Wie Sie Daten auf USB-Sticks datenschutz­gerecht löschen

Eberhard Häcker • 13. April 2023

Der Beitrag erschien am 13. April 2023 und wurde zuletzt überarbeitet am 13. Dezember 2024.

Der kleine feine Datentipp

Lesezeit: ca. 5 Minuten

Laptop mit eingestecktem USB-Stick

USB-Stick-Daten richtig löschen


Löschen von Dateien kann schnell gehen


  Löschen geht manchmal schneller, als man je gedacht hätte. Angenommen, Sie haben eine Datei nur auf einem USB-Stick gespeichert. Wenn Sie das Programm nicht beenden, den Rechner auf Stand-by stellen und jemand den Stick einfach abzieht, dann kann es sein, dass die Datei unwiederbringlich gelöscht ist.


Besser nicht ausprobieren! Ich musste deshalb mal einen ganzen Fachartikel neu schreiben. Damals, ich hatte Windows 7, konnte kein noch so trickreiches Hilfsprogramm meine Datei retten.




Ist Löschen auf USB-Sticks immer so einfach?


Wenn man nun aber absichtlich etwas löschen möchte, ist das wiederum nicht immer ganz so leicht. Nehmen wir wieder das Beispiel der USB-Sticks. Sind einfach nicht totzukriegen, die Dinger. Und sind, wenn man nichts unternimmt, brandgefährlich. Ein Beispiel? Geschenkte oder gefundene USB-Sticks können Schadcode enthalten, der sich nach dem Einstecken in den USB-Port heimlich, still und leise auf dem Rechner ausbreitet. Das kann man verhindern. Aber dafür muss man die Gefahr kennen – und man muss es tun.




Was passiert mit gelöschten USB-Stick-Daten?

 

USB-Sticks sind in vielen Unternehmen allgegenwärtig. Sie werden gerne genutzt, um Daten zu übertragen oder vorübergehend zu sichern. So weit, so gut. Oder schlecht, denn was dabei oft zu kurz kommt, ist das Löschen. Kein Problem, denkt der Windows-Profi, markiert die zu löschenden Dateien und wählt den Befehl „Löschen“. So, Daten gelöscht.


Wirklich? Leider nicht. Auch wenn sie nicht mehr angezeigt werden, sind die Daten weiterhin da. Das ist ungefähr so wie mit dem Inhaltsverzeichnis in einem Buch. Wenn Sie die Seiten mit dem Inhaltsverzeichnis herausreißen, ist der Rest des Buches ja auch noch da. Sie müssen nur vielleicht ein wenig suchen, um eine bestimmte Seite wiederzufinden.




Gelöscht heißt: Noch da. Vorläufig.


Lässt sich also auch die Datei auf dem Stick wiederfinden? Ja, und es ist nicht allzu schwer. Es gibt jede Menge kostenfreie Tools, die Gelöschtes wieder sichtbar machen.


Daten werden beim „Löschen“ nicht wirklich gelöscht. Vielmehr wird der Speicherplatz der Datei fürs Überschreiben freigegeben. Wenn Sie nach dem Löschen andere Dateien auf dem Stick speichern, kann es tatsächlich vorkommen, sozusagen zufällig, dass die neuen Dateien die alten (zumindest teilweise) überschreiben. Es gibt keine festen Regeln, welche Bereiche eines Sticks vorrangig überschrieben werden. Das hängt von der Speicherlogik ab.


Heißt also: Löschen mit dem Befehl „Löschen“ ist nicht verlässlich. Dass eine vom USB-Stick gelöschte Datei wiederhergestellt werden kann, ist allerdings auch nicht sicher.





Daten von Sticks löschen und der Datenschutz


Sobald die Dateien personenbezogene Daten beinhalten, kommt der Datenschutz ins Spiel. Wenn Sie personenbezogene Daten löschen möchten, achten Sie darauf, dass das Löschen nach den Regelungen der Datenschutzgrundverordnung (DSGVO) erfolgt. Sprich: dass Sie sicher und richtig löschen.



USB-Sticks im Homeoffice


Was alltäglich passiert: Auf einem USB-Stick werden vorübergehend personenbezogene Daten gespeichert. Diese sollen sicher übertragen werden. Ist die Übertragung fertig, drückt man auf Löschen und hält die Daten für gelöscht. Im Homeoffice wird der eingesetzte (womöglich private) Speicherstick als Nächstes womöglich von jemandem aus der Familie genutzt. Daraufhin tauchen die Daten wieder auf – an Orten, wo sie überhaupt nichts zu suchen haben. Und schon besteht ein Verstoß gegen gesetzliche Vorgaben zum Datenschutz. Denn laut DSGVO sind personenbezogene Daten zu löschen, wenn sie für ihren Verarbeitungszweck nicht mehr gebraucht werden. Vorsicht: „Löschen“ meint hier das „Unkenntlichmachen gespeicherter personenbezogener Daten“, und das muss dauerhaft sein. Die Löschtaste zu drücken, reicht hier also nicht.




