Wann, wo und wie Daten löschen
Wie Sie aus Big Data wirklich null Data machen
Etablierung eines Prozesses "Daten löschen"
"Wenn Sie neue Datenverarbeitungssysteme wie Big Data-Anwendungen einführen, sollten Sie die Details zur Löschung der Daten vorab in einem detaillierten Konzept festzulegen", rät Kraska. Andreas Olah, Senior Research Analyst Servers & Big Data bei IDC, ergänzt: "Wie Daten gelöscht werden, wird oft durch die jeweilige Firmen-Policy festgelegt. Eine Regelung könnte zum Beispiel lauten, dass alle Infos, die älter als 3 Monate sind, ins Archiv verschoben und nach 6-9 Monaten automatisch gelöscht werden, z.B. durch die Archivierungssoftware."
Auch Dr. Christian Senk, Information Security Manager bei Teradata, verweist darauf, wie wichtig es sei, dass ein Unternehmen eine umfassende Datenkultur, also ein ganzheitliches Konzept zum Umgang mit Daten, im Unternehmen etabliert. Diese müsse nicht nur das Management, sondern auch den einzelnen Mitarbeiter, Systeme und Externe einbinden. Dabei gehe es nicht nur um die Löschung der Daten, sondern um den grundsätzlichen, richtigen Umgang mit Informationen in der Organisation. "Wichtigste Voraussetzung ist es, zu verstehen, welche Daten, wo und für welchen Zweck vorgehalten werden. Dazu gehört auch, dass Sie wissen - und dokumentieren - welche Daten zu welchem Zeitpunkt gelöscht werden müssen", betont Senk.
Daten löschen - ein kontinuierlicher Prozess
"Um nicht gegen das Gesetz zu verstoßen, sollte in Ihrem Unternehmen ein Prozess "Löschen von Daten und Informationen" existieren oder eingeführt werden", empfiehlt Dr. Alexander Schellong, General Manager Cybersecurity Central & Eastern Europe von CSC. Dieser kann auch als Unterprozess eines ISMS angelegt sein. Der Prozess sollte von Vorgesetzten, Administratoren, Revisoren, Datenschutzbeauftragten und IT-Sicherheitsbeauftragten unterstützt werden. Alle Mitarbeiter sollten den Prozess kennen und geschult werden, fährt Schellong fort. Die jeweiligen Richtlinien und Handlungsanweisungen sollten die Mitarbeiter jederzeit nachlesen können.
Doch noch wichtiger: Es muss einen Prozessverantwortlichen geben, der das Löschen und das Einhalten von Fristen überwacht. Die Aufsichtsbehörden mit ihren Landesdatenschutzbeauftragten kontrollieren, ob die Datenschutzbestimmungen eingehalten werden und zögern meist nicht, bei Verstößen gegen das jeweilige LDSG empfindliche Strafzahlungen im 4-5-stelligen Bereich zu verhängen, warnt Schellong von CSC.