Suchen

Richtlinien gemäß DSGVO vorhanden, Unternehmen trotzdem planlos Bei der Datenlöschung klafft eine Lücke zwischen Policy und Realität

| Autor: Sarah Gandorfer

In der Datenschutz-Grundverordnung (DSGVO) ist vorgeschrieben, wann Daten gelöscht werden müssen. Entsprechend richten Unternehmen ihre Policy daran aus. Doch das geschieht noch nicht hundertprozentig, und auch wenn es Richtlinien gibt, hapert es an der Umsetzung.

Firmen zum Thema

Gemäß DSGVO müssen alle Firmen über Datenlöschungsrichtlinien verfügen.
Gemäß DSGVO müssen alle Firmen über Datenlöschungsrichtlinien verfügen.
(Bild: Daniel Krasoń - stock.adobe.com)

Die Analysten von Coleman Parkes haben gemeinsam mit Blancco die Datenlöschrichtlinie von 1.850 der weltweit größten Unternehmen genauer unter die Lupe genommen. Dabei haben sie festgestellt, dass die offiziellen Regelungen meist die Realität nicht widerspiegeln. Bereits andere Erhebungen, wie eine im Herbst 2019 veröffentlichte Umfrage von Talend, decken Probleme mit der Umsetzung der seit rund anderthalb Jahren geltenden DSGVO auf.

Das vorherrschende Hindernis: Daten werden nicht mehr nur direkt in den Firmen auf Hardware gespeichert, sondern auch in der Cloud, auf diversen tragbaren Endgeräten wie Laptops, Tablets, Smartphones oder externen Speichermedien. Ein sehr unübersichtliches Szenario also, vor allem dann, wenn die Daten die letzte Phase ihres Lebenszyklus erreicht haben und gelöscht werden sollen.

Wer ist verantwortlich?

96 Prozent der von Coleman Parkes für die Studie „Data Sanitization: Policy vs. Reality“ befragten Unternehmen haben eine Policy zur Datenlöschung. Dennoch haben die Firmen trotz ihrer Vorgaben Probleme bei der Definition, Umsetzung und Kommunikation ihrer Richtlinien und gefährden so die Sicherheit ihrer Daten. Denn die Richtlinien sind selten dafür geeignet, um in jeder Phase eine vollständige Datenlöschung der vorhandenen IT-Assets zu gewährleisten. Es fehlt an einer geeigneten Kommunikationsstrategie für die Mitarbeiter, an Fachkompetenz hinsichtlich der geeigneten Methoden und Orte, an denen die Daten gelöscht werden dürfen. Außerdem herrscht oft Unklarheit darüber, wer für das korrekte Löschen der Daten verantwortlich ist. Es ist also sehr wahrscheinlich, dass zum Beispiel die Daten auf dem Mobiltelefon des ausgeschiedenen freien Mitarbeiters gar nicht oder erst viel zu spät gelöscht werden, weil ihre Existenz schlicht übersehen oder den Verantwortlichen nicht kommuniziert wurde.

Bildergalerie

Scheidet ein Mitarbeiter aus, ist es in 22 Prozent der befragten Konzerne diesem selbst überlassen, sich um Daten sowie mögliche Altgeräte zu kümmern. Weitere 22 Prozent übertragen diese Verantwortung auf den direkten Vorgesetzten.

Außerdem zeigt die Studie, dass 31 Prozent der Konzerne ihre Datenlösch-Policy nicht im gesamten Unternehmen kommuniziert haben. In mehr als der Hälfte der weltweit befragten Unternehmen (56 Prozent) findet keine effektive und regelmäßige unternehmensweite Kommunikation der Datenlöschrichtlinie statt.

34 Prozent der Unternehmen lassen ausrangierte PCs, Laptops, Server und andere Geräte, die in Rechenzentren zum Einsatz kommen, offsite löschen. Meist ohne Kontrolle über einen korrekten Umgang mit Altdaten.

(ID:46374608)