Archiv
Datenschutz · Juni 2026 · 7 Min. Lesezeit

Ex-Mitarbeiter aus dem Backup entfernen — revisionssicher

Ein Mitarbeitender verlässt das Unternehmen. Sein E-Mail-Postfach, seine Dokumente, sein Personaldossier — alles bleibt. Nicht nur auf dem Server, sondern in jedem einzelnen Backup-Stand, oft über ein Jahrzehnt lang. Das revidierte DSG und die DSGVO verlangen: löschen, wenn die Daten nicht mehr nötig sind. Die GeBüV und das OR verlangen: 10 Jahre aufbewahren. Ein scheinbar unlösbarer Konflikt — der sich mit der revisionssicheren Datei-Löschung von Archiv3 sauber auflösen lässt.

Kostenlos starten Feature ansehen
Das Wichtigste in Kürze
  • Beim Austritt verschwinden die Daten eines Mitarbeiters nicht — sie leben in jedem Backup-Stand weiter, oft jahrelang.
  • Das revidierte Schweizer DSG (Art. 32) und die DSGVO (Art. 17) verlangen die Löschung, sobald die Daten nicht mehr benötigt werden.
  • Aufbewahrungspflichten (GeBüV, OR Art. 962) schreiben aber 10 Jahre vor. Beides gilt gleichzeitig — und das ist kein Widerspruch, sondern eine zeitliche Reihenfolge.
  • Herkömmliche Backups können einzelne Dateien nicht aus der Historie entfernen. Nur der gesamte Snapshot lässt sich löschen — und damit alle Daten.
  • Archiv3 entfernt einzelne Mitarbeiter-Dateien gezielt aus allen Backup-Ständen — nach Ablauf der Aufbewahrungsfrist, manipulationssicher protokolliert.

Das Szenario: Anna tritt aus

Stellen Sie sich Anna vor. Anna hat seit acht Jahren als Sachbearbeiterin in Ihrem Treuhandbüro gearbeitet — mit Zugriff auf Kundenakten, Buchhaltungen, der eigenen HR-Akte und einem gut gefüllten E-Mail-Postfach. Ende Januar 2024 verlässt sie das Unternehmen. Sie kündigen ihre Benutzerkonten, sammeln das Notebook ein, löschen das Active-Directory-Konto, legen ein sauberes Austrittsprotokoll an. Soweit, so routine.

Doch damit ist Annas digitale Spur nicht verschwunden. Sie existiert weiter — in Ihrem Backup. Und zwar nicht in einer einzigen Version, sondern in jedem einzelnen Stand, der seit ihrem Eintritt geschrieben wurde: den täglichen Sicherungen der letzten Jahre, den Monatsarchiven, jedem inkrementellen Stand. Hunderte Versionen, in denen Annas E-Mails, ihre selbst erstellten Excel-Tabellen, ihre Lohnabrechnungen und ihr Personaldossier physisch enthalten sind. Das ist kein Bug — das ist der Sinn eines versionierten Backups: Sie können zurückgreifen.

Der Begriff: «Personenbezogene Daten» sind nach revDSG und DSGVO alle Informationen, die sich auf eine bestimmte oder bestimmbare Person beziehen — also Name, AHV-Nummer, Lohndaten, E-Mails, IP-Adresse, Foto. Das gesamte digitale Erbe eines Mitarbeiters fällt darunter.

Was das Datenschutzrecht verlangt

Sowohl das revidierte Schweizer Datenschutzgesetz (revDSG, in Kraft seit 1. September 2023) als auch die europäische Datenschutz-Grundverordnung (DSGVO) beruhen auf demselben Grundgedanken: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie sie für den jeweiligen Zweck benötigt werden. Danach sind sie zu löschen.

