Archiv
Neue Funktion · Juni 2026 · 5 Min. Lesezeit

Eine Datei löschen — aus jeder Backup-Version

Eine Mandantenakte muss vernichtet werden. Ein DSG-Auskunftsbegehren verlangt Löschung. Eine behördliche Anordnung zwingt zum Entfernen. Doch die Datei liegt in hunderten Backup-Ständen — über Jahre hinweg. Revisionssichere Datei-Löschung entfernt eine einzelne Datei aus der gesamten Backup-Historie. Sauber protokolliert. Mit Master-Key geschützt. So einzigartig wie Ihr Backup.

Kostenlos starten So funktioniert's
Das Wichtigste in Kürze
  • GDPR Art. 17 und das revidierte Schweizer DSG geben ein Recht auf Löschung — doch eine Datei existiert in jedem Backup-Stand, nicht nur im aktuellen.
  • Fast kein Backup-Anbieter löst das: die meisten bieten nur „alles löschen" oder „löschen nicht möglich".
  • Archiv3 entfernt eine Datei gezielt aus allen Sicherungspunkten — revisionssicher protokolliert, mit Master-Key geschützt.
  • Sechs Sicherheits-Schichten verhindern Missbrauch: Master-Key-Gate, Dry-Run, Bestätigung, Verifikation und manipulationssicheres Audit-Log.

Das Problem: Ihr Backup weiss zu viel

Eine ordentliche Backup-Lösung bewahrt jede Version einer Datei auf — oft über Jahre. Eine Akte vom März 2023 existiert im Backup-Stand von damals, und in jedem weiteren Stand, in dem sie noch vorhanden war. Das ist der ganze Sinn der Versionierung: Sie können zurückgreifen.

Doch genau das wird zum Problem, wenn eine Datei weg muss. Ein DSG-Auskunftsbegehren verlangt die Löschung einer Kundendatei. Eine GeBüV-Aufbewahrungsfrist endet und die Akte muss vernichtet werden. Eine behördliche Anordnung zwingt zum Entfernen. Die Datei liegt aber nicht nur auf Ihrem Computer — sie steckt in dutzenden, manchmal hunderten Backup-Ständen. Und niemand hat einen Knopf dafür.

Was die Konkurrenz tut: Backblaze, Carbonite, IDrive — sie alle sagen „Konto löschen, dann ist alles weg". Das ist die einzige Option. Eine einzelne Datei aus der Historie zu entfernen? Geht nicht. Die Datei überlebt jedes Löschen, weil sie in den versionierten Ständen weiterlebt.

Die Lösung: Revisionssichere Datei-Löschung

Archiv3 durchsucht alle Sicherungspunkte nach der Zieldatei — und entfernt sie aus jedem einzelnen Stand. Nicht nur aus dem aktuellen. Aus der gesamten Historie. Anschliessend verifiziert das System eigenständig, dass die Datei wirklich nirgends mehr existiert. Der gesamte Vorgang wird in einem manipulationssicheren Audit-Log protokolliert — hash-verkettet, wie eine Blockchain.

Wie es funktioniert — in vier Schritten

  1. Datei suchen. Sie geben einen Dateinamen oder ein Suchmuster ein (z. B. mandant_mueller.pdf oder *.xlsx). Archiv3 scannt alle Sicherungspunkte und zeigt, in wievielen Ständen die Datei vorkommt — mit Zeitraum und Datenmenge.
  2. Master-Key eingeben. Ein normales Login reicht nicht. Sie müssen Ihren Master-Key (Repo-Passwort) manuell eingeben — er wird niemals automatisch gelesen. Das verhindert, dass jemand mit Zugriff auf Ihre App-Session löschen kann.
  3. Bestätigen. Sie sehen genau, was gelöscht wird, und bestätigen ausdrücklich. Kein Auto-Löschen, keine Default-Yes.
  4. Ausführen + verifizieren. Archiv3 schreibt jeden betroffenen Stand neu — ohne die Zieldatei — und prüft danach, ob die Datei wirklich nirgends mehr auftaucht. Das Ergebnis wird revisionssicher protokolliert.
„Die Datei wird nicht nur unsichtbar — sie wird aus jeder Version physisch entfernt und das System verifiziert eigenständig, dass sie wirklich weg ist."— Archiv3

