Go to Top

GDPR – Wird On-Premise-Datenlöschung ein Muss?

On-Premise-Datenlöschung

Die europäische Datenschutzgrundverordnung (EU-DSGVO, auch unter dem Begriff GDPR bekannt) ist nun endlich in Kraft getreten und infolgedessen passen viele Unternehmen ihre Datenschutz und Business Continuity Pläne an die neuen Regeln an. Da mit der neuen Verordnung die Strafen für die Nichteinhaltung wirklich riesig und mit bis zu 4 Prozent des weltweiten Umsatzes auch für die meisten Unternehmen auch existenzbedrohend geworden sind, muss jeder Aspekt des neuen Regelwerkes auf die bestehenden Pläne hin überprüft und bei Bedarf geändert werden.

In einigen Ländern – zum Beispiel in Deutschland und Frankreich – hat sich nicht so viel im Vergleich zu den derzeit aktiven Datenschutzgesetzen die vor Ort gelten geändert, da diese bereits recht streng sind, aber in vielen anderen Ländern muss der Datenschutz noch durchgesetzt werden.

Eines der wichtigsten Aspekte dieses neuen Gesetzes, das im Frühjahr 2018 aktiv sein wird, ist, sicher zu stellen, dass der Schutz persönlicher Daten erreicht wird. In der neuen EU-DSGVO wird das „Recht auf Vergessen (werden)“ noch stärker durchgesetzt als bisher, was bedeutet, dass die Unternehmen – wenn keine anderen (rechtlich) begründeten Interessen der Firma dem entgegenstehen – die Daten der sogenannten „betroffenen Person“ (data subject) sicher gelöscht werden müssen.

Zusätzlich dazu gibt es noch andere nationale oder internationale Gesetze, die Unternehmen dazu verpflichten sicherzustellen, dass persönliche Daten oder sensible Daten von Partnern, Geschäften, Finanzen oder Steuern und sogar Sicherheitsfragen betreffende Informationen nicht in die Hände von nicht autorisierten Personen gelangen. Die meisten Gesetze, die sich mit diesen Fragen beschäftigen setzen deshalb strenge Vorgaben und Fristen, wann und nach welcher Zeitspanne Daten sicher gelöscht werden können oder müssen.

Aus diesem Grund muss ein ordentlicher Datenmanagement-Prozessplan nicht nur die Speicherung von Daten während ihres Lebenszyklus abdecken, sondern eben auch das Ende: Die sichere Löschung oder Vernichtung der Daten. Und dies stellt Unternehmen vor eine schwere (und kostspielige) Frage:

Sollte die Datenvernichtung im Haus oder außerhalb durchgeführt werden?

Während die Datenvernichtung außerhalb des Unternehmens viele Vorteile bietet, bei der ein externer Dienstleister beauftragt wird Daten zu löschen und Speichermedien und Storage physikalisch zu zerstören, ist das in vielen Fällen nicht die beste und passende Lösung.

Vielfach ist das Löschen im Haus besser oder auch die einzige gangbare Alternative. Die Entscheidung kann aufgrund der Sicherheit wie auch aus rechtlichen Vorgaben resultieren.

Dies sind die häufigsten Gründe, die für eine in-House und gegen eine externe Datenlöschung und -Vernichtung sprechen:

