Archiv
Compliance · Juni 2026 · 7 Min. Lesezeit

Recht auf Vergessenwerden — und warum fast kein Backup-Anbieter wirklich löscht

Ein Kunde verlangt die Löschung seiner Daten. Eine Mandantenakte muss nach Ablauf der Frist vernichtet werden. Ein Auskunftsbegehren landet auf Ihrem Schreibtisch. Sie löschen die Datei im Live-System — und glauben, die Sache sei erledigt. Sie ist es nicht. Die Datei lebt weiter, in dutzenden, manchmal hunderten Backup-Ständen. Und genau hier endet die Compliance der meisten Anbieter. Archiv3 entfernt eine einzelne Datei aus der gesamten Backup-Historie — kryptografisch verifiziert, revisionssicher protokolliert.

Kostenlos starten Funktion ansehen
Das Wichtigste in Kürze
  • Das Gesetz ist eindeutig: DSGVO Art. 17 und Art. 32 revDSG geben Betroffenen ein Recht auf Vergessenwerden — und verlangen Löschung aus allen Systemen, inklusive Backups.
  • Backups sind das eigentliche Problem: Eine Datei existiert in jedem Sicherungspunkt, oft über Jahre. Im Livesystem löschen reicht nicht.
  • Fast kein Anbieter kann das: Die meisten lösen nur ganze Snapshots oder das gesamte Konto — eine einzelne Datei lässt sich aus der Historie nicht entfernen.
  • Archiv3 macht granulare Löschung: Eine Datei wird gezielt aus allen Sicherungspunkten entfernt — kryptografisch verifiziert und in einem manipulationssicheren Audit-Log protokolliert.

Die rechtliche Lage: was «Vergessenwerden» wirklich heisst

Art. 17 der europäischen Datenschutz-Grundverordnung (DSGVO) regelt das «Recht auf Löschung» — umgangssprachlich das Recht auf Vergessenwerden. Eine betroffene Person kann verlangen, dass ihre Personendaten gelöscht werden, wenn die Speicherung nicht mehr nötig ist, die Einwilligung zurückgezogen wurde oder die Verarbeitung unrechtmässig war. Wer Daten von EU-Bürgern verarbeitet — also fast jedes Schweizer KMU mit EU-Kundschaft — ist unmittelbar betroffen.

Mit dem revidierten Schweizer Datenschutzgesetz (revDSG), seit dem 1. September 2023 in Kraft, gibt es ein vergleichbares Recht in der Schweiz: Art. 32 Abs. 2 revDSG räumt betroffenen Personen das Recht ein, die Löschung ihrer Personendaten zu verlangen, ausser die Bearbeitung ist gesetzlich vorgeschrieben oder durch ein überwiegendes Interesse gerechtfertigt.

Das kleine, aber entscheidende Detail steht im Wortlaut beider Gesetze: Die Löschung muss ohne unverhältnismässigen Aufwand erfolgen — und sie muss vollständig sein. Eine Datei, die aus dem Livesystem entfernt, aber in einem Backup-Stand von vor zwei Jahren noch vorhanden ist, ist nicht gelöscht im Sinne des Gesetzes. Sie ist nur ausgeblendet.

Was ein Datenschutz-Auditor fragt: «Sie haben die Kundendatei am 4. Mai gelöscht. Sehr gut. Und in welcher Form existiert sie noch in Ihren Backups?» Wer diese Frage nicht beantworten kann — oder die Antwort lautet «in allen Ständen der letzten zwei Jahre» — hat ein Compliance-Problem.

Das Backup-Problem: Ihr Schutzschild wird zur Falle

Hier liegt der Kern des Dilemmas. Eine ordentliche Backup-Lösung bewahrt nicht nur die aktuelle Version Ihrer Daten auf, sondern die gesamte Historie: tägliche, wöchentliche, monatliche und oft jahrelange Stände. Eine Kundenakte, die im März 2023 erfasst und im Mai 2026 gelöscht werden soll, existiert in der Regel in jedem einzelnen Backup-Stand dazwischen — das sind schnell einige hundert Versionen.