Sechs Sicherheits-Schichten — Defense in Depth

Löschen ist eine heikle Operation. Ein falscher Klick, ein gekapertes Konto, ein missverstandener Befehl — und Daten sind weg, die hätten bleiben sollen. Archiv3 schützt mit sechs unabhängigen Schichten:

  • Master-Key-Gate. Ein Login allein reicht nie. Der Master-Key muss manuell eingegeben und kryptografisch verifiziert werden — mit hmac.compare_digest, geschützt gegen Timing-Angriffe.
  • Dry-Run. Bevor etwas verändert wird, scannt das System nur und zeigt einen Plan. Nichts wird gelöscht, bis Sie ausdrücklich zustimmen.
  • Bestätigung. Der Plan muss aktiv bestätigt werden. Es gibt keinen Weg, die Löschung auszulösen, ohne bewusst „Ja" zu sagen.
  • Sichere Ausführung. Jeder betroffene Stand wird in einem isolierten temporären Verzeichnis neu erstellt — ohne die Zieldatei. Temporäre Dateien werden sicher überschrieben, nicht nur gelöscht.
  • Verifikation. Nach der Ausführung prüft das System eigenständig, ob die Datei wirklich aus allen Ständen entfernt wurde. Schlägt die Prüfung fehl, wird dies klar signalisiert.
  • Manipulationssicheres Audit-Log. Jede Phase — Anforderung, Scan, Bestätigung, Ausführung, Verifikation — wird in einem hash-verketteten JSONL-Log aufgezeichnet. Jede nachträgliche Veränderung ist mathematisch nachweisbar.

Das Audit-Log: revisionssicher wie eine Blockchain

Jede Lösch-Operation wird in einem append-only Log aufgezeichnet. Jeder Eintrag enthält den SHA-256-Hash des Vorgängers — wie eine Blockchain. Ein Auditor oder eine Behörde kann die gesamte Kette verifizieren und nachvollziehen: Wann wurde was gelöscht, von wem, in wievielen Ständen? Und wurde heimlich daran manipuliert?

Die Antwort auf die letzte Frage ist immer eindeutig: Sobald auch nur ein einziges Byte in einem früheren Eintrag geändert wird, stimmen alle Folge-Hashes nicht mehr. Manipulation ist nicht nur schwer — sie ist mathematisch nachweisbar.

WORM und Löschung — kein Widerspruch

Archiv3 bewahrt Sicherungen unveränderbar auf (WORM — Write Once Read Many), gehärtet gegen Ransomware und Manipulation. Das klingt zunächst wie ein Widerspruch zu „Datei löschen". Ist es aber nicht:

  • WORM schützt Ihre Daten vor Angriffen und versehentlichem Überschreiben — innerhalb der Aufbewahrungsfrist.
  • Die Lösch-Funktion ist ein bewusster, authentifizierter Vorgang, der ausdrücklich vom Schlüsselinhaber ausgelöst wird — kein Angriff, keine Panik.
  • Bei Object-Lock-Repos werden die Snapshot-Referenzen sofort entfernt (die Datei ist nicht mehr zugänglich). Die physische Bereinigung der gelockten Daten-Blocks erfolgt nach Ablauf der Lock-Frist — transparent im Audit-Log dokumentiert.

Für wen ist das relevant?

Jedes KMU, das Personendaten bearbeitet und DSG- oder GDPR-Pflichten hat — also praktisch jedes KMU:

  • Treuhand & Buchhaltung. Mandantenakten nach Ablauf der Aufbewahrungsfrist sauber vernichten — nicht nur vom aktuellen Stand, sondern aus der gesamten Historie.
  • Anwaltskanzleien. DSG-Auskunfts- und Löschbegehren korrekt bearbeiten — die Mandantenakte muss wirklich weg, nicht nur ausgeblendet.
  • Arztpraxen. Patientendaten nach Ablauf der Aufbewahrungspflicht revisionssicher entfernen und den Vorgang nachweisen können.
  • HR-Abteilungen. Personaldossiers nach Austritt und Ablauf der Aufbewahrung löschen — DSG-konform, nachvollziehbar.
  • Jedes KMU mit EU-Kunden. GDPR Art. 17 (Recht auf Löschung) verlangt die Entfernung „ohne unverhältnismässigen Aufwand". Bei einer versionierten Backup-Historie ist das ohne dieses Feature schlicht nicht machbar.

