Was vom peinlichen Selfie übrig bleibt – Seite 1

Hört da wer mit? Sind gelöschte Bilder wirklich weg? Macht mich mein Smartphone süchtig? Welche dieser Sorgen berechtigt sind und welche übertrieben, ergründet der ZEIT-ONLINE-Schwerpunkt "Digitale Ängste". Dieser Artikel ist Teil davon.

Auf dem Smartphone ist man schneller auf dem Auslöser ausgerutscht, als man den Bildschirm entsperren kann. Und so gibt es sie dutzendfach: versehentlich aufgenommene Selfies der eigenen Nasenlöcher in Großaufnahme. Verwackelt sind sie auch noch – schnell weg damit. Ein Tippen auf den Mülleimer, schon ist das Foto gelöscht. Oder?

In der Fotogalerie taucht die Aufnahme zwar nicht mehr auf. Sie ist aber zunächst nur in den Ordner mit den entfernten Dateien verschoben worden. Bei Apple-Geräten zum Beispiel liegen sie im "Zuletzt gelöscht"-Ordner der Foto-App. Googles Foto-App hingegen bewahrt sie im Papierkorb auf. In solchen Ordnern bleibt das peinliche Selfie oder der riskante Screenshot der eigenen Kreditkarten-Pin je nach Anbieter noch mehrere Wochen bestehen – in den iCloud-Fotos von Apple sind es 30 Tage, bei Google-Fotos 60. Man kann die Bilder aber auch vor Ablauf der Frist händisch noch mal entfernen.

Gelöscht ist so ein Bild dann aber immer noch nicht. Egal, ob Nutzerinnen und Nutzer Fotos lokal auf ihrem Smartphone speichern oder in der Cloud – sie müssen damit rechnen, dass sie nach dem Löschen noch länger existieren. Und zwar so lange, dass es unangenehm werden kann.

Besonders, wenn die Fotos etwas dokumentieren, das nicht nur ein Ausrutscher auf dem Auslöser war. Was, wenn sie etwas zeigen, das einem peinlich ist, oder sogar gefährlich werden kann? Den Ausschlag am Po zum Beispiel. Nacktbilder, die man mit der Partnerin oder dem Date geschossen hat? Fotos der Kinder, die nichts im Netz verloren haben oder Aufnahmen der Sauftour mit den Kollegen? All diese Bilder sollen möglichst rasch verschwinden – für immer.  

Die Kopie der Kopie der Kopie

Ein Selfie vom Smartphone zu löschen ist zunächst in etwa so, als würde man die eigene Telefonnummer aus dem Telefonbuch entfernen lassen. Die Nummer existiert zwar noch, kann aber nur noch von Menschen angerufen werden, die sie kennen. Für das Selfie bedeutet das: Die Bilddatei ist weiter im Speicher vorhanden, kann aber nicht mehr ohne Weiteres wiedergefunden werden, weil der Verweis auf den Speicherort des Fotos im entsprechenden Verzeichnis entfernt wurde. Expertinnen und Experten könnten sie noch immer auf dem Speicher des Telefons wiederfinden, wenn sie ihn auslesen. Bedeutet: die Datei wird vom System zwar als freier Speicherplatz gekennzeichnet – sie existiert dort aber weiter, bis sie mit neuen Daten überschrieben wird. 

Das ist bei allen Computern so: Um ein Speichermedium wirklich von allen privaten Informationen zu bereinigen – etwa, weil man einen alten PC entsorgen will –, genügt es nicht, den Speicher zu löschen oder zu formatieren. Das Gerät muss entweder zerstört – zum Beispiel geschreddert – oder mit einer speziellen Software bestenfalls mehrfach überschrieben werden, damit die darauf verbliebenen Daten nicht mehr rekonstruierbar sind.

Die Daten werden irgendwann überschrieben – allerdings habe ich nicht in der Hand, wann.
Gunther Schiefer, Karlsruher Institut für Technologie

Bei Cloud-Diensten ist das Verfahren viel undurchsichtiger. Millionen Menschen nutzen die Cloud, weil sie praktisch ist: Nutzerinnen und Nutzer können von überall aus auf ihre Daten zugreifen – egal, ob das Gerät verloren geht, ins Klo fällt oder sie ihre Dateien von einem anderen, mit der Cloud verbundenen Gerät aus nutzen wollen. Seine Fotos mit der Cloud synchronisieren bedeutet aber auch: Irgendwo in den Rechenzentren dieser Welt sind Kopien der Bilder gespeichert. Sollen die wirklich gelöscht werden, müssen sie auch dort von den Festplatten der Server verschwinden.

Dieser Prozess beginnt aber erst, wenn die Löschfrist für das Foto auf dem Smartphone verstrichen ist oder das Bild manuell aus dem Ordner entfernt worden ist. Synchronisiert sich das Smartphone das nächste Mal mit der Cloud, wird auch im Cloud-Rechenzentrum, in dem die Datei für alle aktiven Zugriffe gespeichert ist, registriert, dass das Selfie entfernt werden soll. 

