Keeping GDPR compliant: Why data erasure continues to matter

Donnerstag, 20. Februar 2020 von Mikey Anderson

DST_image_970x300_hero-GDPR

Die Einführung der GDPR im Jahr 2018 hat die Strategien zur Datenvernichtung und -löschung in den Vordergrund des strategischen Denkens von Unternehmen gerückt. Angesichts möglicher Strafzahlungen bei Nichteinhaltung und der Tatsache, dass die Verantwortung nun beim Führungsteam liegt, steht die Datenspeicherung für einige Unternehmen schon seit mehreren Jahren ganz oben auf der Agenda. Aber wie stellen Sie sicher, dass Ihre Organisation GDPR-konform ist?


Über das Thema Bescheid zu wissen und pragmatische Schritte zu unternehmen, um es anzugehen, sind zwei verschiedene Dinge. Das Problem ist, dass Organisationen auch heute noch nicht immer wissen, wo sich ihre Daten befinden, sodass die Beantwortung von Anfragen nach personenbezogenen Daten ein komplizierter, zeitaufwändiger und teurer Prozess sein kann. Gemäß Artikel 17 der DSGVO müssen Organisationen in der Lage sein, nachzuweisen, dass sie Daten dauerhaft und adäquat löschen können.


GDPR-konform bleiben: Wie man Daten richtig löscht

Sie sollten bedenken, dass das bloße Löschen von Daten oder die Neuformatierung von magnetischen Medien (einschließlich Festplatten und Bändern) nicht ausreicht, um sicherzustellen, dass Ihre Organisation GDPR-konform bleibt und dass sich nicht irgendwo im Unternehmen die falschen personenbezogenen Daten befinden. Wenn eine Organisation Daten von einem beliebigen Medientyp löscht, ist eine Wiederherstellung möglich, selbst wenn die Hardware durch Hochwasser oder Feuer beschädigt wurde.


Glücklicherweise gibt es viele Softwarelösungen, die Geräte vollständig löschen, sodass sie sicher wiederverwendet, weiterverkauft oder recycelt werden können. Einige Lösungen löschen nur bestimmte, gezielte Dateien dauerhaft, ebenso wie dauerhaftere Löschlösungen wie z. B. Degaussing, bei dem Magnetbandspeicher komplett unlesbar (und unbrauchbar) gemacht werden.


Die Risiken von physischen Laufwerken

Eine weitere wichtige Quelle der Unsicherheit sind physische Laufwerke, die in der Regel von Unternehmen, die ihre Speicherkosten eindämmen wollen, recycelt und wiederverwendet werden. Ohne den Einsatz der richtigen Tools und Software zur Datenlöschung können Unternehmen nicht 100-prozentig sicher sein, dass ihre sensiblen Daten auf den verwendeten Medien zerstört werden.


Anwender sind sich der Risiken nicht bewusst

In einer Umfrage unter 2.000 britischen Verbrauchern haben wir festgestellt, dass sich viele Anwender der Gefahren nicht bewusst sind, die entstehen, wenn sie ihre Daten nicht sichern oder ihre Geräte nicht ordnungsgemäß recyceln. Mehr als jeder Zehnte (11 Prozent) gab zu, dass sie sich nicht sicher sind, ob Daten dauerhaft gelöscht werden, wenn sie alte Handys, Tablets oder Computer nicht recyceln oder wegwerfen.


Nur 32 Prozent gaben an, die Daten auf ihren elektronischen Geräten regelmäßig zu sichern. Damit riskieren 68 Prozent den Verlust von persönlichen Informationen und noch viel mehr lassen Daten auf ihrem Gerät zurück, wenn es verloren geht, beschädigt, weiterverkauft oder entsorgt wird.


Forensische Untersuchungen

In der Welt gibt es immer mehr Gadgets, von Smartphones über iPads bis hin zu sprachgesteuerten digitalen Assistenten, Fernsehern und Kühlschränken, die alle Daten aufzeichnen und übertragen können. Auch industrielle Sensoren und CCTV-Kameras tragen dazu bei, Daten zu produzieren, die so groß und komplex sind, dass ein neuer Ansatz zur Speicherung, Sicherung und Löschung auf Anfrage von Einzelpersonen erforderlich ist.