Diese Historie ist eigentlich Ihr Schutz: Sie schützt vor Ransomware, vor versehentlichem Löschen, vor Hardware-Ausfällen. Das ist der Sinn der Versionierung. Doch genau dieser Schutz wird zum Problem, wenn eine bestimmte Datei weg muss. Sie können nicht einfach eine Datei aus der Historie herausziehen, ohne die Stände drumherum zu beschädigen — jedenfalls nicht mit den Werkzeugen, die die meisten Anbieter zur Verfügung stellen.

Warum fast kein Anbieter das kann

Die technische Ursache ist trivial, die Konsequenz massiv. Moderne Backup-Systeme arbeiten inkrementell: Jeder neue Snapshot speichert nur die Veränderungen zum vorherigen. Die Daten-Blöcke werden über viele Stände hinweg geteilt (Deduplikation), um Speicherplatz zu sparen. Dieser Ansatz ist effizient — aber er macht granulare Löschung ausserordentlich aufwendig.

Um eine einzelne Datei aus einem einzigen älteren Snapshot zu entfernen, müsste das System den gesamten Stand neu schreiben, samt aller Folgestände, die sich auf die veränderten Blöcke beziehen. Bei hunderten Snapshots und einer verflochtenen Deduplikations-Struktur ist das ein massiver Eingriff in die Integrität der Backup-Kette. Deshalb bieten die meisten Anbieter stattdessen an:

  • Ganzen Snapshot löschen. Der gesamte Backup-Stand eines bestimmten Tages verschwindet — samt aller anderen Dateien, die darin enthalten sind. Eine Lösung, die oft schlimmer ist als das Problem.
  • Gesamtes Konto löschen. Backblaze, Carbonite, IDrive und viele andere sagen offen: «Konto löschen, dann ist alles weg.» Das ist die einzige Option, die sie anbieten. Eine einzelne Datei aus der Historie entfernen? Geht nicht.
  • Gar nichts. Manche Anbieter bestätigen zwar die Löschung im Livesystem, erwähnen die Backups aber mit keinem Wort. Die Datei überlebt — und der Verantwortliche trägt das Risiko, ohne es zu wissen.
Das heimliche Risiko: Wer die AGB der gängigen Cloud-Backup-Anbieter liest, findet oft Formulierungen wie «Aufbewahrte Versionen können nicht einzeln gelöscht werden» oder «Löschbegehren betreffen nur die aktuelle Version». Das mag technisch ehrlich sein. Datenschutzrechtlich ist es eine ticking time bomb: Die Pflicht zur Löschung endet nicht an der Backup-Grenze.

Die Lösung: granulare, revisionssichere Datei-Löschung

Hier setzt Archiv3 an. Statt zwischen «alles löschen» und «nichts löschen» wählen zu müssen, durchsucht Archiv3 alle Sicherungspunkte nach der Zieldatei und entfernt sie aus jedem einzelnen Stand — chirurgisch präzise. Alle anderen Dateien bleiben in jedem Stand unverändert erhalten. Anschliessend verifiziert das System eigenständig, dass die Datei wirklich nirgends mehr existiert, und protokolliert den gesamten Vorgang manipulationssicher.

Wie es funktioniert — in vier Schritten

  1. Datei identifizieren. Sie geben einen Dateinamen oder ein Suchmuster ein — etwa kunde_schneider.pdf oder /dossiers/mueller/*. Archiv3 scannt sämtliche Sicherungspunkte und zeigt transparent, in wievielen Ständen die Datei vorkommt, mit Zeitraum und Datenmenge.
  2. Master-Key eingeben. Ein normales Login reicht nicht. Sie müssen Ihren Master-Key (Repo-Passwort) manuell eingeben — er wird nie automatisch gelesen. Das verhindert, dass jemand mit temporärem Zugriff auf Ihre App-Session löschen kann.
  3. Bestätigen. Sie sehen exakt, was gelöscht wird — welche Datei, in wievielen Ständen, welchen Zeitraums — und bestätigen ausdrücklich. Kein Auto-Löschen, kein Default-Yes.
  4. Ausführen und verifizieren. Archiv3 schreibt jeden betroffenen Stand neu — ohne die Zieldatei — und prüft danach selbstständig, ob die Datei wirklich in keinem Stand mehr auftaucht. Erst dann gilt der Vorgang als erfolgreich.
„Eine Datei im Livesystem zu löschen ist einfach. Sie aus der gesamten Backup-Historie zu entfernen und das kryptografisch nachzuweisen — das ist die eigentliche Herausforderung. Und die löst kaum ein Anbieter."— Archiv3

