Cloud-Anbieter stellt sicher, dass der Cloud-Nutzer die Möglichkeit hat, die Löschung personenbezogener Daten selbst vorzunehmen oder durch den Cloud-Anbieter vornehmen zu lassen, sodass die personenbezogenen Daten irreversibel gelöscht sind und aus ihnen auch mit verhältnismäßig hohen Aufwand keine Informationen über die betroffene Person gewonnen werden können.
(2) Der Cloud-Anbieter stellt sicher, dass die Löschung von personenbezogenen Daten nicht nur im aktiven Datenbestand vorgenommen wird, sondern auch in Kopien und Datensicherungen.
(3) Der Cloud-Anbieter hat sicherzustellen, dass nach einer Wiederherstellung von Daten, die bereits im aktiven Datenbestand, aber noch nicht in der Datensicherung gelöscht waren, eine erneute Löschung der betroffenen Daten erfolgt.
(4) Der Cloud-Anbieter dokumentiert Weisungen zur Umsetzung des Rechts auf Löschung.

Erläuterung

Der Cloud-Nutzer ist nach Art. 17 Abs. 1 DSGVO verpflichtet, personenbezogene Daten zu löschen. Der Cloud-Anbieter ist verpflichtet, den Cloud-Nutzer durch geeignete TOM bei der Erfüllung der Rechte betroffener Personen zu unterstützen. Das Kriterium fördert die Gewährleistungsziele der Intervenierbarkeit und Nichtverkettung (SDM C1.7 und C1.5).

Umsetzungshinweis

Soweit dem Cloud-Nutzer eine Umsetzung der Betroffenenrechte nicht selbst möglich ist, sollte eine organisatorische Kontaktstelle für den Cloud-Nutzer vorgehalten werden, die durch angemessene Erreichbarkeit und Befugnisse eine unverzügliche Umsetzung von Betroffenenrechten veranlassen kann. Mit Hilfe eines Ticketsystems können die Weisungen des Cloud-Nutzers dokumentiert werden.
Die Erstellung eines Löschkonzepts, z.B. nach DIN 66398-2016, wird empfohlen. Dieses kann die Festlegung von Löschverfahren beinhalten, mit denen es dem Cloud-Nutzer ermöglicht wird, seinen Löschungspflichten nachzukommen. Dies sollte auch Backup- und Ausfallsicherungssysteme, einschließlich aller Vorgängerversionen der Daten, temporäre Dateien, Metadaten und Dateifragmente umfassen.
Da Art. 17 DSGVO auf eine irreversible Löschung abstellt, sind Maßnahmen der logischen Löschung wie bspw. das Austragen von personenbezogenen Daten aus Verzeichnissen durch Löschbefehle nicht ausreichend, um die Anforderungen von Art. 17 DSGVO zu erfüllen.
Auf die Umsetzungshinweise der ISO/IEC 27018 Ziff. A1.1 und 27701 Ziff. 8.3 wird hingewiesen.
Da die Löschung von Daten in Backup- und Ausfallsicherungssystemen im Vergleich zur Löschung im aktiven Datenbestand aufwändiger ist, können Kopien und Daten aus Sicherungssystemen auch zu späteren Zeitpunkten als im aktiven Datenbestand gelöscht werden, z.B. im Zuge der Überschreibung oder Vernichtung der betroffenen Datenträger. Regelhaft sollte die Löschung in den Sicherungsdateien spätestens ein Jahr nach der Löschung im aktiven Datenbestand erfolgen, wobei kürzere Fristen angestrebt werden sollten. Die Löschung in Backup- und Ausfallsicherungssystemen sollte alle Vorgängerversionen der Daten, temporäre Daten, Metadaten und Dateifragmente umfassen.
Die Maßnahmen aus DIN 66398 zur Erstellung eines Löschkonzepts können hinzugezogen werden.

Nachweis

Der Cloud-Anbieter legt Dokumentationen über Maßnahmen zur Löschung von Daten vor (z.B. Dokumentation der relevanten Mechanismen und Meldewege, Löschkonzepte, Dienstbeschreibungen. Zudem können Protokolle zu getätigten Weisungen und darauffolgenden Löschungen vorgewiesen werden.
Im Rahmen einer Prüfung kann eine Probelöschung durchgeführt werden, um nachzuweisen, dass eine (vollständige) Löschung von Daten möglich ist (bspw. durch eine technische Funktion innerhalb des Cloud-Dienstes oder durch manuelle Anfragen beim Cloud-Dienst-Support). Im Rahmen eines Audits kann auch anhand von Befragungen (z.B. zur Kenntnis über Verfahrensschritte etc.) und Beobachtungen nachgewiesen werden, dass eine Löschung durchgeführt werden kann.