Steuerbescheide, Krankenakten, Strafbefehle – ARD-Journalisten staunten nicht schlecht, als sie zu Recherchezwecken gebrauchte Kopierer kauften:
Für die betroffenen Arztpraxen, Anwalts- und Steuerkanzleien, aus denen die Geräte stammten, kann ein solches Datenleck existenzbedrohend sein: Für die Verletzung von Privatgeheimnissen sieht das Strafgesetzbuch in Paragraf 203 (für diese und weitere Berufsgruppen) neben Geldbußen auch Freiheitsstrafen von bis zu einem Jahr vor.
Seit dem Inkrafttreten der EU-Datenschutzgrundverordnung (DSGVO) im Mai 2018 gilt in allen Mitgliedsstaaten: Wer personenbezogene Daten nicht ausreichend vor dem Zugriff durch Dritte schützt, muss mit Geldstrafen von bis zu zwanzig Millionen Euro oder vier Prozent des Bruttojahresumsatzes rechnen. Dabei spielt es auch keine Rolle, dass die Geräte zur Wiedervermarktung in vielen Fällen an einen Dienstleister übergeben werden. Für die ordnungsgemäße Löschung ist nämlich immer das Unternehmen verantwortlich, bei dem die Daten entstanden sind.
Datenschutz ist allerdings nicht nur für die in Paragraf 203 genannten Berufsgruppen relevant. Bei der Verletzung von Datengeheimnissen können sowohl Unternehmen die den Regelungen der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) unterliegen zur Kasse gebeten werden, als auch diejenigen mit sensiblen Unternehmensbereichen wie Forschung und Entwicklung. Wirtschaftsprüfer schauen immer genauer hin.
So löschen Sie am sinnvollsten
Bei der Löschung Ihrer Daten sollten Sie stets auch wirtschaftliche Aspekte im Auge behalten. Es hat wenig Sinn, alle Geräte derselben teuren und aufwändigen Maximalbehandlung zu unterziehen, unabhängig wie sensibel die zu löschenden Daten sind und auf welchen Speichermedien sie sich befinden. Vor der Entscheidung für ein bestimmtes Löschverfahren steht daher eine Risikobewertung. Die DIN-Norm 66399 definiert für diesen Zweck drei Schutzklassen:
Schutzklasse 1 - normaler Schutzbedarf für allgemeine und interne Daten: In diese Klasse fallen Daten wie Kataloge und Prospekte, interne Dokumente wie Formulare oder Arbeitsanweisungen, aber auch Rechnungen und Lieferscheine.
Schutzklasse 2 - hoher Schutzbedarf für vertrauliche Daten: Besonders sensible und personenbezogene Informationen wie Steuerunterlagen, Krankenakten oder Arbeitsverträge sind in diese Klasse einzuordnen.
Schutzklasse 3 - sehr hoher Schutzbedarf für besonders geheime Informationen: In diesen Hochsicherheitsbereich fallen Geheimdienstunterlagen oder militärische Dokumente.
diesen Schutzklassen sind wiederum mehrere Sicherheitsstufen zugeordnet. Sie definieren den Aufwand, der für die Wiederherstellung der Daten betrieben werden müsste und reichen von Stufe 1 (Reproduktion mit einfachem Aufwand) bis Stufe 7 (Reproduktion ausgeschlossen).
Bei der Löschung spielt nicht nur eine Rolle, wie sensibel Ihre Daten sind, sondern auch, auf welchem Medium sie sich befinden: Magnetische Speichermedien erfordern beispielsweise andere Löschverfahren als Halbleiterspeicher (Flash oder SSD).
Was der Dienstleister können muss
Die rechtskonforme Löschung von Datenträgern ist komplex und erfordert Fachwissen, das in vielen Betrieben schlicht nicht existent ist. Oft scheitern Löschvorhaben aber auch an den fehlenden Ressourcen. Vor allem wenn Hunderte oder gar Tausende von Altgeräten für die Wiedervermarktung vorbereitet werden sollen, ist die interne IT überfordert - ganz abgesehen davon, dass die Überwachung und das Management von Löschvorgängen kaum zu deren Kernaufgaben zählen. Es ist daher in den meisten Fällen empfehlenswert, einen erfahrenen IT-Dienstleister mit der Löschung zu beauftragen. Dabei sollten Sie auf folgende Kriterien achten:
Individuelles Datenlöschkonzept: Der Dienstleister sollte Ihnen unter Berücksichtigung der zu löschenden Geräte und Medien sowie der Schutzklassen und Sicherheitsstufen Ihrer Daten ein punktgenaues und wirtschaftliches Löschkonzept bieten können.
Durchgängige Sicherheit: Bei hohem oder sehr hohem Schutzbedarf dürfen die Daten auf keinen Fall in fremde Hände gelangen. Daher ist schon bei der Abholung der Datenträger höchste Sorgfalt angebracht. Der Transport sollte in verplombten Behältern erfolgen, um das Diebstahlrisiko zu minimieren. Eine GPS-gestützte Überwachung der Transportwege bietet zusätzliche Sicherheit. Die Datenlöschung sollte automatisiert und servergestützt in abgeriegelten, zugangsgeschützten Bereichen erfolgen.
Revisionssichere und Compliance-konforme Dokumentation: Als Kunde sollten Sie vom Dienstleister für jedes Gerät, beziehungsweise Medium, ein detailliertes Löschzertifikat erhalten, aus dem hervorgeht, wann die Datenlöschung durchgeführt wurde und welches Löschverfahren zum Einsatz kam.
Hohe Skalierbarkeit und Flexibilität: Der Dienstleister Ihrer Wahl sollte selbst große Mengen an Altgeräten problemlos bewältigen können und neben PCs, Notebooks und Smartphones auch Kopierer, Drucker, Scanner und andere Geräte bearbeiten können.
Einhaltung von Standards: Der IT-Dienstleister sollte branchenweit anerkannte Vorgaben, wie die des BSI beachten. Darüber hinaus sollten Sie Wert auf ISO-zertifizierte Löschverfahren legen - insbesondere die ISO-Standards 9001 und 27001 sind an dieser Stelle relevant.
Vor der Entsorgung oder Wiedervermarktung von IT-Geräten steht in jedem Fall eine fachgerechte, rechtskonforme Löschung der darauf gespeicherten Daten. In vielen Unternehmen fehlt dafür jedoch nicht nur das notwendige Knowhow, es mangelt auch an den Ressourcen. Wer an dieser Stelle den richtigen IT-Dienstleister mit der Löschung beauftragt, muss sich keine Sorgen mehr machen: Technologie-Spezialisten wie CHG-MERIDIAN bieten nachweisbare, zertifizierte Löschprozeduren, die durchgängig dokumentiert sind. Mit solchen Dienstleistern sind Sie stets auf der sicheren Seite.