18. April 2026

ISO 27001: Informationslöschung richtig regeln

Von Joachim Reinke

April 18, 2026

Löschkonzept


Warum steht Informationslöschung überhaupt in der ISO 27001?

Weil alte Informationen, die niemand mehr braucht, trotzdem noch schaden können: Wenn ein Angreifer Daten aus dem Unternehmen herausbekommt, ist es besonders unerquicklich, wenn darunter Dinge sind, die längst hätten weg sein können. Dann entsteht Schaden völlig unnötig: rechtlich, reputationsseitig und manchmal auch als Grundlage für Erpressung. NCSC nennt genau solche Auswirkungen als typische Risikofolgen, etwa Reputationsschäden, finanzielle Schäden und rechtliche oder regulatorische Konsequenzen. Informationen sollen gelöscht werden, wenn sie nicht mehr benötigt werden, um Informationsabfluss zu vermeiden und auch Datenschutz- und andere rechtliche Anforderungen zu unterstützen.

A.8.10 ist deshalb kein reines "Datenschutz-Control" (das wäre A.5.34 - und dazu haben wir hier noch einmal einen separaten Artikel), sondern ein sehr praktisches Sicherheits-Control. Es geht um den sauberen Abschluss des Informationslebenszyklus. Das BSI beschreibt Löschen und Vernichten als einen essenziellen Bestandteil dieses Lebenszyklus und bezieht sich dabei nicht nur auf digitale Datenträger, sondern auch auf analoge wie Papier oder Bänder.

Die kurze Antwort

A.8.10 verlangt nicht nur, dass personenbezogene Daten irgendwann verschwinden. Es verlangt allgemeiner, dass Informationen gelöscht werden, wenn sie nicht mehr erforderlich sind. Und zwar unabhängig davon, wo sie liegen: in Fachanwendungen, Dateifreigaben, Ticketsystemen, E-Mail-Postfächern, Cloud-Diensten, Exporten, lokalen Ablagen, Papierordnern oder auf alten Datenträgern. Genau auf dieses "nicht mehr erforderlich" zielt die Maßnahme ab.

Bei personenbezogenen Daten kommt zusätzlich die DSGVO dazu. Dort gilt das Prinzip der Speicherbegrenzung: Personenbezogene Daten dürfen nur so lange identifizierbar gespeichert werden, wie es für den Zweck erforderlich ist. Art. 17 DSGVO nennt die Löschung sogar ausdrücklich dann, wenn die Daten für den Zweck nicht mehr notwendig sind.

Der wichtige Punkt für A.8.10 ist aber: Das betrifft nicht nur personenbezogene Daten. Sicherheitsseitig ist es genauso unvernünftig, veraltete technische Konzepte, alte Angebotsstände, nicht mehr benötigte Projektdokumente, Datenbank-Dumps, Support-Exporte, Vertragsentwürfe oder interne Auswertungen ewig aufzubewahren, wenn deren Schutzbedarf noch da ist, ihr Nutzen aber längst weg ist. Das ist die eigentliche Denkrichtung hinter diesem Control.

Worum es hier außer personenbezogenen Daten noch geht

Viele Unternehmen denken beim Wort "Löschung" zuerst an Bewerberdaten, Mitarbeiterdaten oder Kundendaten. Das ist verständlich, aber zu wenig. Wenn Sie im Risikomanagement sauber gearbeitet haben, haben Sie sich ohnehin schon gefragt, welche Dinge für Ihr Unternehmen wichtig sind und geschützt werden müssen. NCSC empfiehlt dafür, ein Register der Dinge zu führen, die für die Erreichung der Geschäftsziele kritisch sind, etwa Systeme, Services, Software, Informationen oder Prozesse, inklusive Eigentümer und Bedeutung. In den Beispielen des NCSC tauchen dann ganz selbstverständlich geistiges Eigentum, Mitarbeiterinformationen und Kundeninformationen auf. Genau dort können Sie für A.8.10 anknüpfen.