  • revDSG Art. 32: Personenbezogene Daten sind zu löschen, sobald sie für die Verarbeitung nicht mehr notwendig sind und keine gesetzliche Aufbewahrungspflicht eingreift.
  • DSGVO Art. 17: Betroffene haben ein Recht auf Löschung («Recht auf Vergessenwerden»). Für Schweizer KMU relevant, sobald EU-Bürger betroffen sind — etwa bei Mitarbeitenden aus der EU oder bei EU-Kundendaten.
  • revDSG Art. 32 Abs. 2: Die Löschung muss tatsächlich erfolgen — und nicht nur eine Sperrung oder ein Ausblenden sein.

Einfach gesagt: «Wir behalten die Daten halt lieber» ist keine gültige Antwort. Wer ohne rechtmässigen Grund weiter speichert, begeht einen Datenschutzverstoss — mit Busse, Reputationsverlust und im schlimmsten Fall einer Aufsichtsbeschwerde.

Der Konflikt: was, wenn Sie behalten müssen?

Hier wird es für Schweizer KMU konkret. Gleichzeitig mit der Löschpflicht bestehen Aufbewahrungspflichten, die das genaue Gegenteil verlangen:

  • GeBüV (die Geschäftsbuchführungsverordnung): Buchungsbelege, Buchhaltung, Jahresabschlüsse — 10 Jahre aufzubewahren.
  • OR Art. 962: Geschäftsbücher und Belege — 10 Jahre.
  • Mehrwertsteuergesetz: 10 Jahre Aufbewahrung der relevanten Unterlagen.
  • Sozialversicherungsrechtlich: Lohndaten und -abrechnungen — 10 Jahre.

Das klingt zunächst wie ein Widerspruch: Datenschutzrecht sagt «löschen», Buchführungsrecht sagt «behalten». Tatsächlich ist es aber eine zeitliche Reihenfolge: Während der Aufbewahrungsfrist haben Sie einen rechtmässigen Grund für die Speicherung. Sobald die Frist abläuft, entfällt dieser Grund — und damit greift wieder die Löschpflicht. Das Problem ist nicht das Recht, sondern die technische Umsetzung.

«Das Datenschutzrecht und das Buchführungsrecht widersprechen sich nicht. Sie sagen Ihnen bloss, in welcher Reihenfolge Sie handeln müssen.»— Archiv3

Warum herkömmliche Backups scheitern

Hier liegt der eigentliche Knackpunkt. Ein klassisches Backup ist eine Reihe von Schnappschüssen (Snapshots). Jeder Stand ist ein geschlossenes Ganzes — Sie können ihn wiederherstellen oder löschen, aber Sie können ihn nicht «ein bisschen» verändern. Wenn also Annas Personaldossier im Stand vom 15. Mai 2024 steckt, steckt es da drin. Punkt.

Das führt zu einer absurden Situation. Wenn Sie Anna nach Ablauf der Aufbewahrungsfrist 2034 wirklich DSG-konform löschen wollen, haben Sie drei ebenso unbrauchbare wie riskante Optionen:

  1. Den ganzen Stand löschen. Damit verlieren Sie alle Daten aus diesem Zeitpunkt — auch die Buchhaltung, die Kundenakten, alles. Geht offensichtlich nicht.
  2. Alle Stände löschen, in denen Anna vorkommt. Dann haben Sie praktisch Ihre gesamte Historie vernichtet. Komplett unbrauchbar.
  3. Gar nichts tun und warten, bis die Backups automatisch rotieren. Aber moderne Backup-Lösung rotieren nicht mehr — sie bewahren versionen- und revisions­sicher auf. Also bewahren Sie Annas Daten für immer auf. Auch keine Lösung.
Die bittere Wahrheit: Die meisten Backup-Lösungen am Markt — egal ob Cloud oder On-Premises — bieten keine Möglichkeit, eine einzelne Datei aus der Versionierung zu entfernen. Entweder Sie löschen den ganzen Stand oder Sie löschen gar nichts. Dazwischen gibt es nichts.