  1. Mehrere nationale Gesetze verlangen von Unternehmen, dass Ihre Daten niemals Ihr Unternehmen oder den Standort verlassen. Persönliche Daten sollen danach niemals öffentlich gemacht werden, und öffentlichen Einrichtungen und Behörden in den meisten westlichen Ländern ist es verboten personenbezogene Daten jemandem außerhalb der Organisation, der Abteilung oder eines bestimmten Vorganges zur Verfügung zu stellen. Hochsensible Branchen wie der Energie- und Finanzsektor oder ähnliche haben strenge Gesetze, die gegen kriminelle, digitale oder terroristische Angriffe auf deren Infrastruktur schützen sollen.
  2. Firmen haben Angst davor, dass geschäftskritische oder sensible Daten, die einem spezialisierten Datenlösch- oder -vernichtungsdienstleister übergeben werden, trotzdem „durchsickern“. In einigen Fällen ist das tatsächlich passiert, als Festplatten nicht ausreichend und sicher gelöscht wurden und um das noch schlimmer zu machen, sollten dann Festplatten von einem Mitarbeiter eines solchen „Datenvernichtungs -Dienstleisters“ auf einer E-Commerce-Internet-Plattform verkauft werden.
  3. Unternehmen verlassen sich oftmals nicht auf einen Datenlöschungsdienstleister, da sie befürchten, dass die Daten zwar von den Storages und Speichermedien gelöscht werden, aber nicht sicher sind, ob diese nicht vorher von irgendjemanden kopiert und an Dritte weitergegeben werden.
  4. Firmen befürchten, dass, wenn Daten gestohlen werden, während sie „sicher“ durch einen Fachmann gelöscht werden, sie nur die Möglichkeit haben gegen den Dienstleister zu klagen. Unabhängig vom Ergebnis des Prozesses steht das Unternehmen dann vor einem unternehmerischen Schaden – und vielfach noch gefährlicher – einem Image- und Reputationsverlust.
  5. Unternehmen und ihre verantwortlichen IT-Administratoren haben das größte Wissen über die Tiefen ihrer Speichersysteme und die auf ihnen abgespeicherten Daten, weil sie jeden Tag damit zu tun haben. Daher sehen viele Firmen ihre eigenen Mitarbeiter als die beste Garantie an, dass nur Daten sicher gelöscht und zerstört werden, die auch am Ende des Lebenszyklus angelangt sind und dass es zu keinen Fehlern während des Lösch- und Vernichtungsprozesses kommt.
  6. Firmen und die verantwortlichen Mitarbeiter wollen dass die Arbeit erledigt wird und sie ein Zertifikat und einen Nachweis über die Datenlöschung bzw. -vernichtung Erhalten. Gleichzeitig möchten sie auch ein wenig Kontrolle über die eigentliche Datenlöschung behalten. Daten, die in einer sicheren Art und Weise in den eigenen Räumlichkeiten gelöscht und zerstört werden verringert die Wahrscheinlichkeit von Datenlecks und Fehlern. Zusätzlich kann ein Experte wertvolle Ratschläge und Unterstützung dabei bieten, was eventuell im aktiven Datenlösch-Plan der Firma vergessen wurde.

Aber es gibt eine Gefahr bei der Löschung von nicht mehr benötigten Daten und Informationen vor Ort. Wie bei jedem IT-Prozess gibt es eine Menge Arbeit, die getan werden muss, bevor die Daten für immer verschwunden sind: Die Aufrechterhaltung der IT-Infrastruktur, die Lösch- und Lösch-Management-Software zu erwerben, die Verwaltung von Lösch-Berichten, das Verfolgen notwendiger Soft- und Hardware-Updates usw. Und all diese Tätigkeiten erfordern Zeit. Zeit, die eher für andere Projekte verwendet werden könnte.

So ist es in vielen Fällen ein effizienter und kostengünstiger Weg einen spezialisierten Datenlöschdienstleister für einen Auftrag direkt ins Haus und in die Räumlichkeiten zu bringen. Deshalb ist es in vielen Fällen effizienter und kosteneffektiver einen spezialisierten Datenlöschungsdienstleister ins Unternehmen zu holen und die Arbeit direkt in den eigenen Räumlichkeiten durchführen zu lassen. Kroll Ontrack beispielsweise entsendet hochqualifizierte Experten in Unternehmen, um nicht mehr benötigte Daten von allen auf dem Markt verfügbaren oder ehemaligen Speichermedien sicher zu löschen. Ob das Unternehmen eine LUN auf einem hochkomplexen Storagesystem gelöscht haben will oder nur Dateien von Festplatten, die aus einem RAID-Array kommen. Egal, ob das Medium nach dem Löschen wieder genutzt werden soll oder mittels eines Degaussers komplett von seinem Inhalt befreit und anschließend entsorgt werden soll, die Kroll Ontrack Spezialisten finden stets den besten Weg um Ihre speziellen Wünsche zu erfüllen.

Mehr Informationen zu diesem Thema finden Sie auch unter: https://www.krollontrack.de/informationsmanagement/daten-sicher-loeschen/services-datenloeschung/

Bildnachweis: Bernd Kasper/pixelio.de