Sobald die DSGVO angewendet wird, muss transparent sein, wie personenbezogene Daten innerhalb des Unternehmens verarbeitet werden: Ihre Verwendung muss auf den Zweck begrenzt sein, für den sie erhoben wurden, und sie dürfen nur für die Zeitspanne gespeichert werden, die benötigt wird, um den Zweck zu erfüllen, für den sie erhoben wurden. Die Daten müssen also durch passende technische und organisatorische Maßnahmen nicht nur vor Verlust, Beschädigung oder Zerstörung geschützt werden, sondern genauso vor unbefugter oder unrechtmäßiger Verarbeitung. Zudem stärkt die DSGVO die Rechte der betroffenen Personen. Sie können ihr Einverständnis zur Verarbeitung ihrer Daten jederzeit widerrufen und verlangen, dass ihre Daten gelöscht werden.
Unterm Strich bedeutet das, dass die Unternehmen wissen müssen, wo personenbezogene Daten gespeichert sind. Wie das gehen soll? Am Anfang steht selbstverständlich das Audit. Aber außer in den zentralen Systemen können Daten auch lokal gespeichert sein. Auf Dauer benötigen die Unternehmen daher Software mit erweiterter DLP-Funktionalität, damit sie auch diese Daten im Griff behalten können.
Bedrohungen für ruhende Daten
Je nach der Art und Weise, wie Daten genutzt werden, kann man sie drei Gruppen zuordnen: Daten in Bewegung (Data in Motion oder in Transit), Daten in Verwendung oder Gebrauch (Data in Use) und ruhende Daten (Data at Rest). Während es sich bei „Data in Use“ um Daten handelt, die gerade gelesen oder bearbeitet werden und sich typischerweise in Arbeitsspeichern oder Caches befinden, bezeichnet „Data in Motion“ diejenigen, die auf dem Weg sind, das Unternehmensnetz zu verlassen. Unter „Data at Rest“ werden Daten in physischen Speichern wie Festplatten, Backup-Medien oder Containern verstanden, die nicht einfach nur das Netz durchqueren, sondern die, wie beispielsweise archivierte Daten, nicht oder nur selten gelesen, bearbeitet oder verändert werden.
Ruhende Daten werden als die sicherste Gruppe betrachtet: Sie sind weder den Gefahren ausgesetzt, die mit der Übermittlung über das Internet verbunden sind, noch Sicherheitsverstößen Dritter. In der Regel schützen sie Firewall und Virenschutz vor Cyberattacken, und Diebstahl wird durch Festplattenverschlüsselung verhindert. Bleiben menschliche Fehler, und bekanntermaßen gehören die im Zeitalter der DSGVO zu den größten Hindernissen für Compliance.
Nutzer, die personenbezogene Daten dauerhaft auf den Festplatten ihrer Arbeitsplatz-Rechner speichern, verstoßen gegen die DSGVO, und zwar gleich gegen mehrere Anforderungen. Als Beispiel sei die zeitliche Begrenzung der Datenspeicherung genannt, oder aber das Recht auf Vergessenwerden. Falls eine betroffene Person die Löschung ihrer Daten verlangt, sind Unternehmen, die sie aufgrund „wilder“ Kopien nicht vollständig aus ihren Systemen löschen können, nicht DSGVO-konform und potenziell von Bußgeldern bedroht.
Netzwerkweit nach Daten suchen
Eine Möglichkeit, dieses Risiko zu entschärfen, sind Suchwerkzeuge, wie sie Endpoint Protector mit dem Modul eDiscovery anbietet. Sie scannen alle Endgeräte im Unternehmen auf dort gespeicherte personenbezogene Daten. Über die lokalen Laufwerke werden auch Daten gefunden, die in Cloud-Speichern wie Dropbox, OneDrive, iCloud, Google Drive liegen. Die Suchergebnisse werden als Report ausgegeben; der Administrator kann die Daten dann verschlüsseln oder löschen.
Fordert eine betroffene Person also die Löschung ihrer Daten, können Unternehmen das gesamte Netzwerk nach diesen Daten durchsuchen und verhindern, dass doch noch irgendwo eine Kopie davon schlummert. Ebenso lässt sich mit Daten verfahren, deren Aufbewahrung zeitlich begrenzt ist. Ausgesprochen nützlich dafür ist die Möglichkeit, Suchläufe zu terminieren. Der Administrator kann einstellen, wann nach den vorab definierten Dateiinhalten gesucht wird oder in welchen zeitlichen Abständen – wöchentlich oder monatlich –die Suche auf Arbeitsplatzrechnern wiederholt wird.
In gerade mal sechs Wochen wird die DSGVO wirksam. Es ist also höchste Zeit, dass die Unternehmen sicherstellen, dass sie die personenbezogenen Daten, die sie erfassen und verarbeiten, angemessen schützen und ihren Verbleib jederzeit nachvollziehen können. Das gilt auch für ruhende Daten.