2LRN4 security awareness platform
← Zurück zur Wissensdatenbank

Daten sicher vernichten: Papier, Datenträger und Cloud-Daten

Löschen ist nicht gleich Vernichten, und nicht alle Daten darfst du einfach wegwerfen. Wie du Papier, Datenträger und Cloud-Daten wirklich unlesbar machst und wie gesetzliche Aufbewahrungspflichten deinen Zeitraum bestimmen.

Kürzlich aktualisiert

Von der Einsicht zur Umsetzung

Sehen Sie, wie Sie dieses Thema in ein praktisches Awareness-Programm mit Training, Phishing-Simulationen und klarem Management-Reporting übersetzen.

Demo buchen Zur primären Lösungs-Seite
Alain Rees
Gründer & Security-Awareness-Spezialist · 2LRN4

Datenschutz endet nicht beim Speichern; auch das Lebensende der Daten zählt. Die DSGVO verlangt Speicherbegrenzung: bewahre Daten nicht länger auf als nötig. Doch die DSGVO ist nicht das einzige Gesetz, das mitspielt. Andere Gesetze können dich stattdessen verpflichten, Daten eine Mindestdauer aufzubewahren, mitunter Jahre. Sichere Vernichtung beginnt daher mit zwei Fragen: darf das schon weg, und wenn ja, wie mache ich es wirklich unlesbar?

Warum Löschen nicht genügt

Eine Datei in den Papierkorb zu ziehen entfernt sie nicht wirklich: Die Daten bleiben oft auf dem Datenträger, bis sie überschrieben werden, und sind mit Wiederherstellungssoftware zurückzuholen. Dasselbe gilt für eine schnelle Formatierung eines USB-Sticks.

Bei Papier ist das Risiko noch greifbarer: Ein weggeworfenes Dokument mit Kundendaten in der Papiertonne ist für jeden zugänglich. Sichere Vernichtung verlangt daher eine bewusste Methode je Datenträgerart.

Darf es schon weg? Nicht nur die DSGVO bestimmt den Zeitraum

Die DSGVO sagt: nicht länger aufbewahren als nötig. Andere Gesetze sagen jedoch manchmal das Gegenteil, nämlich dass du bestimmte Daten eine Mindestdauer aufbewahren musst. Vernichtest du zu früh, verstößt du gegen diese Gesetze; bewahrst du ohne Grund zu lange auf, verstößt du gegen die DSGVO. Es geht um die richtige Balance, nicht um möglichst schnelles Löschen.

In Deutschland gelten unter anderem diese Aufbewahrungspflichten:

  • Steuer- und Handelsrecht: die Abgabenordnung (AO) und das Handelsgesetzbuch (HGB) verlangen, Geschäftsunterlagen mehrere Jahre aufzubewahren, häufig bis zu zehn Jahre.
  • Archivgesetze: Behörden bewahren oder vernichten Unterlagen nach den Archivgesetzen des Bundes und der Länder.
  • Gesundheitsdaten: Patientenakten unterliegen langen, gesetzlich festgelegten Aufbewahrungsfristen.
  • Personal- und Branchenregeln: Arbeitsverträge, Lohnsteuerdaten und branchenspezifische Vorgaben haben je eigene Fristen. In Österreich gelten vergleichbare Pflichten nach BAO und UGB.

Papier: schreddern, nicht wegwerfen

Schreddere Dokumente mit personenbezogenen Daten, statt sie in die normale oder sogar die Papiertonne zu werfen. Nutze einen Cross-Cut-Schredder, der Papier in kleine Schnipsel statt in lange Streifen schneidet.

Für größere Mengen ist ein zertifizierter Aktenvernichtungsdienst eine gute Wahl. Er liefert einen Vernichtungsnachweis, was bei einer Prüfung nützlich ist.

Datenträger und Geräte

Digitale Datenträger brauchen eine Methode, die die Daten wirklich unlesbar macht:

  • Sicheres Löschen (Wiping): Software, die den Datenträger mehrfach überschreibt, sodass eine Wiederherstellung unmöglich ist.
  • Vorherige Verschlüsselung: ein verschlüsselter Datenträger wird durch Vernichtung des Schlüssels wirksam gelöscht.
  • Physische Vernichtung: für ausgemusterte Datenträger; lass sie von einem zertifizierten Dienst zerkleinern oder durchbohren.
  • Peripherie nicht vergessen: Drucker, Kopierer und Telefone speichern oft unbemerkt Daten.

