Wie Sie Daten auf USB-Sticks datenschutz­gerecht löschen

USB-Stick-Daten richtig löschen

Löschen von Dateien kann schnell gehen

  Löschen geht manchmal schneller, als man je gedacht hätte. Angenommen, Sie haben eine Datei nur auf einem USB-Stick gespeichert. Wenn Sie das Programm nicht beenden, den Rechner auf Stand-by stellen und jemand den Stick einfach abzieht, dann kann es sein, dass die Datei unwiederbringlich gelöscht ist.

Besser nicht ausprobieren! Ich musste deshalb mal einen ganzen Fachartikel neu schreiben. Damals, ich hatte Windows 7, konnte kein noch so trickreiches Hilfsprogramm meine Datei retten.

Ist Löschen auf USB-Sticks immer so einfach?

Wenn man nun aber absichtlich etwas löschen möchte, ist das nicht immer ganz so leicht. Nehmen wir wieder das Beispiel der USB-Sticks. Sind einfach nicht totzukriegen, die Dinger. Und sind, wenn man nichts unternimmt, brandgefährlich. Ein Beispiel? Geschenkte oder gefundene USB-Sticks können Schadcode enthalten, der sich nach dem Einstecken in den USB-Port heimlich, still und leise auf dem Rechner ausbreitet. Das kann man verhindern. Aber dafür muss man die Gefahr kennen – und man muss es tun.

Was passiert mit gelöschten USB-Stick-Daten?

USB-Sticks sind in vielen Unternehmen allgegenwärtig. Sie werden gerne genutzt, um Daten zu übertragen oder vorübergehend zu sichern. So weit, so gut. Oder schlecht, denn was dabei oft zu kurz kommt, ist das Löschen. Kein Problem, denkt der Windows-Profi, markiert die zu löschenden Dateien und wählt den Befehl „Löschen“. So, Daten gelöscht.

Wirklich? Leider nicht. Auch wenn sie nicht mehr angezeigt werden, sind die Daten weiterhin da. Das ist ungefähr so wie mit dem Inhaltsverzeichnis in einem Buch. Wenn Sie die Seiten mit dem Inhaltsverzeichnis herausreißen, ist der Rest des Buches ja auch noch da. Sie müssen nur vielleicht ein wenig suchen, bis Sie eine bestimmten Seite wiederfinden.

Gelöscht heißt: Noch da. Vorläufig.

Lässt sich also auch die Datei auf dem Stick wiederfinden? Ja, und es ist nicht allzu schwer. Es gibt jede Menge kostenfreie Tools, die Gelöschtes wieder sichtbar machen.

Daten werden beim „Löschen“ nicht wirklich gelöscht. Vielmehr wird der Speicherplatz der Datei fürs Überschreiben freigegeben. Wenn Sie nach dem Löschen andere Dateien auf dem Stick speichern, kann es tatsächlich vorkommen, sozusagen zufällig, dass die neuen Dateien die alten (zumindest teilweise) überschreiben. Es gibt keine festen Regeln, welche Bereiche eines Sticks vorrangig überschrieben werden. Das hängt von der Speicherlogik ab.

Heißt also: Löschen mit dem Befehl „Löschen“ ist nicht verlässlich. Dass eine vom USB-Stick gelöschte Datei wiederhergestellt werden kann, ist allerdings auch nicht sicher.

Daten von Sticks löschen und der Datenschutz

Sobald die Dateien personenbezogene Daten beinhalten, kommt der Datenschutz ins Spiel. Wenn Sie personenbezogene Daten löschen möchten, achten Sie darauf, dass das Löschen nach den Regelungen der Datenschutzgrundverordnung (DSGVO) erfolgt. Sprich: dass Sie sicher und richtig löschen.

