40, 60, 180 Tage, bis Dateien gelöscht werden – ist das nicht viel zu lang? Zumindest gegen die europäische Datenschutz-Grundverordnung verstoßen diese Fristen nicht, sagt der Rechtsanwalt Thomas Schwenke. Darin heißt es zwar, dass personenbezogene Daten "unverzüglich" zu löschen seien, sobald der Nutzer dies verlange. "Wenn es um Back-up-Systeme geht, kann von "unverzüglich" aber nicht mehr die Rede sein", sagt Schwenke, der auch als Datenschutzsachverständiger tätig ist. In der Datenschutz-Grundverordnung fehlten konkrete Löschfristen. Stattdessen setze sie auf Abwägungen. Und im Fall der Cloud ist es eben im Interesse von Kunde wie Anbieter, Daten vorzuhalten: Der Kunde kann seine Daten wiederherstellen, falls er sie nur versehentlich gelöscht hat oder einen gekündigten Dienst doch wieder in Anspruch nimmt. Und der Anbieter muss weniger Aufwand betreiben, die tatsächliche Löschung sicherzustellen.

Nur: Wer überprüft, dass die Cloud-Anbieter tatsächlich löschen? In der Datenschutz-Grundverordnung sind keine zentralen Zertifizierungsstellen festgeschrieben. Viele Cloud-Anbieter lassen jedoch freiwillig von Auditorinnen und Auditoren überprüfen, ob sie alle Versprechen zum Umgang mit Kundendaten einhalten. "Letztendlich operiert man bei vielen Anbietern auf Vertrauensbasis", sagt Rechtsanwalt Schwenke.

In der Praxis zeigt sich, dass in einigen Cloud-Rechenzentren eben doch Zombie-Daten herumliegen, die eigentlich längst hätten gelöscht werden sollen. Ein besonders peinlicher Fall ereignete sich 2017: Nutzer des Filehosting-Dienstes Dropbox fanden plötzlich in ihren Ordnern Dateien vor, die sie dort schon Jahre zuvor gelöscht hatten. Es sei ein Fehler gewesen, dass diese Dateien nicht vollständig von den Servern entfernt worden sei, schrieb ein Dropbox-Mitarbeiter in einem Eintrag im Userforum. Eigentlich sollten auch bei Dropbox Daten von kostenfreien Accounts, die von Nutzerinnen permanent gelöscht wurden, nach spätestens 60 Tagen von allen Servern verschwunden sein. Das war aber offensichtlich nicht so.

Zu Risiken und Nebenwirkungen lesen Sie bitte die AGB

Ein solcher Fall zeigt: So praktisch die Cloud ist – wie genau der Anbieter mit Daten in seinen Rechenzentren umgeht, wissen Nutzer im Detail nicht. "Man muss sehr genau in die Nutzungsbestimmungen reinschauen", sagt KIT-Forscher Schiefer. "Welche Rechte muss ich dem Anbieter einräumen, damit ich einen Dienst nutzen kann?"

Und das ist nicht das einzige Risiko. Cloud-Anbieter könnten Daten auch nutzen, obwohl sie es nicht dürfen, sagt Schiefer. Hinzu kommt: Da Rechenzentren weltweit verteilt stehen, spielt es eine Rolle, aus welchem Land ein Cloud-Anbieter operiert. Denn in manchen Ländern können Gesetze greifen, die ihn zur Herausgabe von Daten etwa an Ermittlungsbehörden verpflichteten.

Außerdem, sagt Schiefer, weckten derartige Datenmengen Begehrlichkeiten von Hackern. Theoretisch ist denkbar, dass sie dabei Daten erbeuten, die eigentlich gelöscht sein sollten und nur noch ohne Verweise auf den Festplatten der Cloud-Anbieter herumdümpeln: Brechen Hackerinnen dort ein und ziehen einfach wahllos alle Daten ab, derer sie habhaft werden können, können sie auch diese eigentlich bereits gelöschten Inhalte kopieren. Waren diese Daten jedoch tatsächlich verschlüsselt und sind die zur Entschlüsselung nötigen Keys bereits entfernt worden, ist mit diesen Resten schwerlich noch etwas anzufangen. 

Trotz alledem rät Schiefer nicht pauschal von der Nutzung von Cloud-Diensten ab. Er zieht in Zweifel, ob ein Versicherungsmakler Kundendaten auf seinen eigenen Rechnern im Büro sicherer verwalten kann als ein Cloud-Anbieter wie Google in seinem Rechenzentrum. Entscheidend sei stets die Frage: Will ich dem Anbieter vertrauen?