Datenschutzpannen mit USB-Sticks


Wer das nicht weiß, glaubt, sich richtig zu verhalten, hat aber möglicherweise einen Datenschutzverstoß begangen. Tauchen personenbezogene Daten, die gelöscht sein müssten, wieder auf und entsteht dadurch ein Risiko für die Rechte und Freiheiten Betroffener, kommt eine Meldepflicht an die Datenschutz-Aufsichtsbehörde hinzu. Wer dieser Pflicht nachkommen will, muss aber erst einmal von dem Verstoß wissen. Wenn die Daten irgendwo wieder aufgetaucht sind, ist es womöglich zu spät.


Wie wahrscheinlich ist das? Dass eine Datei mit sensiblen personenbezogenen Daten auf dem Speichermedium für gelöscht gehalten wird, in die falschen Hände gelangt, wieder nutzbar gemacht und gegen den Verantwortlichen verwendet wird, ist eher unwahrscheinlich. Passiert es allerdings doch, kann der Schaden hoch sein.




Was verlangt der Datenschutz?


In Sachen Datenschutz gilt, was immer gilt: Sie müssen die betrieblichen Prozesse durch geeignete technische und organisatorische Maßnahmen so gestalten, dass Datenpannen vermieden werden. Wenn also USB-Sticks im Einsatz sind und darauf personenbezogene Daten gespeichert werden, müssen diese daraufhin „dauerhaft unkenntlich“ gemacht werden. Das geht am besten durch Überschreiben mit Zufallszeichen. Dafür gibt es kostenfreie Software, die auch nicht schwer zu benutzen ist. Nur, wie so oft: Man muss wissen, dass es geht, und es tun.


Wer also im Unternehmen USB-Sticks nutzt, muss wissen, wann Dateien zu löschen sind und wie das geht – und das muss dann auch umgesetzt werden.




Meine Tipps für DSGVO-konformes Löschen von USB-Sticks



  • Sicherstellen, dass USB-Sticks nur von beschäftigten Personen genutzt werden dürfen, die sie für ihre Arbeit brauchen.

  • Sicherstellen, dass nur USB-Sticks im Einsatz sind, die dem Unternehmen gehören und mit der richtigen Software versehen sind.

  • Dafür sorgen, dass auf ausgegebenen USB-Sticks ein Programm zum sicheren Löschen aufgespielt ist und die Nutzer wissen, wie man damit umgeht.

  • Sicherstellen, dass die Nutzer von USB-Sticks geschult werden, wie sie Daten von den Sticks sicher löschen.

  • Stichprobenartig überprüfen, ob auf eingesetzten USB-Sticks ausschließlich solche Dateien vorhanden sind, die aktuell erforderlich sind. Nicht mehr benötigte Dateien sind verlässlich zu löschen.

  • Diese Regelungen sind in eine entsprechende Sicherheitsrichtlinie oder Datenschutzrichtlinie aufzunehmen. Die jeweilige Richtlinie regelmäßig auf Aktualität und Vollständigkeit prüfen.



Und die Kernfrage: Ist sichergestellt, dass personenbezogene Daten auf USB-Sticks verlässlich und dauerhaft gelöscht werden?


Bei Datenschutz-Fragen Team Datenschutz fragen.


Kontakt aufnehmen Kontakt aufnehmen

Hat Ihnen der Datentipp gefallen? Empfehlen Sie ihn weiter!

15. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 14. Dezember 2025
Dieses Türchen verbindet Alltag, Risiko und Weihnachtszauber und zeigt, warum Datenschutz in Behörden nicht nur Pflicht ist – sondern Menschenschutz.

14. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 13. Dezember 2025
Das heutige Adventskalender-Türchen ist für alle, die wissen wollen, wie Datenschutz auch auf vier Rädern funktioniert.

13. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 12. Dezember 2025
In dieser warm erzählten Adventsgeschichte zeigt ein Fuhrparkleiter, wie man mit Ruhe, Respekt und Know-how eine stille Datenpanne verhindert und gleichzeitig das gesamte Unternehmen verbessert.

12. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 11. Dezember 2025
VPN, Verschlüsselung und richtige Reihenfolge entscheiden, ob ein Angreifer nur bunte Datenpakete sieht oder ob ein echtes Risiko entsteht.

11. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 10. Dezember 2025
Nicht jeder Held trägt einen Umhang. Diese Geschichte erzählt von einem Kollegen, der mehr Sicherheit schafft als jede technische Maßnahme.

10. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 9. Dezember 2025
Was tun, wenn ein externer Partner einen Datenschutzfehler verursacht? Ein spannendes Türchen über Krisenkompetenz, Vertrauen und echtes Projekt-Leadership.

9. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 8. Dezember 2025
Wie gewinnt man Kunden, wenn Budgets wie dünne Eiszapfen wirken? Indem man zeigt, dass Datenschutz nicht nur Ressourcen kostet, sondern sich auszahlen kann.

8. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 7. Dezember 2025
Das 8. Türchen zeigt humorvoll, wie ein unscheinbarer Router zum Risiko wird und wie ein IT-Kollege mit viel Fachkenntnis (und etwas Übermut) eine kritische Situation sichtbar macht.

7. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 6. Dezember 2025
Was passiert, wenn ein Team erkennt, dass ein Kollege unterzugehen droht? In dieser warmen Adventsgeschichte wird aus Stress eine stille, liebevolle Rettungsaktion.
Mehr anzeigen