Computerforensiker können Daten nutzen, um einen Kriminalfall zu entscheiden oder zu beenden. Ein Beispiel für eine solche Situation war, als Staatsanwälte feststellten, dass die Fitbit-Daten einer ermordeten Frau nicht mit dem Alibi ihres Mannes übereinstimmten. Anhand der von Fitbit und dem Aktivitätsmonitor aufgezeichneten Orte konnten die Ermittler eine Zeitleiste erstellen, die zeigte, dass die Frau zum Zeitpunkt des Mordes nicht dort war, wo ihr Mann behauptete, zu sein.


Der Fall zeigt, dass ein entschlossener Computerforensiker in der Lage ist, Daten von fast jedem Gerät und in fast jedem Stadium des Verfalls wiederherzustellen. Unsere zahlreichen Untersuchungen über die Jahre hinweg zu weggeworfenen oder recycelten Geräten zeigen, dass oft unbedacht vorgegangen wird, wodurch Einzelpersonen und die Organisationen, für die sie arbeiten, einem hohen Risiko ausgesetzt sind.


Der GDPR-Effekt

Die Einführung der GDPR-Gesetzgebung bedeutet, dass Unternehmen sowohl im privaten als auch im öffentlichen Sektor nachweisen müssen, dass sie GDPR-konform sind. Eine Organisation muss Daten in Übereinstimmung mit den Richtlinien löschen und zeigen, dass sie für die Überwachung, Überprüfung und Bewertung relevanter Verarbeitungsverfahren voll verantwortlich ist.


Alle Organisationen müssen die Bereitschaft zeigen, die Datenverarbeitung und unnötige Aufbewahrung zu minimieren, sowie zeigen, dass sie Schutzmaßnahmen für alle datenbezogenen Aktivitäten einbauen. Für viele Organisationen war die GDPR ein guter Grund, Best-Practice-Management auf ihre Datenspeicherungsstrategien anzuwenden.


Es gibt mehrere geschäftliche Vorteile, die mit der Einführung einer End-to-End-Löschungsrichtlinie verbunden sind; dazu gehören:


Kosten - Datenspeicherung, sowohl physisch als auch virtuell, ist teuer. Durch die Möglichkeit, Daten sicher zu löschen, können Unternehmen Speichermedien recyceln und wiederverwenden, ohne befürchten zu müssen, dass sensible Daten versehentlich in die Hände anderer gelangen.


Sicherheit - Unternehmen missverstehen oft die Unterschiede zwischen Löschen und Löschen. Unternehmen müssen verstehen, dass eine Löschung nicht durchlässig ist, eine Löschung hingegen schon.


Auf dem neuesten Stand bleiben - Der Fokus auf Datenspeicherung und -löschung ist nicht neu (PCI DSS, ISO 270001), aber da die Welt immer datenabhängiger wird, ist es verständlich, dass die Gedanken der fokussierteren Vorschriften auf die breitere Welt übertragen werden. GDPR deckt wesentliche Aspekte wie die Globalisierung oder moderne technologische Entwicklungen wie Facebook, Twitter, Google+ und andere Social-Media-Plattformen ab. Die Gesetzgebung umfasst neue Wege der Kommunikation im digitalen Zeitalter - und die daraus resultierenden Informationen, die aus unserer Interaktion mit diesen generiert werden.


Für viele Organisationen war die GDPR ein guter Grund, Best-Practice-Management auf ihre Datenspeicherungsstrategien anzuwenden. Leider herrscht in einigen Organisationen immer noch Verwirrung bezüglich sicherer Datenlöschungspraktiken, was zum Verlust von sensiblen, persönlichen Daten führt.


Die Beauftragung eines Löschspezialisten wie Ontrack stellt sicher, dass Ihr Unternehmen über strenge Datenvernichtungsprotokolle verfügt. Ohne solche Protokolle drohen Ihrem Unternehmen empfindliche Geldstrafen und Rufschädigung.


 

Ontrack Datenrettungsblog

Das sagen unsere Kunden: