Unternehmen sammeln immer mehr Daten, um sie auszuwerten und wichtige Erkenntnisse daraus zu extrahieren. Allerdings nützen hochentwickelte Datenanalyse-Tools, die zunehmend auch auf künstlicher Intelligenz basieren, wenig, wenn die Qualität der Daten nicht stimmt. Daher benötigen Unternehmen, die für ihre Geschäftsprozesse und -modelle stark auf Daten angewiesen sind, klare Richtlinien, wie und wann Daten aufbewahrt und vererbte Daten gelöscht werden. Fast alle Unternehmen haben sie. Das Problem in der Praxis ist jedoch oft die Umsetzung. Denn: Die sichere und legale Datenlöschung betrifft längst nicht mehr nur IT- oder Datenverantwortliche, sondern viele Abteilungen und Mitarbeiter.
Aus rechtlicher Sicht – Stichwort: Datenschutz-Grundverordnung (DSGVO) – hat die Komplexität zugenommen. Dies gilt insbesondere für das Thema Datenlöschung. Laut einer Studie des Datenpflegespezialisten Blancco haben fast alle (96 %) der mehr als 1.800 weltweit befragten Unternehmen Richtlinien für den Umgang mit und das Löschen von Daten. Die meisten geben diese Regelungen jedoch nicht umfassend an ihre Mitarbeiter weiter. In Deutschland trifft dies auf die Hälfte der Befragungsteilnehmer zu, mit spürbaren Auswirkungen auf den operativen Umgang mit den erhobenen Informationen des Unternehmens.
Sensible Daten können in die falschen Hände geraten
Dies führt in vielen Unternehmen zu einem falschen Sicherheitsgefühl im Umgang mit Daten, insbesondere wenn es um das Löschen von Daten geht. Wie die Studie weiter zeigt, geschieht dies häufig in Form der rein physischen Vernichtung von Datenträgern oder in Lösch- oder Formatierungsvorgängen. Allerdings lassen sich formatierte Festplatten einfach relativ einfach wiederherstellen, sodass sensible Daten in die falschen Hände geraten können.
Ein ähnliches Risiko besteht auch, wenn Mitarbeiter das Unternehmen verlassen oder veraltete Laptops, Desktops, Festplatten oder Serverhardware entfernen sollen. Laut der Studie werden etwa die Hälfte aller Altgeräte durch Dritte entsorgt und damit dem direkten Einflussbereich des Unternehmens entzogen. Wenn die Geräte vor dem Löschen lange gelagert werden oder nicht ausreichend dokumentiert ist, welche Daten sicher gelöscht wurden, kann es für Unternehmen schnell zu Erklärungsbedarf kommen.
Schaffen Sie klare Verantwortlichkeiten
Das Sichern, Pflegen und Verschieben von Daten ist ein oft unterschätzter Aufwand im Umgang mit Daten, der nicht nur mit Mehraufwand verbunden ist, sondern auch rechtliche Verpflichtungen und Sicherheitsrisiken mit sich bringt. Wer mit Daten arbeitet, sollte daher auch bewusst in Datenqualität und die Einhaltung gesetzlicher Vorschriften investieren. Aber wie und wo fängt man an und wie geht man geordnet vor? Die bloße Formulierung von Richtlinien zur Einhaltung und zum Schutz von Daten sowie zur Datenverarbeitung ist in diesem Zusammenhang nicht ausreichend. Unternehmen, die mit Daten arbeiten und diese analysieren, brauchen auch klare personelle Verantwortlichkeiten zum Thema Datenwettbewerb und Datensicherheit, zum Beispiel in Form eines CDO (Chief Data Officer oder Chief Digital Officer), der für die Umsetzung verantwortlich ist entsprechende Stützen. Richtlinien, fördert deren Einhaltung und Umsetzung und kommuniziert und fordert die notwendigen Prozesse.
Auf diese Weise können Daten sicher und gesetzeskonform gelöscht werden
- Rahmenbedingungen und Strategie der Verankerung
- Zunächst gilt es, den Rahmen für das Datenmanagement zu definieren, denn jedes Unternehmen, das mit Daten arbeitet, braucht dafür klare Richtlinien. Dazu gehört es, Standards für die Verfügbarkeit, Nutzung, Sicherheit und Qualität von Daten und die Zugriffsmöglichkeiten darauf zu setzen. In diesem Zusammenhang spielt auch das Thema Datenschutz eine wichtige Rolle.
