Das Löschen von Daten ist ein zentraler Aspekt von Compliance- und Datenschutz-Prozessen. In der Praxis fällt Unternehmen diese Aufgabe ausgesprochen schwer. Denn sie fürchten, falsche Daten zu löschen.
Gastbeitrag von Sascha Oehl, Director Technical Sales DACH bei Veritas
IT-Verantwortliche treiben die digitale Transformation ihres Unternehmens voran, wollen Daten klüger und öfter erfassen und müssen zugleich strengere Datenschutz- und Compliance-Vorgaben einhalten. Die europäische Datenschutz-Grundverordnung (GDPR) - auch für Schweizer Unternehmen mit Auslandsbezug von grosser Bedeutung- ist dabei nur eine aus einer Reihe von gesetzlichen Richtlinien, die hier strenge Vorgaben macht.
Diesen Spagat zwischen Datenschutz auf der einen und der Digitalisierung auf der anderen Seite zu meistern ist anspruchsvoll. Wer seinen Kunden aber neue digitale Angebote liefern möchte, wird sich dieser Aufgabe stellen müssen. Denn Kunden wollen genau wissen, was mit ihren Daten geschieht und wie ein Unternehmen mit diesen Informationen umgeht. Die Auskunftspflicht bei GDPR legt diese Privilegien exakt fest.
Will ein Unternehmen diese Fragen schnell und präzise beantworten, braucht es eine Strategie für das Datenmanagement, aus der sich die Prozesse rund um das Aufbewahren und Löschen von Informationen ableiten lassen. Genau hier zeigen sich jedoch in der Praxis immer wieder Probleme, weil der nötige Ein- und Überblick in die Daten fehlt. Firmen können daher schwer entscheiden, welche Daten sie ohne Konsequenzen löschen dürfen.
Datenverwaltung im Dunkeln
Es ist ein Erbe aus der Vergangenheit, dass die Lage so verzwickt macht. Unternehmen waren über Jahre gesetzlich kaum dazu verpflichtet, den Grossteil ihrer Informationen im Sinne des Datenschutzes zu verarbeiten. Dadurch wuchsen Zahl, Grösse und Komplexität der Datenbanken und -speicher erheblich, während das effiziente und rechtssichere Verwalten dieser Datenmassen nur geringe Priorität hatte. Umso grösser ist nun die Aufgabe, die mittlerweile oft undurchsichtigen, veralteten Datenberge zu durchleuchten und die Daten gesetzeskonform zu organisieren.
Zwar hat die Cloud Unternehmen erlaubt, alle Daten an einem einzigen, sicheren Ort zu zentralisieren. In hybriden und Multi-Cloud-Umgebungen werden Informationen jedoch häufig redundant und in voneinander isolierter Infrastruktur gespeichert. Das sorgt erst recht dafür, dass die Daten noch jahrelang an mehreren unterschiedlichen Orten in einem Unternehmen vorhanden sind.
Die Mitarbeiter selbst haben regelmässig mit einer Überfülle an Tools sowie einem Mangel an Datenstrategien und Backup-Lösungen zu kämpfen. Das hat gravierende Folgen für die Produktivität. Denn längst nimmt in vielen Büros die Suche nach benötigten Informationen einen Teil der Arbeitszeit ein.
Andererseits haben viele IT- und Datenmanager kein Interese daran, die Speichersysteme zu verkleinern und Daten zu löschen. Alte Daten könnten doch wertvolle Hinweise für Big Data Analysen oder andere "Insights" liefern. Je länger ein IT-Manager allerdings darauf verzichtet, Daten zu löschen, desto wahrscheinlicher wird es, dass die Daten "dunkel" werden. "Dark Data" sind Informationen, die zwar erfasst aber nicht länger verwendet werden. Zusätzlich – und das ist das Entscheidende – ist sich das Unternehmen nicht einmal der Existenz dieser Daten bewusst. Mit Blick auf Compliance- und Datenschutzvorschriften steckt gerade solchen Karteileichen ein Risiko.
Bändigen der Datenflut
Im Zeitalter der Digitalisierung ist es wichtig, die Daten mit einem Datenmanagement zu pflegen. Es gibt viele wichtige Ansatzpunkte, um solch ein Konzept einzuführen:
Arbeitskräfte ausbilden: Datenbanken fragmentieren oder blähen sich oft auf, weil die Mitarbeiter keinerlei Richtlinie folgen. So vernachlässigen sie es, Daten korrekt zu kennzeichnen oder entscheiden sich, eine zusätzliche Kopie zu speichern. Hier kann das Management einen wertvollen Beitrag leisten, etwa indem es die Mitarbeiter schult, Metadaten korrekt zu verwenden, und sie von unnötigen Kopien abhält.
Daten verwalten: Von hoher Bedeutung ist ein Programm zur Verbesserung der Sichtbarkeit von Daten. Dieses Ziel ist durch eine Lösung für die übergeordnete Datenverwaltung erreichbar. Solche Tools helfen den Systemen und Mitarbeitern zu erkennen, welche Daten wo im Unternehmen vorliegen. Indem sie diese Informationen zusammenführen und analysieren, können Organisationen fundiertere Entscheidungen darüber treffen, welche Daten aufbewahrt und welche gelöscht werden sollen.
Automatisierung fördern: Sobald eine Organisation im Bereich Datenbestand eine grössere Transparenz erreicht hat, sollten die IT-Verantwortlichen die Einführung von Automatisierungswerkzeugen fördern. Dadurch ist das Unternehmen in der Lage, Entscheidungen und Richtlinien über seinen gesamten Datenbestand auszuarbeiten. Daten lassen sich beim Hochladen automatisch klassifizieren, was Fehler reduziert und die Genauigkeit auf der ganzen Linie verbessert. Um das Risiko zu verringern, ist es ausserdem möglich, Daten auch nach einer bestimmten Zeitspanne verfallen zu lassen. Dadurch wird der Aufbau unklassifizierter und Risiko-anfälliger dunkler Daten, die mit der Zeit auftauchen können, verhindert.
Risikofreies Löschen dank Wissen
Das Löschen von Daten ist ein wichtiger Teil des Datenschutzes. Um dies jedoch effektiv zu tun, benötigen die Mitarbeiter den Überblick, welche Informationen wo gespeichert sind. Durch das Fördern der Datenverantwortung und Implementieren aktueller Datenmanagement-Tools wird ein neues Niveau beim Schutz, aber auch beim Löschen von Daten möglich. Denn dank des Wissens um den Inhalt der Daten und ihre Bedeutung lässt sich risikofrei entscheiden, dass die Datei gelöscht werden kann.
