Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Fit für die DSGVO finden Sie jetzt hier
Cover Cover Jetzt testen
Betriebsrat Checklisten Cookies Corona Drittland Homeoffice Hybrid Work Schrems II Tätigkeitsberichte TTDSG Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 05/22

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat Checklisten Cookies Corona Drittland Homeoffice Hybrid Work Schrems II Tätigkeitsberichte TTDSG Urteil Vorlagen
Analyse
08. Oktober 2020

Enterprise Search: Datensuche als Datenschutz-Problem

DP+
Enterprise Search: Datensuche als Datenschutz-Problem
Bild: iStock.com / DaniloAndjus
0,00 (0)
drucken
Personenbezogene Daten
Die Suche nach personenbezogenen Daten ist ein Dilemma in vielen Unternehmen: Zum einen finden sich nicht alle gesuchten Daten, zum anderen finden Beschäftigte mehr Daten, als sie sollen. Interne Suchmaschinen können helfen, aber auch zum Datenschutz-Problem werden.

In den meisten Unternehmen gibt es eine große Menge an Daten, die irgendjemand gespeichert hat, von deren Existenz und Schutzbedarf aber niemand mehr weiß. Sie bleiben ungenutzt und häufig ungeschützt. Man spricht von Dark Data, den Daten im Dunkeln.

Dark Data macht Unternehmen zu leichten Zielen für Hacker

Im Rahmen der Value-of-Data-Studie 2019 z.B. hatte das Marktforschungsinstitut Vanson Bourne IT-Entscheider und Datenmanager aus 15 Ländern befragt, darunter Deutschland (siehe https://ogy.de/value-of-data).

Die Umfrage zeigt, dass im Schnitt mehr als die Hälfte (52 Prozent) aller Daten nicht klassifiziert oder per Tag gekennzeichnet ist. Das bedeutet, dass auch deutsche Unternehmen womöglich keinen Überblick über große Mengen potenziell geschäftskritischer Daten haben. Sie sind damit ein leichtes Angriffsziel für Cyberkriminelle.

Nicht nur die IT-Sicherheit hat durch Dark Data ein Problem, auch der Datenschutz. So lassen sich die Rechte der betroffenen Personen nicht zuverlässig und vollständig erfüllen, wenn viele Daten nicht richtig zugeordnet oder an unbekannter Stelle gespeichert sind.

Auskunftsrechte, Rechte auf Berichtigung und Löschung, Rechte auf Einschränkung der Verarbeitung und auf Datenübertragbarkeit sind dadurch in Gefahr.

Homeoffice verstärkt die „Verdunklung“

Bereits vor der Corona-Pandemie war die Quote von Dark Data in vielen Unternehmen sehr hoch. Dadurch, dass Tätigkeiten an verteilten Standorten zunehmen, insbesondere an Heimarbeitsplätzen und im mobile Office, ist die Zahl der Speicherorte weiter angewachsen. Entsprechend wird es immer schwieriger, personenbezogene Daten transparent zu halten und zu verarbeiten.

Wie stark sich die zu schützenden Daten in Zeiten der Corona-Pandemie verteilt haben, zeigt der Data Trends Report von Digital Guardian (siehe https://ogy.de/data-trends-report).

Das Volumen der Daten, die Nutzer auf USB-Geräte herunterladen, stieg danach um 123 Prozent, seitdem die Weltgesundheitsorganisation Covid-19 zur Pandemie erklärt hat und großflächig Homeoffice eingeführt wurde. Zudem zeigte sich ein Anstieg von 72 Prozent des Daten-Uploads in die Cloud.

Enterprise Search – die Lösung?

Offensichtlich sind Lösungen nötig, die die Kontrolle über die Daten behalten und für Transparenz sorgen. Hier kommen Tools ins Spiel, die wie eine unternehmensinterne Suchmaschine arbeiten. Sie werden meist Enterprise Search genannt.

Daten suchen, klassifizieren, schützen

Die Data Classification Engine von Varonis (https://ogy.de/data-classification-engine) scannt und klassifiziert automatisch sensible Informationen, die sich in Firmennetzwerken und in Cloud-Lösungen befinden.

Weitere Lösungen, um Daten zu suchen und zu klassifizieren, kommen von Digital Guardian (https://ogy.de/data-discovery), TrustArc (https://trustarc.com/data-discovery/), OneTrust (https://ogy.de/targeted-data-discovery) und Imperva (www.imperva.com/products/data-security/), um einige Beispiele zu nennen.

Es gibt aber auch Anwendungen, die sich ausdrücklich als unternehmensinterne Suchmaschinen verstehen und ebenfalls dabei helfen, mehr Transparenz in die Datenhaltung zu bringen.

Beispiele hierfür kommen von Intrasearch (www.intrasearch.de/), IntraFind (https://ogy.de/intrafind-enterprise-search), Intergator Smart Search (www.intergator.de/), Hulbee Enterprise Search (https://hesbox.com/de/?), d.velop enterprise search (www.d-velop.de/loesungen/enterprise-search/) und Elastic Enterprise Search (www.elastic.co/de/enterprise-search).

Zwei Arten von Lösungen

Dabei ist es sinnvoll, zwei Arten von Tools zu unterscheiden:

  • Lösungen, die die Suche nach Daten übergreifend ermöglichen (Enterprise Search), und
  • Lösungen, die die Daten darüber hinaus klassifizieren, z.B. nach internen Datenschutzrichtlinien.

