Haltung bewahren: So erstellen Sie ein maßgeschneidertes Datenhaltungskonzept, das funktioniert
„Die französische Aufsichtsbehörde CNIL begründet ihre Millionenstrafe für [die Versicherungsgruppe] AG2R La Mondiale damit, dass der vor allem im Bereich Altersvorsorge, Renten- und Krankenversicherung tätige Konzern die Daten von Millionen von Personen ‚über einen übermäßig langen Zeitraum aufbewahrt‘ sowie Informationspflichten bei Telefon-Marketingkampagnen nicht nachgekommen sei”, berichtete Nachrichtendienst heise online im letzten Jahr, nachdem bei einem der größten Versicherungsunternehmen Frankreichs ein Audit durchgeführt worden war.
Diese Fahrlässigkeit, die einen Verstoß gegen zwei Artikel der Datenschutz-Grundverordnung der Europäischen Union (DSGVO) darstellte, kostete die Versicherungsgruppe auf Gegenseitigkeit die stolze Summe von 1.750.000€. Das Unternehmen hatte nicht nur die Daten – einschließlich Gesundheitsinformationen und Kontodaten – von über 2 Millionen Kunden weit über die im Anschluss ans Vertragsende zulässige Aufbewahrungsfrist hinaus gespeichert, sondern darüber hinaus auch noch versäumt, im Zuge von durch Auftragsverarbeiter durchgeführten Marketingtelefonaten die angerufenen Personen über AG2R La Mondiales Datenschutzbestimmungen sowie die Aufzeichnung ihrer personenbezogenen Daten und insbesondere ihr Widerspruchsrecht zu informieren.
Der französische Versicherungsanbieter stellte hierbei nur den neuesten Eintrag in einer Liste von Unternehmen dar, die in Schwierigkeiten geraten waren, da sie nicht über angemessene Datenhaltungsrichtlinien und -praktiken verfügten.
Im Jahr 2019 erließ der Berliner Beauftragte für Datenschutz und Informationsfreiheit (BBDI) für den Immobilienkonzern Deutsche Wohnen SE einen Bußgeldbescheid in Höhe von mehreren Millionen Euro. Grund dafür war dessen mangelnde DSGVO-Compliance bezüglich der Datenhaltung und ‑löschung von personenbezogenen Mieterdaten. Dabei handelte es sich bis dahin um das höchste in Deutschland verhängte Bußgeld wegen eines Verstoßes gegen die DSGVO.[1] Im selben Jahr forderte die dänische Datenschutzbehörde vom zuständigen Gericht, dass für den Möbelhersteller IDdesign eine Geldstrafe in Höhe von ca. 200.000€ festgelegt werden sollte, da dieser nach einem Wechsel zu einem neuen ERP-System die personenbezogenen Daten und Kaufgeschichte von 385.000 Kunden nicht gelöscht hatte.
Wie lange also sollten Daten aufbewahrt werden? Welche gesetzlichen Vorgaben gelten für ein Datenhaltungskonzept? Und wer sollte an dem Entwicklungsprozess solcher Richtlinien beteiligt sein? Diese Woche möchten wir gemeinsam mit Ihnen einen genaueren Blick auf Datenhaltungsrichtlinien werfen und erkunden, was Sie im Zusammenhang mit diesen machen und nicht machen sollten – und besser machen können. Wir werden Ihnen Tipps dazu geben, was diese beinhalten sollten und wie Sie dafür sorgen können, dass sie greifen.
Was ist ein Datenhaltungskonzept – und was sollte es beinhalten?
Als Grundpfeiler der allgemeinen Datenverwaltungsstrategie eines Unternehmen handelt es sich bei einem Datenhaltungskonzept oder Aufbewahrungsrichtlinien für Dokumente um ein etabliertes Protokoll für die Speicherung von Informationen aus geschäftlichen oder regulatorischen Compliance-Gründen und für die Löschung dieser Daten, sobald sie nicht länger benötigt werden. Einfach ausgedrückt muss ein Datenhaltungskonzept laut TechTarget zwei entscheidende Fragen beantworten: Wie werden Informationen organisiert, damit diese suchbar und zugänglich sind? Und wie werden diese Informationen gelöscht, wenn ihr Aufbewahrungszeitraum abgelaufen ist?
