Datenbasiert entscheiden

Daten löschen Teil 1 – wann und warum es sich lohnt, Daten zu pflegen

Onboarding

Klasse statt Masse – Dieses Prinzip setzt sich bei Daten immer mehr durch. Wer mit Daten arbeitet, braucht auch klare Richtlinien wie und wann die Daten gepflegt und Altlasten gelöscht werden. Das Problem in der Praxis ist jedoch oft die Umsetzung.

Jahrelang ging es in Unternehmen – Stichwort Big Data – um das Sammeln von Daten. Dann ging es vor allem darum, dass die Daten nicht nur ungenutzt „verstauben“, sondern mit Datenanalyse in wertvolle Erkenntnisse verarbeitet werden. Inzwischen steigt das Bewusstsein, dass raffinierte Künstliche Intelligenz (KI) und Datenanalyse wenig bringen, wenn sie mit unsauberen Daten gefüttert werden.  Viele Unternehmen, die den Wert der Datenqualität erkennen, wissen spätestens ab diesem Punkt dass Datenqualität auch Aufwand für die Pflege bedeutet. Doch dieser wie auch die Verantwortung durch Daten wird oft noch weit unterschätzt.

Diskrepanz zwischen Richtlinien und Umsetzung sind ein Risiko

Schlechte Daten wie veraltete, ungenaue und unvollständige Daten mindern die Qualität der Erkenntnisse aus der Datenanalyse und verursachen Mehrarbeit. Zudem können Daten auch rechtlich aufs Glatteis führen: So schreibt die Datenschutzgrundverordnung (DSGVO) eine Löschpflicht vor. Nach dieser müssen Unternehmen personenbezogene Daten auf Wunsch der Personen zum Beispiel bei Widerruf löschen. Wer diese ignoriert und nicht umsetzt, riskiert Bußgelder in erheblicher Höhe.

Tipp: Vereinfachen Sie Ihre Personalarbeit – finden Sie hier die richtige Personal Software

Während die Situation rechtlich komplexer wird, entstehen jedes Jahr immer mehr und immer vielfältigere Daten im Umfeld von Privatpersonen und Unternehmen. Zudem steigt die Anzahl der möglichen Kanäle und damit der Orte an denen Unternehmen mit Kunden, also anderen Unternehmen oder Konsumenten interagieren und damit fragmentierte Datensilos aufbauen. Die Silos aufzubrechen und die Daten zu zentralisieren bedeutet einen immensen Aufwand. Schon alleine auf Facebook entstehen pro Tag 100 Milliarden private und geschäftliche Nachrichten – nur auf einer Plattform allein. „Diese Daten sind ein essentieller Rohstoff in der digitalen Economy, jedoch ist das Speichern, Pflegen und Umziehen der Daten mit Risiken behaftet – und kommt mit Verbindlichkeiten“, heißt es in einer Studie von Blancco, einem Unternehmen, das sich auf die Pflege von Daten spezialisiert hat. Danach besäßen zwar die meisten der weltweiten Unternehmen Richtlinien für den Umgang und das Löschen von Daten (96 Prozent), die meisten würden aber bei der Umsetzung daran scheitern, diese im Unternehmen zu vermitteln. In Deutschland gab etwa die Hälfte an, zwar Regeln für das Bereinigen zu haben, die andere gab zu, sie müssen aber noch kommuniziert werden.

Daten dürfen nicht in falsche Hände geraten

Laut der Studie fühlten sich viele der über 1.800 weltweit befragten Unternehmen, darunter auch befragte Unternehmen in Deutschland, in einem Gefühl falscher Sicherheit. Daten werden zwar grundsätzlich gelöscht, aber oft zu einfach, indem alte Datenträger zerstört oder Daten durch einfache Löschvorgänge oder Formatierung scheinbar bereinigt würden. Daraus folgen in vielen Fällen Probleme.

