Go to Top

Warum Datenlöschung für die DSGVO/GDPR von Bedeutung ist

Der bevorstehende Termin für die Einführung der DSGVO im Mai hat Strategien zur Datenvernichtung und -löschung in den Mittelpunkt der strategischen Ausrichtung von Unternehmen gerückt. Dank der möglicherweise extrem hohen Geldstrafen bei Nichteinhaltung und der Verantwortung, die jetzt auf das Führungsteam zukommen, ist die Datenspeicherung in vielen Organisationen gerade ganz oben auf der Tagesordnung.

Zu wissen, um was es geht und pragmatische Schritte zu unternehmen, sind eindeutig zwei verschiedene Dinge. Das Problem ist, dass Organisationen nicht immer wissen, wo sich ihre Daten befinden. Daher wird die Reaktion auf sogenannte Subjektzugriffsanfragen (SARs/ subject access requests) für persönliche Informationen zu einem komplexen, zeitaufwändigen und teuren Prozess. Gemäß Artikel 17 der Datenschutz-Grundverordnung müssen Organisationen nachweisen können, dass sie Daten ordnungsgemäß und dauerhaft löschen können.

Sobald ein erstes Datenaudit durchgeführt wird (die meisten Organisationen sollten bereits auf dem besten Weg sein, diesen Prozess in Vorbereitung auf die DSGVO abzuschließen), besteht die nächste Stufe darin, persönliche Daten loszuwerden, die nicht mehr relevant sind und nicht mehr für eine spezifischen Zweck aufbewahrt werden müssen oder sich auf Kinder unter 16 Jahren bezieht.

Wie man Daten richtig löscht

Das Löschen von Daten oder das Neuformatieren von Magnetdatenträgern (einschließlich Festplattenlaufwerken und Bändern) reicht jedoch nicht aus, um sicherzustellen, dass fälschlicherweise aufbewahrte persönlichen Daten nicht im Unternehmen gespeichert sind. Wenn Daten von einem beliebigen Medientyp gelöscht werden, können sie in vielen Fällen trotzdem noch wiederhergestellt werden, auch wenn die Hardware durch Hochwasser oder Feuer beschädigt wurde.

Glücklicherweise gibt es viele Softwarelösungen, die Geräte vollständig von Daten befreien, so dass sie sicher wiederverwendet, weiterverkauft oder recycelt werden können. Es gibt auch Lösungen, die nur bestimmte Dateien zielgerichtet und dauerhaft löschen können. Es gibt natürlich noch mehr dauerhafte Löschlösungen wie zum Degausser (Entmagnetisierer), die Magnetbandspeicher aufnehmen und das Gerät vollständig unlesbar (und unbrauchbar) machen können.

Virtuelle Laufwerke sollten ebenfalls als Teil eines Datensäuberungsprozesses betrachtet werden. Insbesondere Anbieter von Drittanbieter-Service-Provider nutzen eine virtualisierte Infrastruktur, um Speicherplatz über mehrere Kunden hinweg zu verteilen, um dadurch Skaleneffekte zu erzielen. Viele Anbieter sind dann mit dem Problem konfrontiert, bestimmte Bereiche ihrer virtuellen Speicherinfrastruktur sicher zu löschen, während der Rest intakt bleiben, beispielsweise dann, wenn ein einziger Kunde seinen Managed-Service-Vertrag beendet.

Die Risiken von physischen Laufwerken

Eine weitere große Risikoquelle sind physische Laufwerke, die dazu neigen, recycelt und von Organisationen wiederverwendet zu werden, die damit versuchen, die Speicherkosten gering zu halten. Ohne die richtigen Datenlöschwerkzeuge und -software zu verwenden, können Unternehmen nicht sicher sein, dass sensible Daten entfernt wurden, bevor die Speichermedien erneut bereitgestellt oder an den ursprünglichen Gerätehersteller zurückgesendet werden.

Bei einer Studie mit 64 Festplatten, die online an unterschiedlichen Standorten wie den USA, Deutschland, Frankreich, Italien, der Asien-Pazifik-Region, Polen und Großbritannien gekauft wurden, fand Kroll Ontrack heraus, dass 30 Laufwerke noch Spuren von persönlichen Daten enthielten.