Und was den Umfang von Datenaufbewahrung angeht: Das Konzept muss beinhalten, welche Daten archiviert oder gespeichert werden müssen, wo die Speicherung erfolgt und für wie lange sowie wer für die Kategorisierung und Verwaltung dieser Daten verantwortlich ist. „Eine effektive Aufbewahrungsrichtlinie für Dokumente gewährleistet, dass Daten für die vorgesehene Verwendung verfügbar sind, für ihren gesamten Lebenszyklus auf kosteneffiziente Weise gespeichert werden und ordnungsgemäß gelöscht werden, sobald sie nicht mehr benötigt werden“, erklärt Dave Armlin von ChaosSearch.
Jenseits von Compliance: Warum Sie ein Datenhaltungskonzept definieren sollten
Das Offensichtlichste vorweg: Den meisten Unternehmen wird durch das Gesetz – oder ein Flickwerk von Gesetzen und Regelungen, abhängig vom Standort des Unternehmens und seiner Kunden sowie der Branche, in der das Unternehmen tätig ist – vorgeschrieben, dass sie über ein Datenhaltungskonzept verfügen müssen.
Die Datenschutz-Grundverordnung der EU (DSGVO) gilt sowohl für jene Unternehmen, deren Geschäftsbetrieb innerhalb der EU stattfindet, als auch für solche, die in der EU ansässigen Kunden ein Produkt oder einen Service zur Verfügung stellen. Sie regelt, dass personenbezogene Daten „in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist“. Auf der anderen Seite der Welt in den USA hat der sogenannte California Consumer Privacy Act (CCPA) bislang nur von Unternehmen verlangt, dass sie offenlegen, welche Art von personenbezogenen Daten sie sammeln, wie sie diese erlangen und verwenden und ob diese an Dritte verkauft oder mit ihnen geteilt werden, wie PwC betont. Im Zuge des neuen California Privacy Rights Act (CPRA), der am 1. Januar 2023 in Kraft treten wird, werden sie jedoch auch offenlegen müssen, für wie lange sie unterschiedliche Arten von personenbezogenen Informationen aufbewahren oder – falls dies nicht möglich ist – gemäß welcher Kriterien der Aufbewahrungszeitraum festgelegt wurde.
Beispiele für branchenspezifische Datenaufbewahrungsrichtlinien aus den USA beinhalten den Family Educational Rights and Privacy Act (FERPA), der besagt, dass Schülerdaten nur für maximal sechs Jahre nachdem der Schüler die Bildungseinrichtung verlassen hat aufbewahrt werden dürfen, oder das Gesundheitsversicherungsübertragbarkeits- und Verantwortungsgesetz (Health Insurance Portability and Accountability Act, HIPAA), welches vorschreibt, dass unter HIPAA fallende Organisationen auf HIPAA-Compliance bezogene Richtlinien und Verfahren für mindestens sechs Jahre vom Erstellungsdatum oder vom letzten Datum des Inkrafttretens an verwahren. Der PCI DSS, kurz für „Payment Card Industry Data Security Standard“, legt fest, dass alle Instanzen, die Kreditkarteninformationen speichern, verarbeiten oder übertragen, nicht länger benötigte Informationen löschen. Der Bank Secrecy Act (BSA) ordnet speziell an, dass US-amerikanische Finanzinstitute finanzielle Dokumente für fünf Jahre aufbewahren müssen.
Jedoch ist Datenhaltung mehr als nur eine Frage der Compliance – oder sollte es zumindest sein. Laut dem ICO, Großbritanniens unabhängigem Gremium zur Aufrechterhaltung von Informationsrechten, „wird eine garantierte Löschung oder Anonymisierung personenbezogener Daten, sobald diese nicht länger benötigt werden, das Risiko verringern, dass diese Daten irrelevant, übermäßig, falsch oder nicht länger aktuell sind. Die hilft Ihnen nicht nur bei der Einhaltung der Datensparsamkeits- und Datengenauigkeitsprinzipien, sondern sorgt auch für eine Minderung des Risikos, dass Sie solche Daten – zum Nachteil aller Beteiligten – fälschlicherweise verwenden.” Daten verhalten sich nicht wie ein guter Wein: Sie werden nicht von Jahr zu Jahr besser. Je älter sie sind, desto wahrscheinlicher werden sie Ihre Netzwerkgeschwindigkeit und -zuverlässigkeit beeinträchtigen und Speicherkosten, Cybersicherheits- und rechtliche Angriffsflächen sowie das Risiko eines Missbrauchs oder Fehlers erhöhen – jedoch nicht den Geschäftswert.