Cloud-Daten und Backups

In der Cloud ist "weg" nicht immer wirklich weg. Gelöschte Dateien landen oft zuerst in einem Papierkorb und können noch in Backups liegen. Prüfe, wie lange dein Anbieter gelöschte Daten und Backups aufbewahrt.

Lege im Auftragsverarbeitungsvertrag fest, dass der Anbieter Daten nach Vertragsende endgültig löscht. Verlange bei Bedarf einen Vernichtungsnachweis.

So verankerst du das in deinem Awareness-Programm

Vernichtung ist Verhalten und Prozess; dein Awareness-Programm muss beides treffen.

  • Kombiniere ein kurzes Modul mit praktischen Hilfsmitteln: ein griffbereiter Schredder, ein Rückgabeverfahren und ein sichtbarer Aufbewahrungsplan.
  • Mach den Aufbewahrungsplan, der DSGVO und gesetzliche Aufbewahrungspflichten verbindet, sichtbar, damit alle wissen, wann etwas wirklich weg darf.
  • Nimm 'sichere Entsorgung von Geräten' in deine Offboarding- und IT-Prozesse auf.
  • Biete Vertiefung über unseren Kurskatalog.

Verwandte Artikel

FAQ

Darf ich Daten immer löschen, sobald ich sie nicht mehr brauche?

Nicht immer. Die DSGVO verlangt, Daten nicht länger als nötig aufzubewahren, doch andere Gesetze können eine Mindestaufbewahrungsfrist vorschreiben. In Deutschland etwa die Abgabenordnung und das Handelsgesetzbuch (häufig bis zu zehn Jahre), die Archivgesetze für Behörden und lange Fristen für Patientenakten. Vernichte erst, wenn keine Aufbewahrungspflicht mehr gilt.

Welche Gesetze bestimmen, wie lange ich Daten aufbewahren muss?

Neben der DSGVO vor allem das Steuer- und Handelsrecht (AO und HGB, häufig bis zu zehn Jahre), die Archivgesetze für Behörden, gesundheitsrechtliche Vorgaben und diverse Branchen- und Arbeitsrechtsregeln. In Österreich BAO und UGB. Erstelle daher je Datenart einen Aufbewahrungsplan.

Ist eine Datei im Papierkorb wirklich gelöscht?

Nein. Das Leeren des Papierkorbs entfernt nur den Verweis; die Daten bleiben oft auf dem Datenträger, bis sie überschrieben werden, und sind mit Wiederherstellungssoftware zurückzuholen. Nutze sicheres Löschen oder physische Vernichtung für sensible Daten.

Wie vernichte ich Papier mit personenbezogenen Daten?

Schreddere es mit einem Cross-Cut-Schredder, statt es in die Papiertonne zu werfen. Für große Mengen nutze einen zertifizierten Vernichtungsdienst, der einen Vernichtungsnachweis liefert.

Was mache ich mit einem alten Arbeitslaptop oder Telefon?

Gib es nach dem Verfahren deiner Organisation ab. Der Datenträger muss sicher gelöscht oder physisch vernichtet werden, und denke an SIM- und Speicherkarten. Ein Zurücksetzen allein genügt bei sensiblen Daten nicht immer.

Sind Cloud-Daten nach dem Löschen wirklich weg?

Nicht immer sofort. Gelöschte Dateien bleiben oft in einem Papierkorb und in Backups. Prüfe die Aufbewahrungsfristen deines Anbieters und lege im Auftragsverarbeitungsvertrag fest, dass Daten nach dem Vertrag endgültig gelöscht werden.

Nächster Schritt

Nutzen Sie diesen Artikel als Grundlage und sehen Sie anschließend, wie 2LRN4 das Thema praktisch in Zielgruppensegmentierung, Training und Reporting übersetzt.

Demo buchen Leitfaden herunterladen Weitere Artikel