Daten lassen sich leicht wiederherstellen, wenn das Löschen halbherzig angegangen wird. Nur wer die Datenlöschung ernst nimmt, ist gefeit vor Geldstrafen wegen Verstößen gegen die DSGVO.Ein guter Arbeitgeber kümmert sich um seine Mitarbeiterinnen und Mitarbeiter. Einige bekommen sogar Firmen-Handy oder Firmen-Laptop, das brauchen sie ja zum Arbeiten. Alles fein – bis Smartphone und Notebook zurückgegeben werden. Egal, ob die Geräte anschließend weiterverwendet oder verschrottet werden: Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union fordert den Unternehmen ab, die Daten auf diesen Geräten zu löschen. Und zwar richtig zu löschen – sonst drohen empfindliche Geldstrafen. Auch die Daten auf anderen Computern, auf Servern, auf
MFPs, USB-Sticks und CDs müssen so gelöscht werden, dass sie nicht wiederherstellbar sind. Die Gesetzeslage ist eindeutig.
Trotzdem bewerten viele Arbeitgeber das Datenlöschen als nachrangiges Problem. Jeder fünfte verlässt sich darauf, dass seine Mitarbeiterinnen und Mitarbeiter diese Aufgabe aus eigener Initiative übernehmen. Ein weiteres Fünftel, so eine Ontrack-Umfrage, löscht die Daten mit der geräteeigenen Löschfunktion – anschließend lassen sich Daten trotzdem wiederherstellen.
Datenlöschung zwischen Theorie und Praxis
Die
DSGVO legt die Messlatte für Datenschutz hoch – und ignoriert den Aufwand, den sie Unternehmen, Behörden und anderen Organisationen damit beschert. Denn die Zeiten, in denen sämtliche Informationen auf einem einzigen Server gespeichert wurden, sind vorbei. Heute sind relevante Daten auch auf Smartphones, Laptops und Tablets abgelegt – und natürlich in der Cloud. Das erschwert es, die DSGVO-Vorgaben umzusetzen, doch Unternehmen haben keine andere Wahl: Die DSGVO schreibt ihnen vor, Richtlinien zur Datenlöschung aufzustellen und umzusetzen.
Die Botschaft ist angekommen, doch umgesetzt wird sie nur bedingt konsequent. Das zeigt die Studie
„Data Sanitization: Policy vs. Reality“, für die weltweit 1.850 Konzerne befragt wurden. Kernerkenntnis: Es gilt, eine gewaltige Lücke zwischen Anspruch und Wirklichkeit zu schließen – auch dort, wo die DSGVO keine Daumenschrauben anlegt. Zwar haben 96 Prozent der befragten Konzerne eine „Policy“ erstellt, doch in jedem dritten Unternehmen wurde die Belegschaft darüber bislang nicht informiert. Mehr als 20 Prozent der Befragten delegieren ihre Verantwortung für das Datenlöschen an die einzelnen Mitarbeiterinnen und Mitarbeiter und machen es sich damit einfach.
Vier Eckpfeiler für effiziente Datenlöschung
Das geht besser. Es braucht nur vier Aspekte, um verbindliche Richtlinien zur Datenlöschung festzulegen und umzusetzen:
- Erstellen eines DSGVO-kompatiblen Konzepts
- Entscheidung für eine professionelle Löschsoftware
- Klare und offene Kommunikation gegenüber den Mitarbeiterinnen und Mitarbeitern
- Gelegentliche unangekündigte Überprüfungen durch den Datenschutzbeauftragten
Die DSGVO hat dabei keineswegs alle Daten im Visier. Ihr geht es um Datenschutz, also um personenbezogene Daten, der Rest kümmert sie nicht. Trotzdem wirken sich die rigiden Vorgaben der Datenschutz-Grundverordnung auf die generelle Datensicherheit aus: Sie legen die Latte halt hoch – für alle Daten. Und erschweren mit dem Beharren auf effizientem Datenlöschen allen Unberechtigten den Zugriff.
Wie werden Daten gelöscht?
Es gibt zwei Ansätze beim Löschen. Beim „logischen“ Löschen wird lediglich der Dateipfad gelöscht und der Platz zum Überschreiben freigegeben – diese Daten können wiederhergestellt werden. Beim „physischen“ Löschen werden die Daten per Softwareprogramm mehrfach aktiv überschrieben, das macht sie dauerhaft unlesbar.
Magnetische Datenträger, meist Festplatten, werden mit sogenannten Degaussern entmagnetisiert. Das klappt auch bei defekten Geräten. Die dritte Option ist das Schreddern. Die physische Zerstörung ist der sicherste Weg zur Datenlöschung. Sie wird für DVDs oder CD-ROMs eingesetzt, aber auch für Festplatten, falls diese nicht überschreibbar sind.
Meist allerdings wird zum Löschen eine Software eingesetzt. Je häufiger die elektronischen Daten überschrieben werden, desto sicherer ist das Löschen. Dabei sollten auch die Kopien von Daten, die oft automatisch durch Backup- oder Sicherheitsmechanismen erstellt werden, gelöscht werden. Damit beim Datenlöschen nichts durchs Netz rutscht, müssen folgende Punkte geklärt sein:
- Wo überall sind Daten gespeichert? Hat die Software zum Löschen den Zugriff auf alle verwendeten Endgeräte (Betriebssystem beachten!) und Speichermedien?
- Protokolliert die Software alle Löschprozesse? Verhindert sie dabei zuverlässig, dass ungewollt die zu löschenden Daten doch gespeichert werden?
- Generell: Hält die Software, was das Löschkonzept verspricht?
Auch wenn es aufwendig ist: Zu einer vernünftigen Datenlöschung gehört ein vollständiges Sicherheits- und Softwarekonzept. Wer es ernst meint, setzt auf überprüfte und zertifizierte Löschverfahren und wird mit Löschprotokollen für jeden einzelnen Datenträger belohnt.