Behalten oder nicht behalten: Die gängigsten Herausforderungen im Bereich Datenhaltung
Eine der größten Hürden in Bezug auf angemessene Datenverwaltung – einschließlich Datenhaltung und -löschung – besteht darin, nach nicht strukturierten Daten zu suchen und den Überblick über diese zu behalten. „Als die wohl größte Datenmenge in einem System können nicht modellierte und nicht definierte Daten überall angetroffen werden und somit zu einer Herausforderung werden, was Monitoring betrifft“, schätzt EY. „Ohne von gängigen Tools wie Prozessidentifikation oder Datenflussabbildungen Gebrauch zu machen, kann man sich nie genau sicher sein, was den Standort unstrukturierter Daten zu einem beliebigen Zeitpunkt betrifft.“ Und was die Situation zusätzlich verkompliziert: Auch wenn strukturierte Daten in gigantischen Datenbanken angehäuft werden, kann sich deren Abrufung als wahre Qual erweisen.
„Über das letzte Jahrzehnt hinweg haben Data Lakes (Datenseen) unter Datenwissenschaftlern, die mit modernen Analysetechniken zu experimentieren suchen, an Beliebtheit zugenommen“, erklärt Cyber Security Hubs Elizabeth Mixson. „Wenn diese jedoch nicht ordnungsgemäß instand gehalten werden, können Datenseen schnell zu Datensümpfen werden, wobei das System mit irrelevanten und nicht nutzbaren Daten geflutet wird.“ Und dies kann die Datenmanagementanstrengungen einer Organisation auf mehr als nur eine Weise ins Chaos stürzen. Ganz egal, wie gut sie verwaltet werden: Data Lakes sind anfällig für die Einspeisung falscher Daten und durch Schadsoftware verursachte Verwirrungen, was es leichter macht, Dateiobjekte zu manipulieren, ohne dabei eine Spur zu hinterlassen.
Auch wenn eine Großzahl von Unternehmen bereits die Kunst der Datenhaltung gemeistert hat, lässt sich leider nicht das Gleiche in Bezug auf Datenlöschung sagen. In einer Umfrage aus dem Jahr 2020, die in Zusammenarbeit zwischen Deloitte und dem Datenlöschungsunternehmen und Anbieter von Diagnostiklösungen für Mobilgeräte Blancco ausgeführt wurde, gaben 80% der Befragten an, dass ihr Unternehmen über ein Datenhaltungskonzept verfügt – aber nur jeder Dritte von ihnen gab Daten an die Geschäftsprozessverantwortlichen für die endgültige Disposition weiter. Daten werden in der Praxis nur selten neu klassifiziert und anonymisiert: Nur 30% von Unternehmen machen Gebrauch von automatisierten Lösungen zur Datenlöschung.
Bewährte Methoden auf dem Gebiet der Datenhaltung: Vom Brainstorming bis hin zur Implementierung
Die mit Datenhaltung verbundenen Bedürfnisse und Ziele können unterschiedliche Formen annehmen – aber hier haben wir eine Liste von Expertentipps für Sie zusammengestellt, von denen jede Datenhaltungsstrategie profitieren kann.
1. Das Datenhaltungskonzept als Teamleistung
Die Entwicklung eines Datenhaltungskonzepts für Ihre Organisation sollte weder im Alleingang erfolgen noch der soundsovielte Eintrag auf der To-do-Liste Ihrer Rechtsabteilung sein. Stellen Sie ein gemischtes Team aus Mitgliedern mit unterschiedlichen Levels an Expertise und Erfahrung zusammen, von IT-Admins bis hin zu Rechnungsführungsmanagern, um sicherzustellen, dass während der Erstellung der Strategie Beteiligte aus allen Bereichen vertreten sind, Aspekte verstanden wurden und Ideen diskutiert werden.
