Ein Prinzip der seit 2018 verpflichtenden EU-Datenschutzgrundverordnung ist die Datenminimierung, nach dem alte und obsolete Daten gelöscht werden müssen. Auch vor dem Hintergrund zunehmender Cyber- oder Ransomwareangriffe, die meist mit einem Absaugen und der Veröffentlichung von Daten verbunden sind, sollten nicht mehr benötigte Information bereinigt werden. Was gelöscht wurde, kann auch nicht mehr verloren gehen.
Einleitung
Viele Unternehmen gehen in überbordenden Informationsbeständen unter. Sie schaffen es aber nicht, lebbare Richtlinien für das Löschen nicht mehr benötigter Information zu erstellen oder in Umsetzung zu bringen. In Email, geteilten Netzlaufwerken, Kollaborationstools, Cloudspeichern und Chatkanälen sind oft personenbezogene und sensible Daten vieler Betroffener (Kunden, Mitarbeiter etc) oder geschäftskritische Information (IP, Geschäftsgeheimnisse etc) enthalten. Diese Informationsbestände sind meist sehr intransparent oder auch „dunkel“, d.h. niemand weiß, welche Dokumentation gespeichert ist und ob sie Nutzen stiftet oder ein Risiko darstellt.
Praxis
Neben der Gefahr der Nichterfüllung der EU-DSGVO stellen die seit 2018 stark zunehmenden Cyber- und Ransomwareangriffe eine massive Bedrohung dar. Im hektischen Tagesgeschäft findet sich selten die Zeit zur Klassifizierung und Löschung von Daten.
Obwohl die Anforderungen für Zugriff und Kontrolle immer weiter steigen, so sind viele Systeme meist nicht speziell geschützt. In vielen Unternehmen ist es immer noch möglich, mittels (leider oft unverschlüsselter) portabler Datenträger wie USB-Sticks, große Datenmengen schnell zu kopieren. Auf Mobilgeräte synchronisierte Email ist auf Grund geringerer Sicherheitsmechanismen z. B. im Verlustfall leichter zuzugreifen, da voll verschlüsselte Mobilgeräte nicht weit verbreitet sind.
Auf Grund der Exponiertheit vieler Systeme hinsichtlich Zugriff und der gespeicherten Information muss den Prinzipien der Speicherbegrenzung und Datenminimierung besondere Bedeutung beigemessen werden. Speicherbegrenzung heißt, dass klare Löschfristen gesetzt und diese auch periodisch auf Einhaltung geprüft werden müssen. Datenminimierung bedeutet, dass obsolete oder nicht relevante Information auch vor Ablauf einer Löschfrist zu löschen ist.
Bei der Prüfung mancher Datenbestände werden oft bis zu 25 Jahre alte Dateien mittels automatisierter Analysetools entdeckt, von denen meist niemand mehr weiß, dass sie existieren. Hier wuchern seit der allgemeinen Einführung zentraler Datenserver vor ca. 25 Jahren mittlerweile undurchdringliche „Datendschungel“, die dringend einer Strukturierung bedürfen. Vor dem Hintergrund der Anforderungen der EU-DSGVO oder zunehmender Cybergefahren werden viele dieser Datenbestände als „gefährlicher Abfall“ zu betrachten sein, weil in diesen Beständen mit hoher Wahrscheinlichkeit undokumentiert personenbezogene (sensible) Daten und geschäftskritische Information gespeichert sind.
Selektion / Umsetzung
Wie sieht nun eine Vorgehensweise zur Risikominimierung aus?
Zuerst sollte mittels automatisierter Werkzeuge eine Analyse vorgenommen werden, um eine „Landkarte“ der Informationsbestände zu erstellen.
Danach kann nach folgenden Kriterien obsolete Information (ROT – für redundant, obsolete, trivial) und weiter zu speichernde Information identifiziert werden.
