Nr. 8.4 – Rückgabe von Datenträgern und Löschung von Daten
(Art. 28 Abs. 3 lit. h DSGVO)

Kriterium

Der Cloud-Anbieter stellt durch geeignete Maßnahmen sicher, dass die Rückgabe überlassener Datenträger, die Rückführung von Daten und die Löschung der beim Cloud-Anbieter gespeicherten Daten nach Abschluss der Auftragsverarbeitung oder nach Weisung des Cloud-Nutzers erfolgen.

Umsetzungshinweis

Die Erstellung eines Löschkonzepts, z.B. nach DIN 66398-2016, wird empfohlen. Dieses kann die Festlegung von Löschverfahren beinhalten, mit denen es dem Cloud-Anbieter ermöglicht wird, seinen Löschungspflichten nachzukommen. Das Löschkonzept sollte auch Backup- und Ausfallsicherungssysteme umfassen, einschließlich aller Vorgängerversionen der Daten, temporäre Dateien, Metadaten und Dateifragmente.
Da die Löschung von Daten in Backup- und Ausfallsicherungssystemen im Vergleich zur Löschung im aktiven Datenbestand aufwändiger ist, können Kopien und Daten aus Sicherungssystemen auch zu späteren Zeitpunkten als im aktiven Datenbestand gelöscht werden, z.B. im Zuge der Überschreibung oder Vernichtung der betroffenen Datenträger. Regelhaft sollte die Löschung in den Sicherungsdateien spätestens ein Jahr nach der Löschung im aktiven Datenbestand erfolgen, wobei kürzere Fristen angestrebt werden sollten. Die Löschung in Backup- und Ausfallsicherungssystemen sollte alle Vorgängerversionen der Daten, temporäre Daten, Metadaten und Dateifragmente umfassen.
Da Art. 17 DSGVO auf eine irreversible Löschung abstellt, sind Maßnahmen der logischen Löschung wie bspw. das Austragen von personenbezogenen Daten aus Verzeichnissen durch Löschbefehle nicht ausreichend, um die Anforderungen von Art. 17 DSGVO zu erfüllen. Auch das Löschen von Verknüpfungen oder Verlinkungen auf Datensätze ist nicht ausreichend, da die Datensätze weiterhin vorhanden sind. Eingesetzten Methoden zur Datenlöschung (z. B. durch mehrfaches Überschreiben der Daten) sollten eine Wiederherstellung mit forensischen Mitteln verhindern.
Alle Datenträger des Cloud-Anbieters sollten nach Abschluss der Auftragsvereinbarung oder auf Weisung des Cloud-Nutzers nach einem formalen Managementverfahren sicher und geschützt entsorgt werden. Richtlinien und Anweisungen sollten folgende Aspekte berücksichtigen (s. ISO/IEC 27002 Ziff. 8.3):
a) Sichere und unwiderrufliche Löschung der Daten und Entsorgung/Vernichtung der Datenträger,
b) Verschlüsselung von Wechseldatenträgern,
c) Übertragung der Daten auf neue Datenträger bei Austausch eines Mediums.
Die Maßnahmen aus DIN 66398 zur Erstellung eines Löschkonzepts sowie DIN 66399 und ISO/IEC 21964-1 zur Vernichtung von Datenträgern können hinzugezogen werden.
Auf die Umsetzungshinweise im BSI C5 Anf. AM-04, AM-07, AM-08 und PI-05 wird hingewiesen.
Auf die Umsetzungshinweise der ISO/IEC 27002 Ziff. 11.2.7, ISO/IEC 27040-03 Ziff. 6.8.1, ISO/IEC 27018 Ziff. A 9.3 und ISO/IEC 27701 Ziff. 6.5.3, 6.5.3.3, 6.8.2.7, 8.4.2 zur Datenlöschung wird hingewiesen.

Nachweis

Der Cloud-Anbieter kann den Nachweis erbringen, indem er Dokumente vorlegt, die seine Verfahren zur Herausgabe der Datenträger und zur Rückführung und Löschung von Daten nach Beendigung des Auftrags beschreiben. Geeignete Dokumente können Dokumentation vom TOM, Datenlöschkonzepte, Verfahrensverzeichnisse, Prozessdokumentation für die Daten(träger)behandlung, Verfahrensanweisungen, Richtlinien oder dokumentierte Weisungen sein. Auch kann er die Quittierung von Rückgaben oder die automatisierte Benachrichtigung über tatsächliche Löschungen der für die Auftragsverarbeitung nicht mehr erforderlichen personenbezogenen Daten vorlegen.
Durch eine Prüfung (bspw. Quellcodeanalyse oder Analyse von Datenbanken) oder testweise Löschung und Rückführung kann nachgewiesen werden, ob eine Löschung und Rückführung der personenbezogenen Daten nach Abschluss der Auftragsverarbeitung oder auf Weisung des Cloud-Nutzers erfolgt. Eine Befragung relevanter Mitarbeiter im Rahmen eines Audits (z.B. zur Kenntnis über Richtlinien etc.) kann als weiterer Nachweis über die Durchführung der Maßnahmen dienen. Unterstützend können Sicherheitstests durchgeführt werden, um nachzuweisen, dass Daten hinreichend sicher gelöscht wurden.