2. Verständnis für sowohl geschäftliche als auch regulatorische Anforderungen entwickeln
Fällt Ihr Business in den Geltungsbereich der DSGVO oder PCI DSS? Beides? Erstellen Sie in enger Zusammenarbeit mit Ihren internen und externen Rechts- und Compliance-Experten eine Übersicht darüber, welche örtlichen, branchenspezifischen, Gewerbe-, Steuer- und Arbeitsrechte für Ihr Unternehmen gelten – und machen Sie an dieser Stelle nicht Halt. Berücksichtigen Sie außerdem mögliche vertragliche oder geschäftliche Bedürfnisse, die sich auf Ihre Datenhaltungsanforderungen auswirken können.
3. Die wahre Natur Ihrer Daten erkennen
Nicht alle Daten sind gleich geschaffen. Oder genauer gesagt: Nicht jedes gesammelte Fitzelchen an Information sollte auch aufbewahrt und nicht alle aufbewahrten Informationen sollten für den gleichen Zeitraum gespeichert werden, rät CIO Insights Lansford Roberts. Sie sollten wissen, welche Art von Daten Ihre Organisation sammelt und aufbewahren sollte, und diese Daten klassifizieren, um eine effektive, konforme und kosteneffiziente Strategie zu entwickeln.
4. Die korrekten Aufbewahrungsfristen festlegen
Im Zuge der DSGVO können Datenaufbewahrungsfristen von der Organisation selbst festgelegt werden, je nachdem, welche Zeiträume diese als geeignet ansieht – solange diese Fristen dokumentiert und begründet werden. Das bedeutet, dass Sie personenbezogene Daten nicht einfach „für alle Fälle“ behalten können. Aber Sie können die relevanten personenbezogenen Daten eines Kunden auch nach Ende der Kundenbeziehung aufbewahren, wenn es z. B. darum geht, einen potenziellen Rechtsanspruch geltend zu machen.
5. Back-up vs. Archiv: Den Unterschied klarmachen
Beim Archivieren handelt es sich um den Prozess, Daten, die nicht länger aktiv genutzt werden, in einen separaten Speicher zur langfristigen Aufbewahrung zu übertragen – einschließlich Daten, die die Organisation möglicherweise für eine zukünftige Verwendung oder aus Gründen der regulatorischen Compliance benötigt. Aber aufgepasst: Archivierte Daten sollten nicht wie Back-up-Daten behandelt werden. Bei letzteren handelt es sich um Daten für die Notfallwiederherstellung und nicht um eine Speicherverwaltungsmethode.
6. Löschen, löschen, löschen (ja, wirklich!)
Am Ende ihres Lebenszyklus sollten Daten, die nicht länger verwendet werden oder ihre Aufbewahrungsfrist überschritten haben, entweder gelöscht oder anonymisiert werden. Im Fall der Löschung sollten alle Kopien der Daten sowohl aus Live- als auch aus Back-up-Systemen, ‑Servern und ‑Datenbanken entfernt werden. Wenn sie anonymisiert werden, werden Daten alle Verweise auf das ursprüngliche Datensubjekt entzogen, so dass dessen Identität nicht festgestellt werden kann.
7. Klar und verständlich
Was ist noch besser als ein Datenhaltungskonzept? Sie haben richtig geraten! TechTarget schlägt vor, dass es eine gute Idee ist, eine zweite Version Ihrer Strategie für Ihre Mitarbeiter und Kunden zu schreiben, sobald Sie mit dem Verfassen Ihres offiziellen Dokuments zum Erfüllen der regulatorischen Vorschriften fertig sind. Dieses zweite Dokument sollte sich einfacher Sprache ohne Fachterminologie bedienen, um es dem breiteren Publikum einfacher zu machen, die Richtlinien zu verstehen – und sie zu befolgen.
Schützen und organisieren Sie Ihre Dateien und Archive online mit Tresorits Ende-zu-Ende-verschlüsselter Speicher- und Back-up-Lösung. Erfahren Sie, wie wir einer für den Friedensnobelpreis nominierten Hilfsorganisation dabei geholfen haben, einen sicheren Speicherort für ihre HIPAA-geschützten, sensiblen Gesundheitsinformationen zu finden.
[1] Auch wenn Deutsche Wohnen SE die Geldstrafe aufgrund eines Verfahrensmangels vorerst erlassen wurde, ändert dies nichts an der Tatsache, dass das Unternehmen gegen die DSGVO-Auflagen verstoßen hat.