Fehlende Strategie: Firmen sind mit der Entsorgung von digitalen Daten überfordert

0

Tagtäglich werden immer mehr digitale Daten durch private Anwender, Unternehmen und Regierungen erzeugt. Allein auf Facebook werden pro Tag 100 Milliarden private und Unternehmens-Nachrichten geteilt. Längst werden die Daten in den Firmen nicht mehr nur auf Hardware gespeichert, sondern auch in der Cloud, auf diversen tragbaren Endgeräten wie Laptops, Tablets, Smartphones oder externen Speichermedien. Ein sehr unübersichtliches Szenario, vor allem dann, wenn die Daten die letzte Phase ihres Lebenszyklus erreicht haben und gelöscht werden sollen, weil sie nicht mehr aktuell sind oder aus anderen Gründen vernichtet werden müssen.

Doch wie kann ein Unternehmen sicher stellen, dass wirklich alle Daten, auch solche auf dem Mobiltelefon oder der privaten Cloud eines ausgeschiedenen freien Mitarbeiters, mit den korrekten, von den Datenschutzrichtlinien freigegebenen Methoden entfernt werden?

Diese Aufgabe, so ist es unter anderem in der DSGVO festgelegt, soll durch die jeweiligen unternehmensinternen Richtlinien zur Datenlöschung geregelt werden. Doch obwohl eigentlich alle Firmen über firmeninterne Datenlöschrichtlinien verfügen, haben viele Unternehmen große Probleme bei der Definition, Umsetzung und Kommunikation ihrer Richtlinien und gefährden so die Sicherheit ihrer Daten. Das hat die neue Studie „Data Sanitization: Policy vs. Reality“, ergeben, die von der Blancco Technology Group in Zusammenarbeit mit Coleman Parkes erstellt wurde.

Für die Studie wurden 1.850 der weltweit größten Unternehmen befragt. Das Ergebnis zeigt, dass die meisten in den Unternehmen verfügbaren Datenlöschrichtlinien nicht geeignet sind, um in jeder Phase eine vollständige Datenlöschung der vorhandenen IT-Assets zu gewährleisten. Es fehlt an einer geeigneten Kommunikationsstrategie für die Mitarbeiter, an Fachkompetenz hinsichtlich der geeigneten Methoden und Orte, an denen die Daten gelöscht werden dürfen. Außerdem herrscht oft Unklarheit darüber, wer im Unternehmen für das korrekte Löschen der Daten verantwortlich ist. Es ist also sehr wahrscheinlich, dass zum Beispiel die Daten auf dem Mobiltelefon des ausgeschiedenen freien Mitarbeiters gar nicht oder erst viel zu spät gelöscht werden, weil ihre Existenz schlicht übersehen oder den Verantwortlichen nicht kommuniziert wurde. Anders ausgedrückt: Durch mangelnde Kompetenz bei der Umsetzung interner Datenlöschrichtlinien ist das Risiko für Datenschutzverletzungen in den Unternehmen weltweit unnötig hoch.

Wichtigste Erkenntnisse der Studie

  • Obwohl 96 Prozent der insgesamt 1.850 weltweit befragten Unternehmen über eine Richtlinie zur Datenlöschung verfügen, hatte fast ein Drittel (31 Prozent) dies zum Zeitpunkt der Umfrage nicht im Unternehmen kommuniziert. In mehr als der Hälfte der weltweit befragten Unternehmen (56 Prozent) findet keine effektive und regelmäßige unternehmensweite Kommunikation der Datenlöschrichtlinie statt.
  • Ebenfalls besorgniserregend ist, wo viele internationale Unternehmen die Datenlöschung ihrer IT-Assets durchführen lassen. Etwas mehr als ein Drittel (34 Prozent) der Unternehmen lässt ausrangierte PCs, Laptops, Server und andere Geräte, die in Rechenzentren zum Einsatz kommen, off-site löschen.
  • Auf die Frage, wer für die Verwaltung und Kontrolle von Altgeräten beim Ausscheiden von Mitarbeitern aus dem Unternehmen zuständig ist, gaben 22 Prozent der Unternehmen an, dass dies Aufgabe des Mitarbeiters selbst ist. Weitere 22 Prozent übertragen diese Verantwortung auf ihren direkten Vorgesetzten.