Diese Lücke führt in der Praxis zu einem verbreiteten, aber riskanten Kompromiss: KMU sagen sich «dann halt eben nicht» und belassen die Daten — in der stillen Hoffnung, dass schon niemand fragen wird. Das funktioniert, bis ein Auskunftsbegehren kommt, ein Datenschutz-Audit ansteht oder der Ex-Mitarbeiter persönlich nachfragt. Spätestens dann ist die Antwort «wir können technisch nicht löschen» keine Ausrede — sondern eine OFFENLEGUNG, dass Sie seit Jahren gegen geltendes Recht verstossen.

Die Lösung: revisionssichere Datei-Löschung

Hier setzt Archiv3 an. Mit der revisionssicheren Datei-Löschung können Sie eine einzelne Datei — oder ein Suchmuster wie *mueller_a* — gezielt aus allen Backup-Ständen entfernen. Nicht nur aus dem aktuellsten, sondern aus der gesamten Historie. Anschliessend verifiziert das System eigenständig, dass die Datei wirklich nirgends mehr existiert, und protokolliert jeden Schritt manipulationssicher.

Wie das in der Praxis abläuft — vier Schritte

  1. Datei oder Muster suchen. Sie geben einen Dateinamen oder ein Suchmuster ein (z. B. annah_*@firma.ch.pst oder /hr/personaldossiers/mueller/*). Archiv3 scannt sämtliche Sicherungspunkte und zeigt, in wievielen Ständen die Datei vorkommt — mit Zeitraum und Datenmenge.
  2. Master-Key eingeben. Ein normales Login reicht nicht. Sie müssen den Master-Key (Repo-Passwort) manuell eingeben — er wird nie automatisch gelesen. So kann niemand mit Zugriff auf Ihre App-Session löschen.
  3. Bestätigen. Sie sehen exakt, was gelöscht wird, und stimmen ausdrücklich zu. Kein Auto-Löschen, kein «Default-Yes».
  4. Ausführen + verifizieren. Archiv3 schreibt jeden betroffenen Stand neu — ohne die Zieldatei — und prüft anschliessend, dass die Datei wirklich nirgends mehr auftaucht. Der gesamte Vorgang wird revisionssicher protokolliert.

Alle anderen Daten in jedem Stand — die Buchhaltung, die Mandantenakten, die Lohnabrechnungen anderer Mitarbeitenden — bleiben völlig unangetastet. Genau das macht den Unterschied zum herkömmlichen «Stand löschen».

Praxisbeispiel: Annas 10-Jahres-Zeitraum

So sieht der vollständige Lebenszyklus von Annas Daten in einem Archiv3-Konto konkret aus:

  • Januar 2024 — Austritt. Annas Konten werden deaktiviert, ihr Notebook eingesammelt. Auf dem Fileserver und im Mailsystem bleibt sie (wie vom OR vorgeschrieben) für die Aufbewahrungsfrist gespeichert. Jede tägliche Sicherung schreibt weiterhin einen Stand mit ihren Daten.
  • 2024 bis 2033 — Aufbewahrung. Die Aufbewahrungsfrist für Lohn- und Buchhaltungsdaten läuft. Sie müssen Annas Daten in dieser Zeit behalten. Sollte Anna in dieser Zeit ein Auskunftsbegehren stellen, verweisen Sie korrekt auf die Aufbewahrungspflicht (revDSG Art. 32 lit. d bzw. DSGVO Art. 17 Abs. 3 lit. b).
  • Januar 2034 — Fristablauf. Ab diesem Zeitpunkt entfällt der rechtmässige Grund für die Speicherung. Ab jetzt müssen Sie löschen — nicht «dürfen», sondern «müssen».
  • Februar 2034 — Selektive Löschung. Sie öffnen Archiv3, suchen nach Annas Dateien und Mailbox-Daten und lösen die revisionssichere Datei-Löschung aus. Archiv3 entfernt die betroffenen Dateien aus allen relevanten Ständen — zurückgehend bis Januar 2024 — und schreibt die übrigen Daten sauber weiter. Ein Audit-Eintrag dokumentiert den Vorgang.
  • Ab 2034 — DSG-konformer Zustand. Annas Personendaten sind aus dem gesamten Versionsverlauf entfernt. Der Beweis, dass Sie korrekt gehandelt haben, liegt manipulationssicher im Log.