Fazit

Eine Backup-Lösung, die versioniert aufbewahrt, aber keine granulare Löschung anbietet, ist ein Compliance-Risiko. Die Daten sind geschützt — aber Sie kommen nicht mehr los, was weg muss. Archiv3 schliesst diese Lücke als erster Schweizer Backup-Anbieter mit einer revisionssicheren, manipulationssicher protokollierten Lösch-Funktion, die den gesamten Versionsverlauf erfasst.

Wie Archiv3 Sie ausserdem bei der revisionssicheren Aufbewahrung unterstützt, lesen Sie unter GeBüV & Revisionssicherheit. Was das revidierte Schweizer Datenschutzgesetz für Ihr KMU bedeutet, klärt der Beitrag revDSG & Backup.

Häufige Fragen

Ist die Datei danach wirklich weg?
Ja. Nach der Löschung durchsucht das System automatisch alle verbleibenden Sicherungspunkte erneut und verifiziert, dass die Datei in keinem Stand mehr enthalten ist. Erst wenn diese Prüfung bestanden ist, wird der Vorgang als erfolgreich markiert. Das Ergebnis wird im manipulationssicheren Audit-Log festgehalten.
Kann jemand versehentlich löschen?
Nein. Die Löschung erfordert sechs unabhängige Sicherheits-Schichten: Sie müssen den Master-Key manuell eingeben (nicht nur eingeloggt sein), den Löschplan ausdrücklich bestätigen und ein letztes Mal in einem Dialog zustimmen. Jede Schicht muss einzeln passiert werden — es gibt keinen Shortcut.
Was passiert bei WORM / Object-Lock?
Bei unveränderbar gespeicherten Repos (S3 Object Lock) werden die Snapshot-Referenzen sofort entfernt — die Datei ist nicht mehr zugänglich und nicht mehr wiederherstellbar. Die physische Bereinigung der noch gelockten Daten-Blocks erfolgt nach Ablauf der Object-Lock-Frist. Der gesamte Vorgang wird im Audit-Log transparent dokumentiert, inklusive des Hinweises auf die verzögerte physische Bereinigung.
Kann ich nachweisen, dass ich gelöscht habe?
Ja. Das manipulationssichere Audit-Log protokolliert jede Phase des Vorgangs: Anforderung, Scan-Ergebnis, Bestätigung, jeden neu geschriebenen Stand, die Verifikation und den Abschluss. Die Einträge sind hash-verkettet (SHA-256) — jede nachträgliche Veränderung ist mathematisch nachweisbar. Ein Auditor oder eine Behörde kann die Kette eigenständig verifizieren.
Beeinträchtigt das andere Dateien?
Nein. Es wird ausschliesslich die von Ihnen angegebene Datei (oder das Suchmuster) entfernt. Alle anderen Dateien bleiben in jedem Stand unverändert erhalten. Das System schreibt jeden betroffenen Stand neu — ohne die Zieldatei, aber mit allem anderen.
In welchem Tarif ist das verfügbar?
Die revisionssichere Datei-Löschung ist ab dem Office-Taruf verfügbar. Im Solo-Tarif steht sie nicht zur Verfügung, da granulare Löschoperationen primär für Compliance- und DSG-Pflichten relevant sind, die typischerweise im Office- oder Compliance-Umfeld entstehen.
Verwandte Artikel

Das könnte Sie auch interessieren

Revisionssichere Aufbewahrung nach GeBüV

revDSG & Backup für Schweizer KMU

GeBüV & Backup: Pflichten für Treuhänder