Dark Data
Gastbeitrag
Datenschutz-Grundverordnung: Herausforderung der verborgenen Daten-Altlasten
Wenn im Mai 2018 die Datenschutz-Grundverordnung in Kraft tritt, werden vermutlich viele Unternehmen noch immer Daten in ihren Systemen horten, die längst hätten gelöscht werden müssen. Mit Hilfe von effizienten IT-Lösungen lassen sie sich jedoch problemlos aufspüren.
Unternehmen sollten die Datenschutz-Grundverordnung (DSGVO) ernst nehmen. Wenn eine Person darauf besteht, dass ihre Informationen gelöscht werden, muss dieses Anliegen innerhalb einer kurzen Frist umgesetzt werden um mögliche Bußgeldverfahren zu vermeiden.
Allerdings wissen viele Unternehmen leider nicht, wo genau in ihren weit verzweigten und im Laufe vieler Jahre gewachsenen IT-Systemen welche Daten lagern. Wie der Databerg Report von Veritas zeigt, tappt auch in Deutschland die Mehrzahl der Unternehmen völlig im Dunkeln. Marktforscher haben im Rahmen dieser Studie ein Modell entwickelt, das einem Eisberg ähnelt: An der Oberfläche befinden sich all diejenigen Daten, die ganz klar als wichtig erkennbar sind und seit jeher entsprechend behandelt werden. Diese Informationen können von den meisten Unternehmen problemlos auf ihre Verträglichkeit mit der Datenschutz-Grundverordnung geprüft werden. Unter der Oberfläche befinden sich jedoch die zu klassifizierenden und meist unbekannten Daten-Altlasten.
Es gilt: Versteckte Daten aufspüren
Im Databerg-Modell tummeln sich also unter der Wasseroberfläche noch viele weitere redundante, obsolete und trivialeInformationen– beispielsweise von alten, längst irrelevanten E-Mails über den Speiseplan der Kantine bis zu den privat abgelegten Urlaubsbildern einzelner Mitarbeiter. Meist fehlen die Ressourcen, um sich ausreichend um diese Daten zu kümmern. Dabei könnten sich in ihnen versteckt auch solche Informationen befinden, die nach der Datenschutz-Grundverordnung eigentlich zwingend gelöscht werden müssten.
Noch eine Schicht tiefer lagern die so genannten Dark Data. Dabei handelt es sich um Informationen, die vollkommen ohne Klassifizierung auf den Systemen des Unternehmens abgelegt sind, ohne dass ihre Existenz überhaupt bekannt ist. Gerade deshalb sollten Unternehmen das Thema Dark Data anpacken, weil möglicherweise innerhalb dieser Dark Data wichtige Informationen schlummern, die für den Betrieb und letztlich den Erfolg des Unternehmens relevant sind. Eine weitere Möglichkeit ist, dass sie tatsächlich in die Kategorie „redundant, obsolet oder unbedeutend“ gehören. Akuter Handlungsbedarf besteht vor allem, wenn Informationen längst auf Kundenanfrage hin gelöscht hätten werden müssen.
Umso wichtiger sind spätestens jetzt IT-Lösungen, die Unternehmen helfen diese benannten Daten aufzuspüren. Aktuelle Software in diesem Bereich kann den Speicherort und die Typologie unstrukturierter Daten visuell aufbereiten und somit in Echtzeit ein aktuelles Lagebild liefern. So lassen sich Daten granular nach Kriterien wie Alter, Größe oder Typ und vielen weiteren Faktoren filtern.
Eine solche Visualisierung ist ein erster wichtiger Schritt, eine bessere Konformität zur Datenschutz-Grundverordnung zu erreichen. Als nächstes sollte jedoch eine Klassifizierung erfolgen. Löschen oder behalten – diese Frage muss Datei für Datei nach klaren Kriterien beantwortet werden. Es versteht sich von selbst, dass dies nur automatisiert möglich ist. Leistungsfähige Archivierungslösungen ermöglichen dabei nicht nur Policies zu definieren, sondern kümmern sich zusätzlich darum, dass nach einer Löschanfrage auch der Datensatz aus dem Backup restlos entfernt wird. Zugleich können alte Backup-Versionen über Storage Tiering auf weniger schnell verfügbaren, aber erheblich preiswerteren Speicherplatz verlagert werden.
Information Governance: Rechtzeitig umsetzen
Trotz dieser beeindruckenden technischen Möglichkeiten sollten sich Unternehmen nicht ausschließlich auf Software verlassen. Nur wenn zugleich auch die Mitarbeiter auf die Anforderungen der Datenschutz-Grundverordnung vorbereitet werden und die betroffenen Prozesse identifiziert und optimiert werden, kann Rechtskonformität garantiert werden.
Hier kommt das Thema Information Governance ins Spiel. Schließlich bietet die Datenschutz-Grundverordnung zugleich die Möglichkeit, längst geplante Projekte in diesem Bereich endlich umzusetzen. Immerhin gibt es auch jenseits dieses akuten Anlasses gute Gründe, den Umgang mit den Daten kritisch zu hinterfragen und auf ein neues Fundament zu stellen.
Unter Umständen ist es dabei nötig, sich beratende Hilfe von außen zu holen, um bei einem komplexen Projekt dieser Art kein Detail aus den Augen zu verlieren. Wichtig ist,einen Anbieter zu finden, der das Thema ganzheitlich betrachtet und sämtliche Aspekte berücksichtigt.
Geschäftsbereichsübergreifende Zusammenarbeit
Im Zuge eines solchen Prozesses müssen sich die einzelnen Geschäftsbereiche des Unternehmens eng miteinander austauschen. Das bietet zugleich die Chance, gemeinsam einen neuen Umgang mit Daten zu entwickeln und auch organisatorisch ein Change Management einzuleiten. Grundsätzlich sollte die Frage, wie Daten erfasst, verarbeitet und schließlich gespeichert werden, nicht nur aus IT-Sicht neu beantwortet werden.
Auch aus dem globalen Blickfeld ist es absolut unabdingbar, zunächst einen genauen Überblick darüber zu bekommen, welche Daten innerhalb des Unternehmens überhaupt auf den verschiedenen Systemen lagern. Davon ausgehend lassen sich viele Bereiche, von Mitarbeiterrichtlinien über Compliance-Fragen bis hin zum Risk-Management, umfassend neu gestalten. In der Folge erfüllt das Unternehmen nicht nur die Anforderungen der Datenschutz-Grundverordnung, sondern kann sich auch organisatorisch und strategisch neu ausrichten.
Autor : Stefan Henke
Stefan Henke ist Regional Vice President Western Europe bei Veritas. Er gilt als Experte für das Thema Informationsmanagement – von Business Continuity über Backup und Recovery sowie Software-Defined Storage bis hin zu Information Governance.
Seine besondere Expertise liegt im Großkundenbereich, insbesondere im Industrie- und Finanzsektor und in der Automobilbranche.