Kryptografisch verifiziert: nicht gelöscht heisst nicht gelöscht

Nach der Ausführung prüft das System eigenständig, ob die Zieldatei tatsächlich aus jedem einzelnen Stand entfernt wurde. Erst wenn diese Verifikation erfolgreich war, wird der Vorgang als abgeschlossen markiert. Schlägt die Prüfung fehl — etwa weil ein Snapshot in Verarbeitung war und noch referenziert wurde —, wird dies klar signalisiert und nicht stillschweigend übergangen. «Erfolgreich gelöscht» heisst bei Archiv3: verifiziert gelöscht.

Manipulationssicheres Audit-Log: revisionssicher wie eine Blockchain

Jede Phase der Löschung — Anforderung, Scan, Bestätigung, Ausführung, Verifikation — wird in einem append-only Log aufgezeichnet. Jeder Eintrag enthält den SHA-256-Hash des Vorgängereintrags, wie eine Blockchain. Eine nachträgliche Veränderung ist nicht nur schwierig — sie ist mathematisch nachweisbar. Sobald ein einziges Byte in einem früheren Eintrag geändert wird, stimmen alle Folge-Hashes nicht mehr.

Für betroffene Branchen ist das entscheidend: Ein Datenschutz-Auditor, eine Aufsichtsbehörde oder ein Gericht kann die gesamte Kette eigenständig nachvollziehen und verifizieren. Wann wurde was gelöscht, von wem, in wievielen Ständen — und wurde heimlich daran manipuliert? Die Antworten stehen im Log, kryptografisch gesichert.

WORM und Löschung — kein Widerspruch

Archiv3 bewahrt Sicherungen unveränderbar auf (WORM — Write Once Read Many), gehärtet gegen Ransomware und Manipulation. Das klingt zunächst wie ein Widerspruch zu «Datei löschen». Ist es aber nicht:

  • WORM schützt Ihre Daten vor Angriffen und versehentlichem Überschreiben — innerhalb der Aufbewahrungsfrist.
  • Die Lösch-Funktion ist ein bewusster, authentifizierter Vorgang, der ausdrücklich vom Schlüsselinhaber ausgelöst wird — kein Angriff, keine Panik.
  • Bei Object-Lock-Repos werden die Snapshot-Referenzen sofort entfernt (die Datei ist nicht mehr zugänglich). Die physische Bereinigung der noch gelockten Daten-Blocks erfolgt nach Ablauf der Lock-Frist — transparent im Audit-Log dokumentiert.

Für wen ist das relevant?

Praktisch jedes KMU, das Personendaten verarbeitet und gleichzeitig Daten aufbewahren muss — also die meisten Schweizer Betriebe. Drei Gruppen sind besonders betroffen:

  • Treuhand & Buchhaltung. Mandantenakten nach Ablauf der GeBüV-Aufbewahrungsfrist sauber vernichten — nicht nur vom aktuellen Stand, sondern aus der gesamten Historie. Drei, sieben, zehn Jahre Versionen: Alles muss weg, wenn die Frist endet.
  • Anwaltskanzleien. DSG- und GDPR-Auskunfts- und Löschbegehren korrekt bearbeiten. Die Mandantenakte muss wirklich weg sein — nicht nur ausgeblendet. Hier reicht die klassische «Akte vernichten»-Routine nicht mehr, solange digitale Backups existieren.
  • Arztpraxen & Gesundheitsberufe. Patientendaten nach Ablauf der Aufbewahrungspflicht revisionssicher entfernen und den Vorgang gegenüber Patient und Behörde nachweisen können.

Hinzu kommt jedes KMU mit EU-Kundschaft. GDPR Art. 17 verlangt die Entfernung «ohne unverhältnismässigen Aufwand» — bei einer versionierten Backup-Historie ist das ohne granulare Löschfunktion schlicht nicht machbar. Die Sanktionen sind real: Bei DSGVO-Verstössen drohen Bussen bis zu 4 % des weltweiten Jahresumsatzes oder 20 Millionen Euro, je nachdem, welcher Wert höher ist.