Beide helfen, die notwendige Transparenz herzustellen. Doch die Klassifizierung unterstützt zusätzlich dabei, einen risikoabhängigen Schutz der Daten umzusetzen.

Zugriff von Dritten auf die Suche

Ein besonderer Fall ist die Situation, dass auch Dritte Daten suchen dürfen, etwa im Rahmen von Projekten oder innerhalb der Lieferkette. Hier gibt es spezielle Suchmaschinen, die die Suchanfragen absichern und steuern.

Ein Beispiel ist Duality SecurePlus Query (https://dualitytech.com/product/query-application/). Damit können mehrere Organisationen Datensuchen durchführen, indem die Lösung verschlüsselte SQL-ähnliche Abfragen für Datenbanken bereitstellt.

Abfrageparameter und -ergebnisse bleiben während des Abfrageprozesses durch eine starke Verschlüsselung geschützt.

Enterprise Search braucht klare Grenzen

Die unternehmensweite oder sogar unternehmensübergreifende Datensuche kann zu Datenschutzverletzungen führen.

Das ist der Fall, wenn die Suche ungewollt und unerlaubt Datenzugriffe ermöglicht, die den vorgesehenen Berechtigungen und den Datenschutzvorgaben – Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Zweckbindung, Datenminimierung, Integrität und Vertraulichkeit  widersprechen.

Damit die unternehmensweite Datensuche dem Datenschutz hilft, also für Transparenz und für Klassifizierung statt für ungewollte Datenlecks sorgt, empfiehlt sich eine Reihe von Schutzmaßnahmen:

  • Die Berechtigungen, die Enterprise Search einem Nutzer gewährt, müssen den generellen Berechtigungen dieses Nutzers für den Zugriff auf personenbezogene Daten entsprechen. Alternativ sind dokumentierte, zeitlich befristete Ausnahmen vorzusehen.
  • Die Datensuche im Homeoffice erfordert eine Trennung von privaten und geschäftlichen Daten, wenn die Systeme, die Beschäftigte durchsuchen können, beide Datenarten vorhalten.
  • Ebenso müssen die Datensuchen über sichere Fernzugriffe gesichert sein – aus dem Homeoffice ins Firmennetzwerk und umgekehrt auf das Homeoffice von der Firma aus.
  • Die Datensuchen müssen Cloud-Dienste, mobile Endgeräte und Datenträger berücksichtigen.
  • Die Suchen im Internet müssen von den Suchen im Intranet und Extranet getrennt sein, auch wenn es Webbrowser gibt, die diese Suche kombinieren wollen. Andernfalls kommt es zu einer möglichen Durchmischung der Suchen und der Suchergebnisse. Das führt womöglich dazu, ungewollt Daten an den Suchmaschinenbetreiber zu übermitteln.

Oliver Schonschek

Oliver Schonschek
+

Weiterlesen mit DP+

Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?

Weiterlesen mit DP+
Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Kein Stress mit Juristen- und Admin-Deutsch
Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.
Sparen Sie sich langes Suchen
Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.
Jetzt testen

Sie sind bereits Abonnentin oder Abonnent? Dann melden Sie sich bitte hier an.

Wie nützlich war dieser Beitrag für Sie?
Jetzt teilen:
drucken
Verfasst von
Oliver Schonschek
Oliver Schonschek
Oliver Schonschek ist freiberuflicher News Analyst, Journalist und Kommentator, der sich auf Sicherheit, Datenschutz und Compliance spezialisiert hat. Er schreibt für führende Medien, ist Herausgeber und Autor mehrerer Lehrbücher.
zu den Kommentaren
Verwandte Beiträge
13. Mai 2022
DP+
Haben Sie einmal das theoretische Grundgerüst, gilt: „Training on the job“ ist die beste Möglichkeit, bei Datenschutz-Audits sattelfest zu werden
Bild: iStock.com / putilich

Das Datenschutz-Audit in der Praxis: Gegenstand, Inhalte, Anforderungen

Praxisbericht
13. Mai 2022
DP+
Alle Optionen offenhalten? Das ist bei der Datenverarbeitung aus Datenschutzsicht bei der Zweckbestimmung keine gute Idee.
Bild: iStock.com / useng

Zweckbestimmung: Wie konkret muss sie ausfallen?

Ratgeber
Vorlagen
12. Mai 2022
Gratis
Wer ist hier Verantwortlicher im Sinner der DSGVO? Der Betriebsrat muss den Datenschutz nur einhalten. Verantwortlicher ist ganz klar der Arbeitgeber!
Bild: sdecoret / iStock / Getty Images Plus

Arbeitgeber oder Betriebsrat: Wer ist der Verantwortliche?

News
10. Mai 2022
Gratis
Risikobasierter Ansatz für Datenübermittlung in Drittländer? Nein, sagt die österreichische Datenschutzbehörde DSB und lehnt dies ganz klar ab!
Bild: Lazy_Bear / iStock / Getty Images Plus

Risikobasierter Ansatz für Datenübermittlung in Drittländer?

News
Drittland
06. Mai 2022
Gratis
Podcast datenschutz-praxis

Datenschutz und Cloud | Podcast Folge 30

Podcast
weitere Beiträge laden
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.