Sie können denselben Vorgang natürlich auch früher auslösen, sobald der rechtmässige Grund für einzelne Datenkategorien entfällt — etwa für Projekte, die nicht der Buchhaltungspflicht unterliegen. Die Aufbewahrungsfrist ist eine Untergrenze, keine Pflicht, Daten länger als nötig zu behalten.

Tipp für die HR: Legen Sie für jeden Austritt im Personaldossier gleich eine Notiz mit dem Datum der voraussichtlichen Löschbarkeit an (Austritt + 10 Jahre). So geht die Pflicht nicht vergessen, und das Löschdatum steht fest, sobald es soweit ist.

Jede Löschung manipulationssicher protokolliert

Die Löschung allein reicht nicht — Sie müssen sie nachweisen können. Archiv3 schreibt jede Phase des Vorgangs in ein append-only Audit-Log: Anforderung, Scan-Ergebnis, Bestätigung, jeden neu geschriebenen Stand, die Verifikation und den Abschluss. Jeder Eintrag enthält den SHA-256-Hash seines Vorgängers — wie eine Blockchain. Sobald jemand auch nur ein einziges Byte in einem früheren Eintrag verändert, stimmen alle Folge-Hashes nicht mehr. Manipulation ist damit nicht nur schwierig, sondern mathematisch nachweisbar.

Ein Datenschutz-Auditor, ein Vorgesetzter oder eine Behörde kann die Kette eigenständig verifizieren. Sie bekommen so einen Beweis, der vor jedem regulatorischen Nachfragen standhält — bis weit über das Austrittsjahr hinaus.

Für wen das relevant ist

Praktisch jedes KMU mit Angestellten — also praktisch jedes KMU. Besonders dringend ist das Thema für:

  • HR-Verantwortliche und Geschäftsführung. Wer Personaldossiers führt, trägt die Löschverantwortung persönlich mit.
  • Treuhand-, Buchhaltungs- und Anwaltskanzleien. Hoher Mitarbeitenden-Durchsatz, strenge Aufbewahrungsfristen und vertrauliche Kundendaten in einem Account.
  • Arztpraxen und Spitex. Personal- und Patientendaten müssen nach Ablauf der jeweiligen Fristen sauber getrennt gelöscht werden.
  • Technologie- und Dienstleistungsunternehmen. Mitarbeitende mit Zugriff auf Kundendaten und Quellcode — nach Austritt entsteht sofortiges Löschinteresse, wo keine Frist entgegensteht.
  • Jedes KMU mit EU-Kunden oder EU-Mitarbeitenden. Die DSGVO greift hier voll, und das Löschbegehren kann jederzeit kommen.

Fazit

Ein Austritt ist kein Endpunkt für die Daten eines Mitarbeitenden — er ist der Anfang einer 10-jährigen Aufbewahrung und danach der Startpunkt einer Löschpflicht, die mit herkömmlichen Backup-Lösungen schlicht nicht zu erfüllen ist. Wer diese Lücke ignoriert, sammelt über die Jahre einen wachsenden Berg an unrechtmässig gespeicherten Personendaten — und merkt es meist erst, wenn jemand fragt.

Archiv3 schliesst diese Lücke mit einer Funktion, die bei den meisten Anbietern schlicht fehlt: Sie entfernen einzelne Mitarbeiter-Dateien gezielt aus der gesamten Backup-Historie — nach Ablauf der Frist, ohne andere Daten zu berühren, manipulationssicher protokolliert. So wird aus einer juristischen Pflicht eine saubere, wiederkehrende Routine, die Sie jederzeit belegen können.