Folgende Fragen sind zu stellen:
1. Private, persönliche oder nicht unternehmensbezogene Information oder eine Kopie?
2. Werden Geschäftsvorgänge oder Entscheidungsfindungen dokumentiert?
3. Sind gesetzliche oder regulatorische Aufbewahrungspflichten oder Löschverpflichtungen vorhanden?
4. Hat die Information historischen Wert?
5. Handelt es sich um die letzte Version des Dokumentes?
6. Wie alt ist die Information?
7. Wem „gehört“ die Information oder wer ist für den Datenbestand verantwortlich (=Federführende)?
ad 1.) Handelt es sich um private, persönliche oder nicht unternehmensbezogene Information (zB MP3-Musikdateien, Bilder der letzten Weihnachtsfeier etc), so ist diese Information ausnahmslos zu löschen. Das gleiche gilt für Kopien. Duplikate können mittels automatisierter Werkzeuge gefunden werden. Es gilt das SPOT-Prinzip (single point of truth).
ad 2.) Betreffen die Dokumente Geschäftsvorgänge oder Entscheidungsfindungen (zB Bestellungen, Rechnungen, Protokolle etc)? Jegliche Dokumente (Vertragsentwürfe, Emails etc), die die Entwicklung zur letztendlich vorgenommenen, Wert austauschenden Transaktion zwischen Parteien beschreibt. Oder Dokumente, die zum Nachweis von Vereinbarungen oder gesetzter Handlungen dienen, das kann gerichtlich oder außergerichtlich sein. Die meisten geschäftlichen Meinungsverschiedenheiten werden unter Nachweis der schriftlichen Vereinbarung außergerichtlich gelöst. Besonders zu berücksichtigen sind Haftungen und deren Verjährungsfristen.
ad 3.) Es existieren unterschiedlichste Aufbewahrungsfristen. Diese sind abhängig von der Art des Geschäfts, der Gesellschaft und der Jurisdiktion. Geschäftserfordernisse, operative, historische Gründe etc. sind zweitrangig hinter rechtlichen und regulatorischen Anforderungen. Beispiele wären 7 Jahre für Rechnungswesenunterlagen oder 30 Jahre für bestimmte Personalunterlagen. Dokumentation kann auch Löschverpflichtungen unterliegen. Die Dokumentation kann für zukünftige rechtliche oder regulatorische Fragestellungen benötigt werden. (zB Haftungen bei Gewährleistung, Produkt-Prüfzertifikate etc)
ad 4.) Wichtige Zeitpunkte oder Entwicklungsschritte in der Firmengeschichte sollen dokumentiert werden (zB Werkeröffnung, Jubiläum etc).
ad 5.) Ersetzte oder veraltete Dokumentation muss gelöscht werden oder von aktiv verwendeten Systemen in ein Archiv transferiert werden. Es besteht sonst auch die Gefahr, in zu viel Information zu ersticken.
ad 6.) Wird die Information aktiv genutzt? Wann erfolgte der letzte Zugriff? Aufheben für den Fall des Falles ist die falsche Strategie. Nur auf Grund rechtlicher, regulatorischer oder operativer Erfordernisse sollten Dokumente aufbewahrt werden. Wenn 6 Monate kein Zugriff erfolgt, so beträgt die Wahrscheinlichkeit eines neuerlichen Zugriffs nur 0,2%!
ad 7.) Der Verantwortliche oder Federführende (es handelt sich um einen alten Begriff aus dem Archivwesen) sollte seine Dokumentationsbestände entweder selbst aufräumen oder unbedingt beigezogen werden. Die vorgenannten Fragen sollten bei der periodischen Durchführung von sog. Records Days (zB 1x / pa) gestellt werden. Im Rahmen eines Records Day wird ein Informationsbestand regelmäßig „gewartet“.
Risikominimerung
Die vorgenannten Maßnahmen reduzieren folgende Risiken massiv:
1. Daten gehen durch ein Datenleck (externe Hacker, unzufriedene Mitarbeiter etc.) verloren.
2. Prüfung durch die Datenschutzbehörde. Diese wird natürlich einen ihrer Prüfschwerpunkte auf unstrukturierte Datenbestände wie Email und Netzlaufwerke legen, da dort die größten Risiken schlummern und Verstöße am wahrscheinlichsten sind.
Zusammenfassung / Conclusio
Es muss einiger Aufwand zur Bereinigung alter Informationsbestände, die personenbezogene oder geschäftskritische Information enthalten, aufgebracht werden. Bei nicht korrekter Dokumentation oder Verlust drohen hohe Strafen. Betreffend eines Cyberangriffes sollte eher gestern als morgen gehandelt werden, denn die Frage hier lautet nicht, ob ein Vorfall geschieht, sondern wann und wie.
Machen Sie eine Abwägung, ob Informationsbestände noch benötigt werden. In vielen Fällen stiften alte Informationsbestände keinen Nutzen mehr und stellen bei Verlust ein großes Risiko dar. Deshalb ist der einzige ökonomisch vertretbare Weg die Löschung.
Mag. Markus Lenotti
Geschäftsführer
Lenotti Advisors GmbH
Neueste Kommentare