Anders gesagt: Die Frage lautet nicht nur "Welche personenbezogenen Daten haben wir?", sondern auch "Welche schützenswerten Informationen bewahren wir eigentlich auf, obwohl wir sie vielleicht längst nicht mehr brauchen?" Sobald Sie so draufschauen, wird A.8.10 viel klarer.

Für welche Zwecke speichern Sie diese Informationen überhaupt?

Der nächste sinnvolle Schritt ist banal, aber enorm wirksam: Schreiben Sie für die relevanten Informationsarten auf, wozu Sie sie speichern und wo.

Typische Zwecke sind zum Beispiel die

  • Durchführung laufender Projekte,
  • spätere Kundenbetreuung,
  • Dokumentation der Leistungserbringung,
  • Vorbereitung von Anschlussgeschäft,
  • Vertragserfüllung,
  • Erfüllung handels- und steuerrechtlicher Aufbewahrungspflichten oder
  • Abwehr beziehungsweise Durchsetzung von Ansprüchen.

Für Kaufleute nennt § 257 HGB je nach Unterlagen aktuell Aufbewahrungsfristen von zehn, acht oder sechs Jahren. Für zivilrechtliche Ansprüche gilt zudem oft die regelmäßige Verjährungsfrist von drei Jahren; in einzelnen Werkvertragskonstellationen können auch andere Fristen gelten.

Diese Beispiele zeigen schon: Löschen darf nicht blind passieren, sondern muss zu Zweck, Frist und Risiko passen.

Genau deshalb ist "alles aufheben, man weiß ja nie" keine gute Strategie. Wer jeden Altbestand vorsichtshalber für immer behält, entscheidet sich nicht für Sicherheit, sondern für unnötige Angriffsfläche.

Der häufigste Denkfehler

Der häufigste Denkfehler lautet: "nformationslöschung ist im Grunde ein DSGVO-Thema."

Das stimmt nicht, die DSGVO ist nur ein Teil davon. A.8.10 ist breiter. Es fragt nicht nur nach der Löschung personenbezogener Daten, sondern danach, ob nicht mehr benötigte Informationen insgesamt entfernt werden. Ein weiterer Zweck ist es, Informationsabfluss zu vermeiden. Genau deshalb kann ein altes Architekturpapier, ein vergessenes ZIP mit Quellcode, ein nicht mehr benötigter Kundendatenexport oder ein historischer Vertragsordner sicherheitsseitig genauso unsinnig sein wie ein alter Bewerberordner.

Wo die Löschung sinnvoll in Prozesse eingebaut werden kann

Am elegantesten ist Löschung dort, wo Ihre normalen Arbeitsprozesse ohnehin an einem klaren Punkt vorbeikommen. Also zum Beispiel bei Projektabschluss oder nach Ende einer Bewerbungsrunde, beim Offboarding eines Systems, bei Rückgabe oder Weitergabe von Geräten oder beim Ende einer Gewährleistungs- oder Verjährungsphase. Genau hier ist oft am klarsten, dass der ursprüngliche Speicherzweck entfallen ist. Die DSGVO-Logik der Speicherbegrenzung folgt genau diesem Gedanken: Speicherzeit richtet sich nach dem Zweck.

Wenn Sie so einen Prozesspunkt haben, ist das ideal. Dann gehört die Löschung an genau diese Stelle im Prozess und nicht in eine vage Hoffnung, dass sich irgendwann jemand später erinnert.

Und wenn es keinen natürlichen Löschpunkt gibt?

Dann ist das auch kein Drama. Dann machen Sie es planbar. Was funktioniert, sind periodische Reviews und dokumentierte Standardfristen, wo immer das möglich ist. Praktisch heißt das: Setzen Sie sich für bestimmte Informationsarten regelmäßige Prüftermine. Quartalsweise, halbjährlich oder jährlich. Bei Erreichen des Termins prüfen Sie: Brauchen wir das noch für den ursprünglichen Zweck, für gesetzliche Aufbewahrung oder für die Abwehr bzw. Durchsetzung von Ansprüchen? Wenn nein, weg damit.

