Anzeige
SECURITY11. Februar 2020

Datenschutz: Viele Finanzunternehmen sind mit Entsorgung digitaler Daten überfordert

Blancco

Ist das noch wichtig oder kann das weg? Bei der Aufbewahrung von Daten geht es nicht nur um das Ob, sondern auch um das Wie lange. Als kürzlich ein großer Datenskandal beim Autovermieter Buchbinder aufgedeckt wurde, fanden sich dort teilweise fast 17 Jahre alte Daten. Dass eine solch lange Speicherung nicht nur in diesem Fall der DSGVO und anderen geltenden Datenschutzgesetzen widerspricht, ist das eine – dass viele Unternehmen, auch aus dem Banken- und Versicherungsumfeld, in der Tat damit überfordert sind, Daten gesetzeskonform zu entsorgen, zeigt jetzt eine aktuelle Studie der Blancco Technology Group, die auf das korrekte Löschen von Daten auf IT-Geräten spezialisiert ist. Demnach findet in 56 Prozent der Unternehmen weltweit keine effektive Kommunikation der Datenrichtlinie statt.

Tag für Tag werden immer mehr digitale Daten durch private Anwender, Unternehmen und Regierungen erzeugt. Längst werden die Daten in den Firmen nicht mehr nur auf Rechenzentrums-Hardware gespeichert, sondern auch in der Cloud, auf diversen tragbaren Endgeräten wie Laptops, Tablets, Smartphones oder externen Speichermedien. Ein sehr unübersichtliches Szenario, vor allem dann, wenn die Daten die letzte Phase ihres Lebenszyklus erreicht haben und gelöscht werden sollen, weil sie nicht mehr aktuell sind oder aus anderen Gründen vernichtet werden müssen.

Denn insbesondere im Rahmen der Datenschutzrichtlinien, etwa der DSGVO, gibt es klare Regeln, wie lange bestimmte Daten überhaupt abgelegt werden dürfen. Was vielen Banken und Versicherungen nicht klar ist: Das widerrechtliche Aufheben kann genauso geahndet werden wie die Speicherung von Daten ohne Zustimmung des Betroffenen.

A hard drive resting on a pile of shredded hard drives
Blancco Technology Group

Die rechtlichen Archivierungspflichten bei Banken sehen in der Regel vor, dass diese Unterlagen über zehn Jahre aufgehoben werden müssen, danach in den meisten Fällen aber entsorgt werden müssen (nicht bloß dürfen). Das regelt prinzipiell § 257 HGB, wobei natürlich auch die Ausgestaltung durch die Regulierungsbehörden eine wichtige Rolle spielt. Doch keine Regel ohne Ausnahme: Bei laufenden Verfahren der Finanzaufsicht ist die Bank sogar verpflichtet, über diese Frist hinaus Unterlagen vorzuhalten und aufzubewahren. Dabei kann es sich einerseits um Kundenbeschwerden handeln, andererseits aber auch um aufsichtsrechtliche Vorgänge.

10 Jahre Aufbewahrungspflicht für Daten – im Prinzip

Doch wie kann ein Unternehmen sicherstellen, dass wirklich alle Daten, auch solche auf dem Mobiltelefon oder der privaten Cloud eines ausgeschiedenen freien Mitarbeiters, mit den korrekten, von den Datenschutzrichtlinien freigegebenen Methoden entfernt werden? Diese Aufgabe, so ist es u.a. in der DSGVO festgelegt, soll durch die jeweiligen unternehmensinternen Richtlinien zur Datenlöschung geregelt werden. Doch obwohl eigentlich alle Firmen über firmeninterne Datenlöschrichtlinien verfügen, haben viele Unternehmen große Probleme bei der Definition, Umsetzung und Kommunikation ihrer Richtlinien und gefährden damit die Sicherheit ihrer Daten. Das hat die neue Studie „Data Sanitization: Policy vs. Reality“ ergeben, die von der Blancco Technology Group in Zusammenarbeit mit Coleman Parkes erstellt wurde.

Für die Studie wurden 1.850 der weltweit größten Unternehmen befragt. Das Ergebnis zeigt, dass die meisten in den Unternehmen verfügbaren Datenlöschrichtlinien nicht geeignet sind, um in jeder Phase eine vollständige Datenlöschung der vorhandenen IT-Assets zu gewährleisten. Es fehlt an einer geeigneten Kommunikationsstrategie für die Mitarbeiter, an Fachkompetenz hinsichtlich der geeigneten Methoden und Orte, an denen die Daten gelöscht werden dürfen. Außerdem herrscht oft Unklarheit darüber, wer im Unternehmen für das korrekte Löschen der Daten verantwortlich ist.

Blancco Technology Group

Es ist also sehr wahrscheinlich, dass zum Beispiel die Daten auf dem Mobiltelefon des ausgeschiedenen freien Mitarbeiters gar nicht oder erst viel zu spät gelöscht werden, weil ihre Existenz schlicht übersehen oder den Verantwortlichen nicht kommuniziert wurde. Anders ausgedrückt: Durch mangelnde Kompetenz bei der Umsetzung interner Datenlöschrichtlinien ist das Risiko für Datenschutzverletzungen in den Unternehmen weltweit unnötig hoch, so dass sich gegebenenfalls auch Haftungsrisiken ergeben können.

Datenlöschrichtlinie nicht ausreichend kommuniziert

Die wichtigsten Erkenntnisse der Studie alarmieren: Obwohl 96 Prozent der insgesamt 1.850 weltweit befragten Unternehmen über eine Richtlinie zur Datenlöschung verfügen, hatte fast ein Drittel (31 Prozent) dies zum Zeitpunkt der Umfrage nicht im Unternehmen kommuniziert. In mehr als der Hälfte der weltweit befragten Unternehmen (56 Prozent) findet keine effektive und regelmäßige unternehmensweite Kommunikation der Datenlöschrichtlinie statt.

Besorgniserregend ist außerdem, wo und auf welche Weise viele internationale Unternehmen die Datenlöschung ihrer IT-Assets durchführen lassen. Etwas mehr als ein Drittel (34 Prozent) der Unternehmen lässt ausrangierte PCs, Laptops, Server und andere Geräte, die in Rechenzentren zum Einsatz kommen, off-site löschen. Auf die Frage, wer für die Verwaltung und Kontrolle von Altgeräten beim Ausscheiden von Mitarbeitern aus dem Unternehmen zuständig ist, gaben 22 Prozent der Unternehmen an, dass dies Aufgabe des Mitarbeiters selbst ist. Weitere 22 Prozent übertragen diese Verantwortung auf ihren direkten Vorgesetzten.

Den vollständigen Bericht – „Data Sanitization: Policy vs. Reality“ – mit einer eingehenden Analyse können Sie kostenlos herunterladen.tw

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert