Unternehmen und Gesetzgeber sind beim Thema Datenschutz in der Pflicht

Wer löscht Daten bei Bedarf? - Hitachi Data Systems gibt Hinweise, worauf zu achten ist

(03.02.10) - Am 28. Januar fand zum vierten Mal der Europäische Datenschutztag statt. Auf eine Initiative des Europarats hin sollten an diesem Tag die Bürgerinnen und Bürger in Europa besonders auf ihre persönlichen Schutzrechte hingewiesen werden. Aber auch Unternehmen und Gesetzgeber sind beim Thema Datenschutz in der Pflicht. Das betrifft nicht nur die vor Fremdzugriff geschützte Speicherung von Daten, sondern auch deren endgültige und unwiederbringliche Löschung.

"Die ganze Kette vom Speichern der Daten bis zum Löschen muss stringent geregelt sein. Es ist für Unternehmen häufig nicht einfach, alle Parameter zu berücksichtigen", erläutert Rainer Fahs, IT-Security-Experte bei der NATO und Chairman der EICAR. Die EICAR befasst sich seit 1991 auf Europäischer Ebene mit allgemeinen Fragen der IT-Sicherheit. "Gerade Anbieter, die Daten von Privatpersonen und Unternehmen als Dienstleistung dauerhaft speichern, müssen sicherstellen, dass diese Daten im Bedarfsfall auch wieder gelöscht werden", fährt Fahs fort. "Hilfreich ist für solche Dienstleister zum Beispiel, Dritte einzubinden. Diese können mit einer beurkundeten Abnahme zertifizieren, dass Daten entsprechend den Vorgaben gelöscht wurden."

Für die Anbieter von Speichersystemen stellen diese Anforderungen eine lösbare Aufgabe dar. "Wir haben spezielle Professional Services ins Leben gerufen, die sicherstellen, dass Daten wirklich endgültig und nicht wieder herstellbar gelöscht sind", bestätigt Andreas Wagner, der beim Storage-Anbieter Hitachi Data Systems die Global Services in Deutschland leitet. "Diese Professional Services garantieren die vollständige Löschung, wie sie etwa im Gesundheitswesen oder Finanzsektor eine besondere Rolle spielen." Im Healthcare-Sektor gelte es etwa, Daten 30 Jahre vorzuhalten. Nach Ablauf dieser Zeit ist es jedoch Pflicht von Krankenhäusern und Praxen, diese Daten zu löschen - andernfalls liegt ein Verstoß gegen die Patientenrechte vor. Neben möglichen strafrechtlichen Konsequenzen spielt dabei auch der Aspekt der Reputation eine Rolle. Auf wirtschaftlicher Seite droht zudem der Verlust von Geschäftsgeheimnissen und Patenten.

Hitachi Data Systems empfiehlt, besonders auf folgende Parameter einer sicheren und endgültigen Löschung von Daten zu achten:

1. Daten müssen in allen Speichernetzwerken und -verbünden übergreifend gelöscht werden, um Compliance- und Sicherheitsrichtlinien einzuhalten

2. Die zu löschenden Daten müssen unabhängig vom Hersteller des Speichermediums übergreifend vernichtet werden; insbesondere in heterogenen Netzwerken ist dies eine Herausforderung. Die Virtualisierung dieser Insellösungen über eine vereinheitlichende Management-Layer bietet auch im Bereich Datensicherheit Vorteile

3. Der Betrieb muss weiterlaufen, auch wenn Daten gelöscht werden; daher ist es entscheidend, dass keine anderen Systeme von den Eingriffen betroffen sind

4. Auditierbare Prozesse und Workflows inklusive Berichtswesen erleichtern eine umfängliche Löschung. Daher sollten IT-Verantwortliche solche Prozesse einführen, um alle Vorgänge verlässlich nachvollziehen zu können

5. Sensible, interne Informationen müssen beibehalten werden. Dabei ist es ratsam, Kundendaten und interne Daten getrennt vorrätig zu halten

(Hitachi Data Systems: ma)