- Verantwortlichkeiten für die Umsetzung der Richtlinien und die Überwachung der Einhaltung müssen klar zugeordnet sein.
- Die oben definierten Richtlinien sollten auch an das gesamte Unternehmen kommuniziert werden und alle Mitarbeiter sollten sich des Themas Datenqualität bewusst sein.
- Löschung personenbezogener Daten
- Die DSGVO regelt den Umgang und die Löschung von sensiblen Unternehmensdaten, wie beispielsweise personenbezogenen Daten. Dazu gehört auch die Frage, welche Informationen wann bereinigt oder gelöscht werden sollen und welche Daten wie lange aufbewahrt werden sollen. Diese Fristen sollten nicht nur in die Datenverarbeitungsrichtlinien aufgenommen werden, sondern es empfiehlt sich, ein eigenes Konzept zu implementieren, das eine eigenständige Löschstrategie beinhaltet, insbesondere im Hinblick auf die Verarbeitung personenbezogener Daten.
- In diesem Zusammenhang müssen Sie zunächst feststellen, wo personenbezogene Daten anfallen und wo sie gespeichert werden. Erst nach dem Auffinden der Daten ist eine Löschung gemäß der Löschpflicht und dem DSGVO-konformen Handeln möglich.
- Derselbe eindeutige Datenlokalisierungsprozess sollte auch verwendet werden, wenn es darum geht, gesetzliche Aufbewahrungspflichten zu erfüllen. Beispielsweise können verschiedene gesetzliche und vertragliche Verpflichtungen dazu führen, dass personenbezogene Daten für einen bestimmten Zeitraum aufbewahrt werden müssen. Erst nach diesem Zeitraum tritt die Pflicht zur Löschung der Daten in Kraft.
- Die Datenlöschungsrichtlinie sollte auch alle IT-Assets abdecken, einschließlich Smartphones, Tablets, Computer, Server und virtuelle Infrastruktur.
- Es ist wichtig, dass Geräte mit sensiblen Daten die Unternehmens- oder Rechenzentrumsumgebung nicht verlassen; Dies gilt insbesondere, da hybride Arbeitsmodelle private und geschäftliche Nutzung nicht mehr klar von Endgeräten trennen können.
- Datenbereinigung auf Legacy-Geräten
- Bei Altgeräten ist darauf zu achten, dass deren Daten im Einflussbereich der IT-Infrastruktur des jeweiligen Unternehmens verbleiben, beispielsweise bei Recycling oder Schenkung. In diesen Fällen müssen die Daten von den Geräten vor Ort gelöscht und die Reinigung durch ein entsprechendes Zertifikat bescheinigt werden.
- Ist ein externer Anbieter mit der Entsorgung von Altgeräten beauftragt, sollte dieser eine lückenlose Nachweiskette über den Umgang mit der Ware seit der Abholung erstellen. In diesem Fall empfiehlt es sich, für jedes Gerät ein Datenvernichtungszertifikat ausstellen zu lassen.
- Geräte sollten vorzugsweise innerhalb von 24 Stunden nach Ende ihrer Nutzungsdauer entfernt werden.
Fazit: Datenlöschung ist ein lebenslanger Lernprozess für alle
Die Datenlöschung ist ein lebenslanger Lernprozess für alle. Die sichere und legale Datenentfernung betrifft nicht mehr nur IT- oder Datenmanager, sondern viele Abteilungen und Mitarbeiter. Daher sind neben entsprechenden Maßnahmen regelmäßige Schulungen und interne Feedbackzyklen wichtig, um sicherzustellen, dass die Leitlinien in allen Abteilungen und bei allen Mitarbeitern, Mitarbeitern, Selbstständigen und Partnern richtig umgesetzt werden. Wie die Digitalisierung selbst ist auch der Weg zu sauberen, gut erhaltenen Daten ein fortlaufender Prozess, der nicht über Nacht umgesetzt werden kann. Aber es ist wichtig, heute anzufangen.