"Clouddienste arbeiten im Prinzip wie der heimische PC auch", sagt Gunther Schiefer, der am Karlsruher Institut für Technologie (KIT) zu Cloud-Computing forscht. "Löschen heißt auch dort erst mal nur: Ich lösche den Verweis auf diese Datei aus dem Verzeichnis." Damit ist sie nicht mehr direkt auffindbar – existiert aber immer noch auf den Datenträgern des Rechenzentrums. "Die Daten selbst werden irgendwann überschrieben – allerdings habe ich nicht in der Hand, wann genau das passiert."

Die Cloud vergisst nur sehr, sehr langsam

In den Rechenzentren von Cloud-Diensten werden natürlich jeden Tag große Mengen an Daten hochgeladen, die gespeichert werden müssen. Wird Speicherplatz als überschreibbar ausgewiesen, ist daher damit zu rechnen, dass er innerhalb einer bestimmten Zeit wieder neu belegt wird. Vermutlich aus diesem Grund geben die großen Cloud-Anbieter in der Regel Zeiträume an, bis zu deren Ende die Daten aus den aktiven Speichern gelöscht sein sollen.

Bei der Unternehmenslösung Google Cloud dauert es nach Unternehmensangaben bis zu zwei Monate, bis eine Datei aus den aktiven Speichern gelöscht wird. Auf Nachfrage teilt Google mit, dass die allerdings nicht deckungsgleich mit der Speicherung von Fotos und Videos sei, die über Google Fotos gespeichert wurden. Wie lang die Fristen dort sind, beantwortete das Unternehmen auf Rückfrage aber nicht. Andere Dienste, etwa das cloudbasierte Office 365 von Microsoft, entfernt die Daten in den entsprechenden Cloud-Speichern nach eigenen Angaben bereits nach 30 Tagen.

Auf Anfrage teilt Apple ZEIT ONLINE mit, dass es bis zu 40 Tage dauern kann, bis ein Foto dauerhaft von den iCloud-Servern gelöscht wird, wenn der Nutzer die Funktion iCloud-Fotos aktiviert hat. Bei Nutzern, die die etwas spartanischere Fotostream-Funktion aktiviert haben, werden Fotos nach 30 Tagen ohnehin automatisch aus der iCloud entfernt, erklärt das Unternehmen auf seiner Homepage.

Allerdings werden Dateien schon vor ihrer Löschung praktisch unlesbar gemacht. Denn Daten werden auf den Cloud-Servern von Google Cloud  und Apple nach eigenen Angaben verschlüsselt gespeichert . Und bevor die Dateien dort tatsächlich gelöscht werden, werden schon die Informationen vernichtet, die notwendig wären, um die verschlüsselt gespeicherten Dateien lesbar zu machen.

Im Langzeit-Backup bis zu 180 Tage

Ganz weg ist eine Datei damit aber noch immer nicht. Denn in der Cloud existiert nicht nur eine Kopie davon, sondern viele. Um ihren Kunden Zugriff auf alle Daten auch dann zu ermöglichen, wenn es einmal zu technischen Problemen in einem ihrer Rechenzentren kommt, erstellen Cloud-Anbieter in der Regel gleich mehrere Back-ups der Daten – räumlich möglichst getrennt von den Speichern, auf die die Cloud gewöhnlich zugreift. Hinzu kommen die Back-ups, die viele Menschen zusätzlich dazu von ihren Smartphones, Tablets oder sonstigen Geräten und den Daten darauf erstellen.  Und auch von solchen cloudgespeicherten Back-ups fertigt der Cloud-Betreiber naturgemäß wiederum Back-ups an.

Eine Datei wie zum Beispiel ein Foto ist also erst dann ganz weg, wenn sämtliche Kopien und Back-ups gelöscht sind. Für die Unternehmenslösung Google Cloud benennt das Unternehmen dafür einen klaren Zeitraum: Daten würden in den Langzeit-Back-up-Systemen bis zu 180 Tage aufbewahrt, schreibt das Unternehmen in seinem ausführlichen Bericht zu den Löschprozessen.

Der Grund: In diesen Back-ups sind riesige Datenmengen gespeichert. Und zwar nicht für jeden Nutzer einzeln, sondern in großen Klumpen. Die Systeme können nicht gezielt und separat löschen, sondern müssen warten, bis ein Back-up durch ein Neues ersetzt wird und alte Back-ups auf Googles Servern überschrieben werden.

Das bedeutet: ist eine Datei aus den aktiven Cloud-Speichern gelöscht, wird es auch nicht mehr in Back-ups kopiert. Nach sechs Monaten, so schreibt Google, sei dann wirklich alles weg.

Wie sich das jedoch für Fotos verhält, die über Google Fotos in einer, aber offensichtlich nicht der Business-Cloud gespeichert wurden, erklärte das Unternehmen jedoch auf Rückfrage nicht. 