Oft sind weder Vorgesetzte noch Mitarbeiter ausreichend über die Richtlinien für Datenbereinigung informiert. Spätestens wenn ein Mitarbeiter das Unternehmen verlässt oder wenn es an das Entsorgen von alten Laptops, Desktop-Rechnern oder Festplatten geht, wird es abenteuerlich. Ohne Schulungen und Spezialwissen reicht schon eine unsichere Methode der Datenbereinigung, dass zum Beispiel einfach formatierte Festplatten wiederhergestellt werden können – und so sensible Daten in falsche Hände geraten.

Eine zusätzliche Ebene der Unsicherheit schafft die heute immer stärker verbreitete hybride Arbeit: Flexibles und mobiles Arbeiten, vernetzte Co-Worker und Freiberufler sorgen für mehr Datenaustausch und so für mehr Risiko. Nur Wenige nehmen sich die Zeit, Freiberufler über Datensicherheitsrichtlinien zu schulen. Und wenn eigene Mitarbeiter mit Laptop, Tablet und Smartphone im Heimnetzwerk Firmendaten austauschen und auf Datenträgern unterwegs sind, kommen mehr Sicherheitsrisiken hinzu. Davon abgesehen hat nicht nur in den letzten Jahren die Digitalisierung einen enormen Schub erfahren, sondern die Anzahl von Hacker-Angriffen und Datendiebstahl, etwa durch Ransomware, hat ebenfalls enorm zugenommen. Gerade der Mittelstand in Deutschland ist ein häufiges Ziel und beklagt inzwischen Milliardenschäden. Und gerade dann, wenn Kundendaten in falsche Hände geraten ist der Image-Schaden für die betroffenen Unternehmen groß. Das wissen auch Hacker, die heute leider gezielt Jagd auf Kundendaten machen, um Unternehmen mit hohen Summen zu erpressen.

Vergessen werden auch gern Altgeräte: Ausgemusterte Geräte mit sensiblen Daten geraten oft unbewusst an Standorte außerhalb des Unternehmens. Das passiert laut der Studie oft unbemerkt, indem zum Beispiel über die Hälfte alter PCs und Laptops extern durch Drittanbieter bereinigt werden. Ähnlich sieht es mit Hardware für Server aus. Wenn die Geräte vor dem Löschen noch lange gelagert werden oder nicht hinreichend dokumentiert wird, welche Daten sicher gelöscht wurden, können Unternehmen schnell in Erklärungsnot geraten.

Klare Zuständigkeit für das Löschen von Daten definieren

Richtlinien für Compliance und Datenschutz, sowie den Umgang und das Löschen von Altlasten aufzustellen reicht nicht. Unternehmen, die mit Daten arbeiten und Datenanalyse betreiben – und das sind heute im Prinzip alle digitalisierten Unternehmen – müssen nicht nur Datenkompetenz im Unternehmen verankern, sondern brauchen auch eine Rolle, die zuständig für die Pflege von Daten ist. Der CDO (Chief Data Officer oder Chief Digital Officer) ist hier eine logische Wahl; einige haben auch einen Datenschutzbeauftragten oder DPO (Data Protection Officer). Er oder sie muss die Verantwortung für die Umsetzung der Richtlinien übernehmen, das Einhalten und die Umsetzung nach vorne treiben, wie auch die dafür erforderlichen Prozesse kommunizieren und einfordern.

Wie das Löschen von Daten am besten funktioniert und umgesetzt wird, lesen Sie im nächsten Teil unserer Reihe. Wichtig ist aber auch ein großes Umdenken: Unternehmen dürfen das Löschen von Daten nicht als simple Pflichtaufgabe im Sinne der Compliance sehen, sondern verstehen, dass Nachlässigkeit bei dieser Aufgabe ein ebenso großes Sicherheitsrisiko darstellt, wie auch die Bedrohung durch Hackerangriffe, die inzwischen in den Köpfen angekommen ist.

Hier ein weiterer Artikel aus unserer Serie: Daten Löschen Teil 2 – Die Checkliste für Pflege und Löschen von Daten