DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Wie der sorglose Umgang mit Daten auf Daten­trägern ver­hindert werden kann!

Löschen und Ver­nichten von Daten

Nach der DSGVO müssen per­so­nen­be­zogene Daten nach bestimmten Vor­gaben ver­nichtet bzw. gelöscht werden. Doch nicht nur bei per­so­nen­be­zo­genen Daten sollten Sie dies in Erwägung ziehen.

Welche Daten sind zu löschen bzw. zu ver­nichten?

Jedes Unter­nehmen arbeitet mit sen­siblen Daten. Der ver­trau­liche Umgang damit ist in vielen Unter­nehmen klar geregelt und wird ent­spre­chend umge­setzt. Doch wenn die sen­siblen Daten nicht mehr benötigt werden, dann endet nicht die Pflicht diese Daten geset­zes­konform zu behandeln.

  1. Sofern es sich bei den sen­siblen Daten um per­so­nen­be­zogene Daten handelt, ist hier die DSGVO maß­geblich. Sie regelt, dass per­so­nen­be­zogene Daten, die nicht mehr benötigt werden, sicher zu löschen bzw. zu ver­nichten sind.
  2. Sofern es sich bei den sen­siblen Daten nicht um per­so­nen­be­zogene Daten handelt, obliegt die Hand­habung solcher Daten dem Unter­nehmen. Das heißt aber nicht, dass sich ein Unter­nehmen deshalb darum nicht mehr kümmern muss. Das Vor­gehen sollte hier klar vom Schutz­bedarf der Daten abhängen. Der Aus­druck einer Website ist sicher anders zu behandeln als die Geschäfts­stra­tegie für die nächsten Jahre.

Wenn Daten unzu­rei­chend gelöscht oder ver­nichtet werden, können schüt­zens­werte Infor­ma­tionen wei­ter­ge­geben werden und erheb­liche Schäden ent­stehen. Ein Verstoß gegen die DSGVO ist oben­drein buß­geld­be­währt.

Worauf sollte der Fokus liegen?

Auf den ersten Blick könnte man meinen, dass es einfach ist fest­zu­legen, worauf der Fokus liegt, d.h. wo Daten abgelegt werden können. Die ver­trau­liche Prä­sen­tation auf der Fest­platte des Note­books und als gedruckte Variante auf Papier. Doch weit gefehlt. Die DIN 66399 gibt hier einen umfas­senden Über­blick, wo Daten abgelegt sein können:

  1. Daten in Ori­gi­nal­größe (z.B. Papier)
  2. Optische Daten­träger (DVD, Blu-ray)
  3. Magne­tische Daten­träger (ID-Karten mit Magnet­streifen)
  4. Elek­tro­nische Daten­träger (USB-Sticks, Flash-Speicher)
  5. Infor­ma­tionen in ver­klei­nerter Form (Film, Folie)
  6. Fest­platten mit magne­ti­schem Daten­träger

Für die Ver­nichtung und Löschung bedeutet dies, dass die ver­schie­denen Klassen auch inner­be­trieblich behandelt werden muss, sofern es relevant ist. Das Aus­lassen einer Klasse, weil es für das Unter­nehmen schlichtweg zu auf­wändig ist, ist nach der DSGVO schlichtweg nicht geset­zes­konform bzw. ein unkal­ku­lier­bares Risiko.

Regeln zur sicheren Löschung bzw. Ver­nichtung

Um nicht gegen die DSGVO zu ver­stoßen und um sicher­zu­stellen, dass nicht ver­se­hentlich schüt­zens­werte Daten das eigene Unter­nehmen ver­lassen, sollte jedes Unter­nehmen eine Vor­ge­hens­weise zum sicheren Löschen und Ver­nichten umsetzen. Dabei sollte fol­gendes Vor­gehen gewählt werden:

  1. Regelung der Vor­ge­hens­weise für die Löschung und Ver­nichtung von Daten
    Eine zen­trale Regel, welche Daten und welche Betriebs­mittel unter welchen Vor­aus­set­zungen gelöscht und ent­sorgt werden muss erstellt und umge­setzt sein.
  2. Ord­nungs­gemäße Ent­sorgung von schüt­zens­werten Betriebs­mitteln und Daten
    Damit Daten sicher ent­sorgt werden, müssen abge­si­cherte und geeignete Ent­sor­gungs­ein­rich­tungen auf dem Gelände des Unter­nehmens ver­fügbar sein.
  3. Löschen de Daten­träger vor und nach Aus­tausch
    Wenn benutzte Daten­träger wei­ter­ge­geben oder zu einem anderen Zweck ein­ge­setzt werden sollen, sind die darauf befind­lichen Daten sicher zu löschen.
  4. Auswahl geeig­neter Ver­fahren zur Löschung oder Ver­nichtung von Daten­trägern
    Für ver­schiedene Daten­trä­ger­arten müssen immer geeignete Geräte und Werk­zeuge vor­handen sein, mit denen der Mit­ar­beiter die gespei­cherten Daten sicher löschen und ver­nichten kann (z.B. Akten­ver­nichter nach DIN 66399–2 P4 oder Daten­lö­schung Tools).
  5. Gere­gelte Außer­be­trieb­nahme von IT-Sys­­­temen und Daten­trägern
    Vor der Aus­son­derung von IT-Sys­­­temen oder Daten­träger müssen alle dort gespei­cherten Daten sicher gelöscht sein.
  6. Ein­weisung aller Mit­ar­beiter in die Methoden zur Löschung oder Ver­nichtung von Daten
    Alle Mit­ar­beiter sind in die Methoden und Ver­fah­rens­weisen zum Löschen und Ver­nichten von Daten ein­ge­wiesen.

Fazit

Nicht erst seit Ein­führung der DSGVO ist es wichtig, Daten sicher zu löschen bzw. zu ver­nichten. Auch aus betrieb­lichen Gründen sollte dies geregelt sein. Dabei ist es wichtig, ein gere­geltes Ver­fahren zu planen und umzu­setzen und dabei alle rele­vanten Daten­trä­ger­arten ein­zu­be­ziehen. Ein sys­te­ma­ti­sches Vor­gehen, die Ein­be­ziehung aller Mit­ar­beiter und die Bereit­stellung von Tools und Werk­zeugen sind hierfür Garanten, dass ein Unter­nehmen diese Hürde sicher meistert.

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Dr. Thomas Lohre, DATEV eG

Seit 2003 bei der DATEV eG tätig. Zuerst als IT-Revisor, beschäftigt er sich nunmehr schwer­punkt­mäßig mit dem Infor­ma­ti­ons­si­cher­heits- und Not­fall­ma­nagement der DATEV eG. Daneben ist er noch als Referent für die ibs Schreiber GmbH zu unter­schied­lichen Themen tätig.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.