Apple hingegen argumentiert anders herum: In seinen AGB sagt Apple keinen konkreten Zeitraum zu, bis wann die Back-ups tatsächlich gelöscht sind, sondern behält sich umgekehrt das Recht vor, Back-ups zu entfernen – und zwar jegliche mit einem Gerät assoziierte Back-ups zu löschen, wenn von diesem Gerät 180 Tage lang kein neues Back-up erstellt wurde. Konkretere Angaben machte das Unternehmen auch auf Rückfrage nicht.

Die Zombies aus dem Dropbox-Ordner

40, 60, 180 Tage, bis Dateien gelöscht werden – ist das nicht viel zu lang? Zumindest gegen die europäische Datenschutz-Grundverordnung verstoßen diese Fristen nicht, sagt der Rechtsanwalt Thomas Schwenke. Darin heißt es zwar, dass personenbezogene Daten "unverzüglich" zu löschen seien, sobald der Nutzer dies verlange. "Wenn es um Back-up-Systeme geht, kann von "unverzüglich" aber nicht mehr die Rede sein", sagt Schwenke, der auch als Datenschutzsachverständiger tätig ist. In der Datenschutz-Grundverordnung fehlten konkrete Löschfristen. Stattdessen setze sie auf Abwägungen. Und im Fall der Cloud ist es eben im Interesse von Kunde wie Anbieter, Daten vorzuhalten: Der Kunde kann seine Daten wiederherstellen, falls er sie nur versehentlich gelöscht hat oder einen gekündigten Dienst doch wieder in Anspruch nimmt. Und der Anbieter muss weniger Aufwand betreiben, die tatsächliche Löschung sicherzustellen.

Nur: Wer überprüft, dass die Cloud-Anbieter tatsächlich löschen? In der Datenschutz-Grundverordnung sind keine zentralen Zertifizierungsstellen festgeschrieben. Viele Cloud-Anbieter lassen jedoch freiwillig von Auditorinnen und Auditoren überprüfen, ob sie alle Versprechen zum Umgang mit Kundendaten einhalten. "Letztendlich operiert man bei vielen Anbietern auf Vertrauensbasis", sagt Rechtsanwalt Schwenke.

In der Praxis zeigt sich, dass in einigen Cloud-Rechenzentren eben doch Zombie-Daten herumliegen, die eigentlich längst hätten gelöscht werden sollen. Ein besonders peinlicher Fall ereignete sich 2017: Nutzer des Filehosting-Dienstes Dropbox fanden plötzlich in ihren Ordnern Dateien vor, die sie dort schon Jahre zuvor gelöscht hatten. Es sei ein Fehler gewesen, dass diese Dateien nicht vollständig von den Servern entfernt worden sei, schrieb ein Dropbox-Mitarbeiter in einem Eintrag im Userforum. Eigentlich sollten auch bei Dropbox Daten von kostenfreien Accounts, die von Nutzerinnen permanent gelöscht wurden, nach spätestens 60 Tagen von allen Servern verschwunden sein. Das war aber offensichtlich nicht so.

Zu Risiken und Nebenwirkungen lesen Sie bitte die AGB

Ein solcher Fall zeigt: So praktisch die Cloud ist – wie genau der Anbieter mit Daten in seinen Rechenzentren umgeht, wissen Nutzer im Detail nicht. "Man muss sehr genau in die Nutzungsbestimmungen reinschauen", sagt KIT-Forscher Schiefer. "Welche Rechte muss ich dem Anbieter einräumen, damit ich einen Dienst nutzen kann?"

Und das ist nicht das einzige Risiko. Cloud-Anbieter könnten Daten auch nutzen, obwohl sie es nicht dürfen, sagt Schiefer. Hinzu kommt: Da Rechenzentren weltweit verteilt stehen, spielt es eine Rolle, aus welchem Land ein Cloud-Anbieter operiert. Denn in manchen Ländern können Gesetze greifen, die ihn zur Herausgabe von Daten etwa an Ermittlungsbehörden verpflichteten.

Außerdem, sagt Schiefer, weckten derartige Datenmengen Begehrlichkeiten von Hackern. Theoretisch ist denkbar, dass sie dabei Daten erbeuten, die eigentlich gelöscht sein sollten und nur noch ohne Verweise auf den Festplatten der Cloud-Anbieter herumdümpeln: Brechen Hackerinnen dort ein und ziehen einfach wahllos alle Daten ab, derer sie habhaft werden können, können sie auch diese eigentlich bereits gelöschten Inhalte kopieren. Waren diese Daten jedoch tatsächlich verschlüsselt und sind die zur Entschlüsselung nötigen Keys bereits entfernt worden, ist mit diesen Resten schwerlich noch etwas anzufangen. 

Trotz alledem rät Schiefer nicht pauschal von der Nutzung von Cloud-Diensten ab. Er zieht in Zweifel, ob ein Versicherungsmakler Kundendaten auf seinen eigenen Rechnern im Büro sicherer verwalten kann als ein Cloud-Anbieter wie Google in seinem Rechenzentrum. Entscheidend sei stets die Frage: Will ich dem Anbieter vertrauen?