Die technische Grundlage dieser Funktion lesen Sie im Beitrag zur revisionssicheren Datei-Löschung. Was das revidierte Schweizer Datenschutzgesetz sonst noch für Ihr KMU bedeutet, klärt der Artikel revDSG & Backup. Konkrete Pflichten für Treuhänder finden Sie unter GeBüV & Revisionssicherheit.

Häufige Fragen

Müssen wir Personaldossiers nach 10 Jahren wirklich löschen?
Nach Ablauf der Aufbewahrungsfrist entfällt der rechtmässige Grund für die Speicherung, und das revDSG bzw. die DSGVO verlangen die Löschung. Ein bewusstes Behalten ohne Grund ist ein Datenschutzverstoss. Mit Archiv3 entfernen Sie die Daten dann revisionssicher aus der gesamten Backup-Historie — nicht nur vom aktuellen Stand.
Können wir die Löschung auch vor Ablauf der 10 Jahre durchführen?
Ja, sobald der rechtmässige Grund für die Speicherung entfällt — etwa wenn keine arbeitsrechtlichen Ansprüche mehr drohen, der Betroffene ein Löschbegehren stellt und keine Aufbewahrungspflicht mehr greift. Die 10 Jahre sind eine Untergrenze der Pflicht, keine Pflicht zum darüber hinausgehenden Behalten. Daten ohne Aufbewahrungsbezug (z. B. private Projektdateien) können oft deutlich früher gelöscht werden.
Was passiert, wenn der Ex-Mitarbeiter ein DSG-Auskunfts- oder Löschbegehren stellt?
Sie müssen Auskunft erteilen und — sofern keine entgegenstehende Aufbewahrungspflicht greift — die Daten löschen. Mit Archiv3 entfernen Sie die betroffenen Dateien aus der gesamten Backup-Historie und können den Vorgang im manipulationssicheren Audit-Log gegenüber dem Betroffenen oder einer Behörde nachweisen. Greift eine Aufbewahrungspflicht, verweisen Sie korrekt auf die gesetzliche Ausnahme.
Beeinträchtigt die Löschung die Daten anderer Mitarbeitender?
Nein. Archiv3 entfernt ausschliesslich die von Ihnen angegebenen Dateien oder Suchmuster aus jedem betroffenen Backup-Stand. Alle anderen Dateien — auch die Daten anderer Mitarbeitender, die Buchhaltung und die Kundenakten — bleiben in jedem Stand unverändert erhalten. Das System schreibt jeden Stand neu, ohne die Zieldatei, aber mit allem anderen.
Lässt sich die Löschung gegenüber dem Datenschutzbeauftragten nachweisen?
Ja. Jede Phase des Vorgangs wird in einem hash-verketteten Audit-Log protokolliert (SHA-256). Eine nachträgliche Manipulation ist mathematisch nachweisbar. Ein Auditor, der interne Datenschutzbeauftragte oder die zuständige Behörde kann die Kette eigenständig verifizieren — und Sie haben einen Beweis, der vor jeder Prüfung standhält.
Bereit?

Austritt, Aufbewahrung, Löschung — sauber geregelt.

Archiv3 bewahrt Ihre Daten revisionssicher auf — und entfernt einzelne Mitarbeiter-Daten nach Ablauf der Frist gezielt aus der gesamten Backup-Historie. Schweizer Hosting, Zero-Knowledge-Verschlüsselung, manipulationssicheres Audit-Log.

Kostenlos starten Datei-Löschung verstehen

← Zurück zur Wissen-Übersicht

Verwandte Artikel

Das könnte Sie auch interessieren

Revisionssichere Datei-Löschung: eine Datei aus jeder Backup-Version entfernen

revDSG & Backup für Schweizer KMU

GeBüV & Revisionssicherheit