Gerade kleinere Unternehmen kommen mit dieser Kalenderlogik oft erstaunlich weit. Sie ist deutlich besser als ein riesiges Löschregelwerk, das in der Schublade liegt und nie angewendet wird.

Backups und Datenträger nicht vergessen

An dieser Stelle kommt fast immer die unangenehme Rückfrage: "Und was ist mit Backups?" Die ehrliche Antwort lautet: Die muss man mitdenken. Aber nicht jede Löschung aus einem Livesystem bedeutet automatisch, dass man in derselben Minute jede Sicherungskopie neu schreiben muss. 

Wichtig ist also nicht blindes Dogma, sondern ein sauberer Gedanke: Was löschen wir sofort im Produktivsystem, was verschwindet wann quasi automatisch mit dem Backup-Zyklus, und was ist technisch oder wirtschaftlich so aufwendig, dass wir dafür einen nachvollziehbaren Sonderweg brauchen?

Die eigentliche Kunst: nicht nur löschen können, sondern löschen wollen

Die größte Hürde bei der Umsetzung ist aber oft gar nicht die Technik, sondern die Entscheidung. Solange niemand festlegt, welche Informationsarten man überhaupt noch braucht und wann der Zweck endet, bleibt alles liegen. Genau deshalb funktioniert Informationslöschung am besten, wenn sie an Asset-Sicht, Zweck-Sicht und Prozess-Sicht andockt: Was ist das für eine Information, wozu halten wir sie, und an welcher Stelle im Alltag ist erkennbar, dass der Zweck erfüllt ist? Diese Art des strukturierten Nachdenkens passt sehr gut zu assetorientiertem Risikomanagement.

Was will der Auditor sehen?

Ein Auditor will hier nicht hören: "Wir könnten theoretisch löschen." Er will sehen, dass Sie festgelegt haben,

  • welche Informationen wann nicht mehr benötigt werden,
  • wer das entscheidet,
  • wie gelöscht wird und
  • wo das auch tatsächlich passiert.

Gute Nachweise sind zum Beispiel eine überschaubare Löschlogik oder Retention Schedule für relevante Informationsarten, erkennbare Löschpunkte in Prozessen, periodische Review-Termine, Zuständigkeiten, technische Verfahren für unterschiedliche Medien, Regelungen für Backups und gegebenenfalls Nachweise über Löschung oder Vernichtung bei Altgeräten oder Dienstleistern.

Unser Tipp

Machen Sie die Umsetzung von ISO 27001 A.8.10 nicht zu einer akademischen Löschphilosophie. Starten Sie mit den Informationsarten, deren Veröffentlichung Ihnen wirklich wehtun würde. Schreiben Sie daneben, wozu Sie diese Informationen speichern, wie lange Sie sie dafür realistischerweise brauchen und an welcher Stelle im normalen Arbeitsablauf die Löschung ausgelöst wird. Wo es keinen natürlichen Punkt gibt, hilft ein fester Review-Termin im Kalender. Genau so wird aus "wir müssten mal löschen" eine belastbare Praxis. 

Interesse geweckt?

Wenn Sie Informationslöschung im Rahmen einer ISO 27001-Einführung sauber regeln wollen, dann lassen Sie uns sprechen oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!

Über den Autor

Joachim Reinke

Joachim Reinke unterstützt seit 2017 Unternehmen beim Aufbau praxistauglicher Managementsysteme für Informationssicherheit und Qualität. In dieser Zeit hat er bereits mehr als 100 Unternehmen begleitet. Er ist zertifizierter Lead Auditor und als Dozent für Informationssicherheit und Qualitätsmanagement bei Zertifizierern und Trainingsanbietern tätig. Kunden schätzen besonders seine klare, praxisnahe und verständliche Vermittlung auch anspruchsvoller Inhalte.

View Comments