Fazit: Löschen ist die neue Aufbewahrung

Das Recht auf Vergessenwerden ist keine theoretische Pflicht aus Brüssel — es ist ein konkreter Handlungsauftrag, der die Technik dahinter herausfordert. Eine Backup-Lösung, die versioniert aufbewahrt, aber keine granulare Löschung anbietet, ist ein strukturelles Compliance-Risiko: Ihre Daten sind gut geschützt, aber Sie kommen nicht mehr los, was weg muss.

Archiv3 schliesst diese Lücke als erster Schweizer Backup-Anbieter mit einer revisionssicheren, manipulationssicher protokollierten Datei-Löschung, die den gesamten Versionsverlauf erfasst — kryptografisch verifiziert, hash-verkettet dokumentiert, geprüft durch den Master-Key. So wird aus einer lästigen Pflicht ein sauberer, nachweisbarer Vorgang.

Wie die Funktion im Detail funktioniert, lesen Sie im Beitrag Revisionssichere Datei-Löschung. Was das revidierte Schweizer Datenschutzgesetz sonst noch für Ihr KMU bedeutet, klärt der Artikel revDSG & Backup.

Häufige Fragen

Muss ich Daten wirklich auch aus dem Backup löschen?
Ja. Das Recht auf Vergessenwerden nach Art. 17 DSGVO bzw. Art. 32 revDSG verlangt die Löschung aus sämtlichen Systemen, in denen die Daten verarbeitet werden. Backups gehören ausdrücklich dazu — sie sind keine rechtliche Grauzone, sondern Teil der Datenverarbeitung. Eine Datei, die nur im Livesystem entfernt wird, aber in der Backup-Historie weiterlebt, ist nicht gelöscht im Sinne des Gesetzes. Das gilt auch für inkrementelle Snapshots und archivierte Stände.
Warum können andere Backup-Anbieter das nicht?
Die meisten modernen Backup-Systeme arbeiten inkrementell mit Deduplikation: Daten-Blöcke werden über viele Snapshots hinweg geteilt, um Speicherplatz zu sparen. Um eine einzelne Datei aus einem älteren Stand zu entfernen, müsste das System den gesamten Snapshot und alle abhängigen Folgestände neu schreiben — ein massiver Eingriff in die Integrität der Backup-Kette. Deshalb bieten die meisten Anbieter nur die Löschung kompletter Snapshots oder des gesamten Kontos an. Eine einzelne Datei aus der Historie zu entfernen, ist technisch aufwendig und deshalb die Ausnahme.
Kann ich nachweisen, dass eine Datei gelöscht wurde?
Bei Archiv3 ja. Jede Phase der Löschung wird in einem manipulationssicheren Audit-Log protokolliert: Anforderung, Scan-Ergebnis, Bestätigung, jeden neu geschriebenen Stand, die kryptografische Verifikation und den Abschluss. Die Einträge sind hash-verkettet (SHA-256) — jede nachträgliche Veränderung ist mathematisch nachweisbar. Ein Datenschutz-Auditor, eine Aufsichtsbehörde oder ein Gericht kann die Kette eigenständig verifizieren.
Was ist, wenn eine Datei noch in einem Object-Lock-Repo steckt?
Bei unveränderbar gespeicherten Repos (S3 Object Lock) werden die Snapshot-Referenzen sofort entfernt — die Datei ist danach nicht mehr zugänglich und nicht mehr wiederherstellbar. Die physische Bereinigung der noch gelockten Daten-Blocks erfolgt nach Ablauf der Object-Lock-Frist. Der gesamte Vorgang wird im Audit-Log transparent dokumentiert, inklusive des Hinweises auf die verzögerte physische Bereinigung. So bleibt der Vorgang auch bei WORM-Speicher nachvollziehbar.
Beeinträchtigt die Löschung andere Dateien?
Nein. Es wird ausschliesslich die von Ihnen angegebene Datei oder das Suchmuster entfernt. Alle anderen Dateien bleiben in jedem betroffenen Stand unverändert erhalten. Das System schreibt jeden Stand neu — ohne die Zieldatei, aber mit allem anderen. Das ist der entscheidende Unterschied zur Löschung eines ganzen Snapshots, bei der man unbeteiligte Daten verlieren würde.
Verwandte Artikel

Das könnte Sie auch interessieren

Revisionssichere Datei-Löschung: ein Datei aus jeder Backup-Version entfernen

revDSG & Backup für Schweizer KMU

GeBüV: revisionssichere Aufbewahrung