Eine Festplatte hat besonders Alarm ausgelöst. Es gehörte einer Firma, die einen Dienstleister beauftragte, um alte Laufwerke zu löschen und weiterzuverkaufen. Trotzdem enthielt das Laufwerk eine Fülle hochsensibler Informationen, darunter Benutzernamen, Privatadressen, Telefonnummern und Kreditkartendetails. Es enthielt eine Mitarbeiterliste mit ungefähr 100 Namen, die Informationen über Berufserfahrung, Berufsbezeichnungen, Telefonnummern, Sprachfähigkeiten, Urlaubstermine und ein 1-MB-Offlineadressbuch enthielten.

Fast ein Drittel (21 Laufwerke) enthielt persönliche Fotos, private Dokumente, E-Mails, Videos, Audio oder Musik. Benutzerkonteninformationen wurden auf acht Laufwerken gefunden, darunter Anmeldedaten wie Vor- und Nachname, Kontaktdaten, E-Mail-Adresse, Online-Kontonamen und Kennwörter.

Transaktionsdaten wurden von fast jedem siebten Laufwerk (9) wiederhergestellt. Dazu gehörten Firmennamen, Gehaltsabrechnungen, Kreditkartennummern, Bankkontodaten, Anlagedetails und Steuererklärungen. Das Problem erstreckt sich auch auf die Geschäftswelt, da Benutzer auf ihre eigenen mobilen Geräte zugreifen. Bei sechs Laufwerken in unserer Studie wurden kritische Geschäftsdaten wie CAD-Dateien, PDFs, JPGs und Kennwörter gefunden.

Bei der Suche nach diesen sechs Laufwerken haben wir sogar komplette Online-Shop-Setups, Konfigurationsdateien und POS (Point-of-Sale) -Schulungsvideos gefunden. Weitere fünf enthielten weitere arbeitsbezogene Daten: Rechnungen und Bestellungen, darunter auch sensible persönliche Daten.

Nutzer sind sich der Risiken nicht bewusst

In einer früheren Umfrage unter 2.000 britischen Verbrauchern haben wir festgestellt, dass viele Benutzer sich der Risiken nicht bewusst sind, die sich aus der Nicht-Sicherung von Daten oder dem Recycling ihrer Geräte ergeben. Mehr als ein Zehntel (11 Prozent) geben zu, dass sie nicht sicher sind, ob Daten dauerhaft gelöscht werden, wenn sie alte Mobiltelefone, Tablets oder Computer recyceln oder wegwerfen.

Nur 32 Prozent gaben an, dass sie die Daten auf ihren elektronischen Geräten regelmäßig sichern. 68 Prozent riskieren den Verlust persönlicher Daten und viele mehr hinterlassen Daten auf ihrem Gerät, wenn dieses verloren geht, beschädigt, weiterverkauft oder entsorgt wird.

Forensische Untersuchungen

Die Welt hat eine massive Ausbreitung von Gadgets erlebt, von Smartphones über iPads bis zu sprachaktivierten digitalen Assistenten, Fernsehern und Kühlschränken, die Daten aufzeichnen und übertragen können. Industrielle Sensoren und CCTV-Kameras helfen ebenfalls bei der Erstellung von Daten, die so groß und komplex sind, sodass ein neuer Ansatz zum Speichern, Sichern und Löschen auf Anfrage von Einzelpersonen erforderlich ist.

Computer-Forensik-Experten können Daten verwenden, um einen Rechtsstreit zu gewinnen oder zu verlieren. Ein Beispiel für einen solchen Fall war, als die Staatsanwaltschaft feststellte, dass die Fitbit-(Fitness) Daten einer ermordeten Frau nicht mit dem Alibi ihres Mannes übereinstimmten. Mit den Orten, die von Fitbit und dem Aktivitätsmonitor nachgewiesen wurden, konnten die Ermittler eine Zeitlinie erstellen, die ergab, dass sie nicht dort war, wo ihr Ehemann aussagte, dass sie zum Zeitpunkt ihrer Ermordung gewesen sein sollte. Richard Dabate ist derzeit auf Kaution frei und wartet auf seinen Prozess um die Ermordung seiner Frau.

