Wie bekannt, können die Bürger in der EU von Unternehmen Auskunft über ihre gespeicherten beziehungsweise verarbeiteten personenbezogenen Daten, deren Änderung sowie, unter bestimmten Bedingungen, deren Löschung verlangen. Damit die Unternehmen beispielsweise dem Auskunftsrecht nach Artikel 15 oder einer Löschanfrage nach Artikel 17 der DSGVO nachkommen und sich DSGVO-konform verhalten können, müssen sie wissen beziehungsweise herausfinden, wo diese Daten liegen.
Das ist ziemlich einfach, solange personenbezogene Daten sich in strukturierten Systemen wie Datenbanken oder ERP-Systemen befinden. Allerdings gibt es keine Garantie dafür, dass derartige Informationen nur dort gespeichert sind. Die Wahrscheinlichkeit, dass Daten auch auf Arbeitsplatzrechnern und in Cloud-Speichern wie Dropbox, OneDrive, iCloud, Google Drive liegen, ist ziemlich hoch, denn Mitarbeiter mit Zugriffsberechtigung können Daten in der Regel auch exportieren. Und was einmal schnell zur Hand sein oder für einen Bericht oder eine Präsentation verwendet werden sollte, liegt dann vergessen im lokalen Speicher. Falls Schatten-IT im Unternehmen eingerissen ist, ist immer davon auszugehen, dass es auch lokale Datenhaltung gibt.
Aber lokale Datenhaltung verhindert nicht nur, dass Unternehmen ihren Auskunfts- oder Löschpflichten nachkommen können. Sie stellt darüber hinaus ein grundsätzliches Risiko für die Daten dar, da sie unter Umgehung von Sicherheitsrichtlinien leicht an Dritte weitergegeben oder zu nicht genehmigten Anwendungen übertragen werden können. Das Ziel muss also sein, unstrukturierte Daten aufzuspüren, damit sämtliche personenbezogenen Daten der DSGVO entsprechend behandelt werden können.
Anforderung 4: Lokalisieren personenbezogener Daten mit eDiscovery (eD)
Die Suche nach unstrukturierten Daten erfolgt in Endpoint-Protector mit dem Modul eDiscovery. Anhand inhaltlicher Prüfkriterien können einmalige oder wiederkehrende Bestandsaufnahmen der lokalen Speicherorte durchgeführt werden. Gesucht wird plattform-übergreifend auf allen Windows-, macOS- und Linux-Rechnern, die von Endpoint Protector überwacht werden. Dabei werden auch Daten in Cloud-Speichern erfasst. Für die Suche nach lokal gespeicherten Daten nutzt eDiscovery die aus dem Modul Content Aware Protection bekannten Richtlinien, die in der Lösung vorinstalliert sind. Daneben kann auch nach unternehmensspezifisch konfigurierten Richtlinien gesucht werden. Zusätzlich ermöglicht das Modul die Verschlüsselung oder Löschung der gefundenen Daten.