Daten löschen: Teil 2 – Die Checkliste für Pflege und Löschen von Daten
Ein oft unterschätzter Aufwand beim Arbeiten mit Daten bedeutet das Speichern, Pflegen und Umziehen der Daten. Es ist nicht nur mit Aufwand verbunden, es entstehen auch gesetzliche Pflichten, sowie Risiken für die Sicherheit. Folglich muss jeder, der mit Daten arbeitet, auch in die Datenqualität und Compliance nach gesetzlichen Vorschriften investieren. Doch wie und wo fängt man damit an – und wie geht man geordnet vor? Unsere Checklist hilft Schritt für Schritt.
(Lesedauer: 4 Minuten)
1. Rahmenbedingungen und Strategie verankern
Jedes Unternehmen, das mit Daten arbeitet, braucht Richtlinien für das Arbeiten mit Daten.
· Richtlinien definieren
Ein Dokument definiert Prinzipien für Verfügbarkeit, Datenqualität, Zugriff, Sicherheit, Datenschutz und Nutzung.
· Zuständigkeit definieren
Ebenfalls definieren Sie in diesem Dokument wer im Unternehmen für die Umsetzung der Richtlinien und die Überwachung der Einhaltung zuständig ist – beziehungsweise ihre Einhaltung in den verschiedenen Abteilungen kommuniziert. Aktuell ist dies leider ein häufiges Problem in vielen Unternehmen, wie in TEIL 1 schon beschrieben wurde.
· Zeitpunkte definieren
Die Richtlinien definieren beispielsweise auch Zeitpunkte für die Prüfung, Bereinigung und das Löschen von personenbezogenen Daten nach den Vorgaben der DSGVO. Hier geht es aber nicht rein um das sichere Löschen, sondern auch um das vorgegebene Aufbewahren von Daten.
· Unternehmensweit kommunizieren
Das Thema Datenqualität ist ein unternehmensweites Thema, bei dem Experten aus allen Abteilungen gefragt sind. Es gilt diese Experten festzulegen und mit in die Initiative und Strategie einzubinden.
2. Definieren und Bereinigen von relevanten Daten
Mit der wachsenden Flut an Daten steigt das Risiko für Fehler und minderwertige Analysen. Datenbereinigung (engl.: Data Cleansing) hilft Datenmanagement und –qualität wieder zu optimieren. Es gibt Data Cleansing-Tools, die automatisiert diese Arbeit übernehmen. Im Wesentlichen laufen dabei folgende Schritte ab:
· Daten definieren
Unternehmen können heute auf immer mehr Daten zugreifen, doch nicht alle sind auch nützlich oder wichtig. In diesem Schritt definieren Sie, welche Daten wichtig für die Bereinigung sind.
· Bereinigen
In diesem Schritt werden die Daten sortiert und organisiert. Doppelt Daten werden entfernt, leere Werte ergänzt.
· Standards festlegen
Mit Standards können Bereinigungsprozesse leichter wiederholt werden – zudem ist Konsistenz gewährleistet. Hierfür ist es wichtig herauszufinden, welche Daten am häufigsten genutzt und wann sie gebraucht werden.
· Prüfen, anpassen und wiederholen
Planen Sie Zeitfenster für die Prüfung der Datenbereinigung ein. Was hat gut funktioniert, was muss verbessert werden? Beziehen Sie die in Punkt 1 genannten Vertreter aus den Abteilungen mit ein.
3. Löschung personenbezogener Daten
Den Umgang und die Löschung von sensiblen Unternehmensdaten wie etwa personenbezogene Daten regelt die Datenschutzgrundverordnung. Ein Konzept und eine besondere Löschstrategie sind hier empfehlenswert.
· Daten lokalisieren und löschen
Wo fallen überhaupt personenbezogene Daten an – und wo werden diese gespeichert? Nach der Lokalisierung der Daten ist es möglich, diese Daten dann entsprechend der Löschpflicht zu entfernen und DSGVO konform zu agieren.
· Aufbewahrungspflichten beachten
Dabei dürfen Sie gesetzliche Aufbewahrungspflichten nicht außer Acht lassen. So können verschiedene rechtliche und vertragliche Verpflichtungen dazu führen, dass personenbezogene Daten für eine bestimmte Zeit aufzubewahren sind. Erst nach dieser Zeitspanne greift die Verpflichtung, die Daten zu löschen.
4. Datenbereinigung auf Altgeräten
Wenn sensible Daten wie Kundenkontaktdaten auf Geräten bleiben oder nicht richtig gelöscht werden, stellen diese ein Sicherheitsrisiko dar.
Folgende Tipps helfen:
- Stellen Sie sicher, dass Ihre Richtlinie zur Datenlöschung alle IT-Assets umfasst, einschließlich Smartphones, Tablets, PCs, Server und virtueller Infrastruktur.
- Stellen Sie sicher, dass keine Geräte mit sensiblen Daten Ihr Unternehmen oder Ihre Rechenzentrumsumgebung verlassen (auch bei Recycling oder Spende). Löschen Sie die Geräte vor Ort und stellen Sie sicher, dass Sie ein fälschungssicheres Zertifikat über die Löschung erhalten.
- Das Löschen vor Ort gilt auch für Geräte, die innerhalb des Unternehmens weiterverwendet werden, etwa wenn ein Mitarbeiter das Unternehmen verlässt.
- Wenn Sie einen Anbieter mit der Löschung und Entsorgung von Altgeräten beauftragen, sollten Sie diesen bitten, eine vollständige Nachweiskette zu erstellen, von der Abholung bis zum Transport. Stellen Sie sicher, dass Sie für jedes Gerät ein Vernichtungszertifikat erhalten.
- Geräte sollten am Ende ihrer Lebensdauer sofort bereinigt werden, vorzugsweise innerhalb von 24 Stunden, um das Risiko zu minimieren.
Fazit: Daten löschen ist ein kontinuierlicher Lernprozess für alle
Das sichere und rechtskonforme Löschen von Daten betrifft nicht mehr nur IT- oder den Daten-Verantwortlichen, sondern viele Abteilungen und Mitarbeiter. Daher sind neben den Maßnahmen auf dieser Liste regelmäßige Schulungen und interne Feedbacks relevant, ob die Richtlinien in allen Abteilungen, allen Mitarbeitern und auch bei Partnern sowie Co-Workern und Freelancern umgesetzt werden. Wie die Digitalisierung selbst ist der Weg zu sauberen und gepflegten Daten ein kontinuierlicher Prozess, der nicht von heute auf morgen umgesetzt werden kann. Wichtig ist es jedoch, heute damit anzufangen.
Thorsten Weckert, überarbeitet von Janina Zaminer