Daten löschen ist schwierig. In relationalen Datenbanken eine Zeile zu löschen ist zum Beispiel nicht immer möglich, ohne einen ganzen Haufen von Zeilen in anderen Tabellen zu löschen, die sich auf die eigentlich zu löschende Zeile beziehen. Diese anderen Zeilen will man aber vielleicht nicht löschen, weil sie noch gebraucht werden.
Beispiel: In einem Onlineshop, an dem ich mal mitentwickelt habe, haben sich Bestellungen auf ein Benutzerkonto bezogen. Wenn jetzt jemand das Konto löschen wollte, konnten wir nicht einfach die Bestellungen mitlöschen, weil die aus rechtlichen Gründen ein paar Jahre bestehen bleiben mussten. Der eigentliche Fehler war also, die Buchhaltungsteil der Bestellungen so eng an den Account zu koppeln.
Aber den Fehler zu kennen half nicht, es war ein altes System und wir mussten mit dem arbeiten, was wir hatten. Also wurden alle Daten des Benutzeraccounts mit Dummy-Daten überschrieben und der Account auf „inaktiv“ gestellt. Für alle Datenbankabfragen war es dann so, als würde der Account nicht existieren. Es gab damit noch ein paar Schwierigkeiten, die sind hier aber nicht relevant.
Jedenfalls scheinen wir mit diesem Problem nicht allein zu sein: Anscheinend machen es viele Konzerne und Websites ähnlich. Nur, dass sie zum Beispiel die Emailadresse mit irgendwas@deleteduser.com überschreiben und ansonsten nicht viele Anstalten machen den Account zu deaktivieren. So kam es, dass jemand, der sich die Domain deleteduser.com (und ein paar ähnliche Domains) registriert hat, plötzlich haufenweise Emails mit teilweise sensiblen Daten bekommt. Und sich teilweise mit diesen Emailadressen noch ein neues Passwort geben lassen kann um dann zu sehen, dass nicht nur der Account nur halbherzig deaktiviert wurde, auch wurden sensible Daten (wie z.B. Kreditkartennummern) nicht gelöscht.
Das eigentliche Problem ist nichts Neues. Schon vor 26 Jahren hat sich jemand die domain donotreply.com reserviert und massenhaft Emails von Menschen bekommen, die auf „do not reply“-Adressen geantwortet haben. Die besten dieser Antworten hat er online gestellt. Leider gibt es die Seite nicht mehr, aber auch archive.org gibt es eine archivierte Version.
Was lernt man daraus?
- Wenn ihr wirklich irgendwo Dummy-Emailadressen nutzen müsst, nutzt eine Domain, die euch gehört.
- Wenn ihr persönliche Daten (oder anderweitig sensible Daten) löschen müsst, es aber technisch nicht könnt, sorgt dafür dass ihr sie wenigstens durch Mülldaten ersetzt. Das ist sowohl ethisch als auch rechtlich verpflichtend.
- Menschen achten oft nicht darauf, dass sie eine Email nicht beantworten sollen (diese Menschen sind übrigens nicht dumm, sie nutzen nur eine Funktion ihres Email-Clients, die sie sonst auch verwenden).