Der Fall dient dazu, zu demonstrieren, dass ein entschlossener Computer-Forensik-Experte Daten von fast jedem Gerät und aus fast jedem Zerstörungszustand wiederherstellen kann. Unsere vielen Studien, die wir im Laufe der Jahre über weggeworfene oder recycelte Geräte durchgeführt haben, zeigen zudem, dass häufig nicht ausreichend über getroffene Entscheidungen nachgedacht wurde, wodurch Privatpersonen und die Unternehmen, für die sie arbeiten, einem hohen Risiko ausgesetzt sind.

Der DSGVO/GDPR Effekt

Wenn die neue Datenschutzgrundverordnung in Kraft tritt, müssen Unternehmen sowohl im privaten als auch im öffentlichen Sektor nachweisen, dass Daten im Einklang mit den neuen Richtlinien sicher gelöscht werden, und zeigen, dass sie für die Überwachung, Überprüfung und Bewertung relevanter Verarbeitungsverfahren uneingeschränkt verantwortlich sind.

Sie müssen bereit sein, die Datenverarbeitung und die unnötige Aufbewahrung zu minimieren sowie Sicherheitsvorkehrungen für alle datenbezogenen Aktivitäten zu treffen. Viele Unternehmen betrachten die DSGVO bereits als einen Grund, Best-Practice-Management-Strategien für ihre Datenspeicherung anzuwenden. Es gibt mehrere geschäftliche Vorteile, eine End-to-End-Datenlösch-Policy in Kraft zu setzen und nicht nur wegen der neuen Ausrichtung der überarbeiteten europäischen Gesetzgebung.

Kosten – Datenspeicherung ist sowohl physisch als auch virtuell teuer. Da Daten sicher gelöscht werden können, können Unternehmen Speichermedien recyceln und wiedereinsetzen, ohne befürchten zu müssen, versehentlich vertrauliche Daten in fremde Hände zu legen.

Sicherheit – Der Unterschied zwischen „Deletion“ und „Erasure“ wird oft missverstanden und manchmal als gleichwertig angesehen. Es ist wichtig für Unternehmen zu verstehen, dass wenn Daten „deleted“ werden, sie wiederherstellbar sind, aber wenn sie richtig „erased“ werden, sind sie unwiederbringlich vernichtet.

Auf dem Laufenden gehalten werden – Der Fokus auf Datenspeicherung und -löschung ist nicht neu (PCI DSS, ISO 270001), aber da die Welt verständlicherweise immer mehr von Daten abhängig wird, werden Überzeugung nach stärker fokussierten Vorschriften auf den Rest der Welt übertragen. Die DSGVO/GDPR wird auch wichtige Aspekte wie Globalisierung oder populäre technologische Entwicklungen wie Facebook, Twitter, Google+ und andere Social-Media-Plattformen abdecken. Die neue Gesetzgebung wird alle neuen Arten der Kommunikation im digitalen Zeitalter umfassen – und die danach folgenden Informationen, die aus unserer Interaktion mit ihr entstehen.

Unserer Erfahrung nach sind Datenschutzexperten im Großen und Ganzen gut über die neue DSGVO informiert. Die Herausforderung für sie besteht darin, die Lücke zwischen den theoretischen Anforderungen und den praktischen Umsetzungsmöglichkeiten zu schließen, sowie die Auswirkungen auf die Unternehmen, für die sie arbeiten. Dies beinhaltet die Möglichkeit, Daten sicher und mit einem überprüfbaren Prozess zu löschen.

Umgekehrt gibt es immer noch eine große Anzahl von Organisationen, die die Aufgaben des Datenschutzes in ihrem Unternehmen niemandem zugewiesen haben, sei es ein einzelner Datenschutzbeauftragter oder eine Gruppe von Einzelpersonen. Für diese Unternehmen wird jetzt die Zeit knapp.