USB-Sticks im Homeoffice

Was alltäglich passiert: Auf einem USB-Stick werden vorübergehend personenbezogene Daten gespeichert. Diese sollen sicher übertragen werden. Ist die Übertragung fertig, drückt man auf Löschen und hält die Daten für gelöscht. Im Homeoffice wird der eingesetzte (womöglich private) Speicherstick als Nächstes womöglich von jemandem aus der Familie genutzt. Daraufhin tauchen die Daten wieder auf – an Orten, wo sie überhaupt nichts zu suchen haben. Und schon besteht ein Verstoß gegen gesetzliche Vorgaben zum Datenschutz. Denn laut DSGVO sind personenbezogene Daten zu löschen, wenn sie für ihren Verarbeitungszweck nicht mehr gebraucht werden. Vorsicht: „Löschen“ meint hier das „Unkenntlichmachen gespeicherter personenbezogener Daten“, und das muss dauerhaft sein. Die Löschtaste zu drücken, reicht hier also nicht.

Datenschutzpannen mit USB-Sticks

Wer das nicht weiß, glaubt, sich richtig zu verhalten, hat aber möglicherweise einen Datenschutzverstoß begangen. Tauchen personenbezogene Daten, die gelöscht sein müssten, wieder auf und entsteht dadurch ein Risiko für die Rechte und Freiheiten Betroffener, kommt eine Meldepflicht an die Datenschutz-Aufsichtsbehörde hinzu. Wer dieser Pflicht nachkommen will, muss aber erst einmal von dem Verstoß wissen. Wenn die Daten irgendwo wieder aufgetaucht sind, ist es womöglich zu spät.

Wie wahrscheinlich ist das? Dass eine Datei mit sensiblen personenbezogenen Daten auf dem Speichermedium für gelöscht gehalten wird, in die falschen Hände gelangt, wieder nutzbar gemacht und gegen den Verantwortlichen verwendet wird, ist eher unwahrscheinlich. Passiert es allerdings doch, kann der Schaden hoch sein.

Was verlangt der Datenschutz?

In Sachen Datenschutz gilt, was immer gilt: Sie müssen die betrieblichen Prozesse durch geeignete technische und organisatorische Maßnahmen so gestalten, dass Datenpannen vermieden werden. Wenn also USB-Sticks im Einsatz sind und darauf personenbezogene Daten gespeichert werden, müssen diese daraufhin „dauerhaft unkenntlich“ gemacht werden. Das geht am besten durch Überschreiben mit Zufallszeichen. Dafür gibt es kostenfreie Software, die auch nicht schwer zu benutzen ist. Nur, wie so oft: Man muss wissen, dass es geht, und es tun.

Wer also im Unternehmen USB-Sticks nutzt, muss wissen, wann Dateien zu löschen sind und wie das geht – und das muss dann auch umgesetzt werden.

Meine Tipps für DSGVO-konformes Löschen von USB-Sticks

• Sicherstellen, dass USB-Sticks nur von beschäftigten Personen genutzt werden dürfen, die sie für ihre Arbeit brauchen.
  
  
• Sicherstellen, dass nur USB-Sticks im Einsatz sind, die dem Unternehmen gehören und mit der richtigen Software versehen sind.
  
  
• Dafür sorgen, dass auf ausgegebenen USB-Sticks ein Programm zum sicheren Löschen aufgespielt ist und die Nutzer wissen, wie man damit umgeht.
  
  
• Sicherstellen, dass die Nutzer von USB-Sticks geschult werden, wie sie Daten von den Sticks sicher löschen.
  
  
• Stichprobenartig überprüfen, ob auf eingesetzten USB-Sticks ausschließlich solche Dateien vorhanden sind, die aktuell erforderlich sind. Nicht mehr benötigte Dateien sind verlässlich zu löschen.
  
  
• Diese Regelungen sind in eine entsprechende Sicherheitsrichtlinie oder Datenschutzrichtlinie aufzunehmen. Die jeweilige Richtlinie regelmäßig auf Aktualität und Vollständigkeit prüfen.
  

Und die Kernfrage: Ist sichergestellt, dass personenbezogene Daten auf USB-Sticks verlässlich und dauerhaft gelöscht werden?