- Datenschutz PRAXIS - https://www.datenschutz-praxis.de - DatenschutzPraxis

Unternehmen sind nachlässig bei der Datenlöschung

Firmen müssen dafür sorgen, dass personenbezogene Daten nicht in die Hände von Dritten gelangen. Einen blinden Fleck in der Datenschutzstrategie von Unternehmen legen jedoch die Ergebnisse einer Studie nahe: Denn ausrangierten Geräten wird wenig Aufmerksamkeit geschenkt.

Die DSGVO schreibt vor, wann die Daten eines Betroffenen zu löschen sind [1]. Das kann in der Praxis ein komplexer Vorgang sein. Denn Informationen mit einem Personenbezug werden heute ja nicht nur im zentralen IT-System eines Unternehmens abgelegt. Sie landen auch in der Cloud und  auf den Notebooks oder Smartphones [2] der Mitarbeiter.

Studie zu Richtlinien zur Datenlöschung

Wie wird das Löschen von Daten in Unternehmen umgesetzt? Und wie steht es hier mit Geräten, die aus dem Betrieb ausscheiden? Das soll die Studie „Data Sanitization: Policy vs. Reality“ zeigen.

Die Umfrage wurde von der Firma Blancco, einem Anbieter von Löschkonzepten, in Zusammenarbeit mit Coleman Parkes Research erstellt. Dafür wurden 1,850 Entscheider von Unternehmen weltweit befragt. Das Ergebnis der Studie zeigt große Lücken bei der Umsetzung von Löschrichtlinien.

Schlecht kommunizierte Löschkonzepte

Rund 98 Prozent der deutschen Unternehmen verfügen über eine Richtlinie zur Datenlöschung. Allerdings haben fast die Hälfte (49 Prozent) diese nach eigenen Angaben nicht unternehmensweit kommuniziert. Und immerhin sechs Prozent vertreten die Ansicht, dass ihre Richtlinien nicht abschließend ausgearbeitet wurde.

Alarmierend ist die Folgende Zahl. Fast 70 Prozent aller Befragten gaben an, Datenlöschrichtlinien nicht regelmäßig und unternehmensweit zu kommunizieren.

Es fehlt weniger an einer Strategie für die Datenlöschung, sondern primär an deren Kommunikation im Unternehmen. Das führt zu Verstößen gegen die DSGVO.

Löschpflichten werden Missachtet, große Datenmengen häufen sich an. Das sind die Probleme, die in der Vergangenheit auch zu Bußgeldern geführt haben. So zum Beispiel gegen Delivery Hero [3] und die Deutsche Wohnen SE [4].

Wie werden Altgeräte entsorgt?

Regelmäßig landen Berichte über kuriose Datenfunden in den Medien. So finden Käufer in gebrauchter Hardware (z.B. in Rückläufern aus Leasingverträgen) oft vergessene Datenschätze.

Ein klarer Verstoß gegen die DSGVO. Wie es dazu kommt, zeigt ein bemerkenswerter Unterschied zwischen Vorgaben in den Unternehmen und der Realität.

So überlassen es 22 Prozent der befragten Konzerne ausscheidenden Mitarbeitern, sich um Daten sowie Altgeräte zu kümmern.

Weitere 22 Prozent übertragen diese Verantwortung auf den unmittelbaren Vorgesetzten. 34 Prozent der Unternehmen lassen ausrangierte Hardware von Dritten löschen.

Dagegen spricht generell nichts, allerdings droht auch hier Gefahr. Denn so können Unternehmen nicht beweisen oder überprüfen, ob ihre Altgeräte auf dem Transportweg kompromittiert wurden.

Um diesen Risiken zu begegnen, sollten diese Aufträge nur solche Firmen erhalten, die entsprechende Nachweise liefern.

Daten auf Altgeräten werden vergessen

Auch ein anderes Ergebnis der Studie ist besorgniserregend. Die Mehrheit (89 Prozent) der Unternehmen in Deutschland löscht die Daten auf Altgeräten nicht unmittelbar nach deren Ausmusterung.

Zwei Drittel gaben an, dafür länger als einen Monat zu benötigen. Bei einem Viertel werden die Daten sogar erst nach drei Monaten gelöscht.

Das Problem ist, dass alte Geräte keinen unternehmerischen Wert mehr besitzen. Daher werden die Auslaufmodelle wohl kaum besonders geschützt. Doch dadurch steigt das Risiko des Diebstahls. Und damit des Verlustes von sensiblen personenbezogenen Daten.

Den vollständigen Bericht „Data Sanitization: Policy vs. Reality“ laden Sie sich kostenlos gegen Registrierung herunter [5].

Stephan Lamprecht