Neue EU-Gesetzgebung erhöht den Druck auf Unternehmen Daten zu löschen

Die Enthüllungen des Snowden-Skandals hat nur noch mehr zu der Notwendigkeit bei der EU beigetragen, die Mindestsicherheitsanforderungen bei dem Schutz von persönlichen Daten und in Unternehmensnetzwerken zu erhöhen. Das große Problem dabei ist, einen Weg zu finden, Informationen in einer verantwortungsvollen und effektiven Weise zu verwalten. Von high-level Regierungsinformationen bis hin zu Kreditkarten-Details eines Amazon-Käufers, das digitale Netzwerk ist vollgestopft mit vertraulichen Daten und das Volumen und die Datengröße wächst dabei jeden Tag.

Ohne Frage leben wir in einer Epoche, die durch Big Data definiert wird (der Begriff wird verwendet, um sehr große, komplexe und sich schnell ändernde Datensätze zusammenzufassen) und es gibt keine Anzeichen dafür, dass sich diese Entwicklung verlangsamt. Es wird jede Sekunde so viel an Big Data erzeugt, dass es jetzt schwierig geworden ist, das Material zu speichern, zu verwalten und für kommerzielle Zwecke zu nutzen – und dabei ist nicht die schiere Menge das Problem, sondern auch die Art der Daten die erzeugt werden.

Die Herausforderung der unstrukturierten Daten

In der Vergangenheit waren traditionelle Daten meist strukturiert oder ordentlich in Datenbanken gespeichert. Dies war möglich, weil es eben nicht ein weltweites, miteinander verbundenes Netzwerk gab und Informationen physisch in Aktenschränken oder digital auf Computer Disks gespeichert wurden. Als das digitale Zeitalter endgültig Einzug gehalten hatte, verschwand dieses Arrangement und es kam zu einer Explosion von unstrukturierten Daten, die durch die stark anwachsenden digitalen Interaktionen produziert wurden.

Darüber hinaus kam es zu einer immensen Verbreitung von Geräten, von Smartphones über iPads zu Stimm-aktivierbaren Fernsehern oder Kühlschränken, die Daten speichern und übertragen können. Industrielle Sensoren und Videoüberwachungskameras tragen ebenfalls dazu bei die Datenmenge anwachsen und immer komplexer werden zu lassen, sodass ein neuer Ansatz gewählt werden muss, um sie zu speichern, zu sichern, und – im Falle von Persönlichkeitsrechten – diese Daten auch löschen zu können, wenn eine Person verlangt, dass diese beseitigt werden sollen.

Wieviel Daten sind da draußen?

Niemand kann eine genaue Zahl über die aktuelle Menge von globalen Daten zur Verfügung stellen, aber einige Forscher behaupten, dass 90% aller Daten in der Welt erst in den letzten zwei Jahren erzeugt worden sind. Experten gehen von Milliarden an täglich erzeugten Informationseinheiten aus und diese Zahl ist jetzt sogar noch größer durch das Anwachsen von mobilen und Computernutzern in der gesamten Welt.

Ohne Zweifel sind die tragbaren Geräte die größten Geburtshelfer des immensen Datenwachstums. IBM glaubt, dass mehr als 75% der Informationen, die wir jeden Tag produzieren, unstrukturiert – also nicht aufbereitet – sind, und meist von Mobiltelefonen kommen. Die schiere Komplexität der Verwaltung dieser großen Datenmenge wird immer weiter zunehmen, da erwartet wird, dass die Anzahl der mobil-vernetzten Geräte auf einem Faktor von 1,5 pro Person bis zum Jahr 2020 erwartet wird.

Bis dahin wird die Weltbevölkerung auch über 268 Milliarden Apps herunterladen, damit einen Umsatz von mehr als 60 Milliarden Englischer Pfund generiert haben und Apps zu einem der beliebtesten Computer-Tools für Nutzer weltweit machen. Das Markforschungsunternehmen Gartner schließt daraus, dass mobile Nutzer täglich persönliche Datenströme über mehr als 100 Apps und mobile Dienste zur Verfügung stellen.

Die Anhäufung von Daten und der Anstieg von Malware-Angriffen und Informationslecks haben allerdings in den letzten Monaten die Aufmerksamkeit auf die Bedeutung eines guten Umgangs mit Informationen und die Notwendigkeit für den Datenschutz deutlich erhöht.

Recht auf Löschung

Als Antwort auf die Herausforderungen bei der Verwaltung von Big Data hat die EU neue Gesetze eingeführt, um künftige Sicherheitsbedrohungen zu bekämpfen. Unter ihnen ist die EU-Datenschutzgrundverordnung (EU-DSGV/ GDPR), die das Recht des Einzelnen auf Datenlöschung und „vergessen zu werden“, stärken sollen. Das neue Gesetz trat im April diesen Jahres in Kraft und alle Organisationen, die Geschäfte innerhalb oder mit Firmen aus den Mitgliedsländern der EU machen wollen, müssen die neuen Vorgaben ab dem 25. Mai 2018 einhalten.

Die EU-DSGV ist eine wichtige Richtlinie, die versucht, unterschiedliche Regelungen zu vereinen, wie z.B. die EU-Datenschutzrichtlinie 95/46/EG, wodurch es für Unternehmen leichter wird, die Verantwortlichkeiten beim Datenmanagement zu verstehen. Darüber hinaus deckt das neue Gesetz wichtige Aspekte wie die Globalisierung und beliebte technologische Entwicklungen, wie Facebook, Twitter, Google+ und andere Social Media  Plattformen. Die neue Gesetzgebung wird damit alle neuen Möglichkeiten der Kommunikation im digitalen Zeitalter umfassen – und die dabei entstehenden Informationen, die aus unserer Interaktion mit der digitalen Welt entstehen.

Wenn diese Regelung in Kraft tritt, müssen Unternehmen und Organisationen aus privaten und öffentlichen Sektoren nachweisen, dass die Daten in Übereinstimmung mit den neuen Richtlinien sicher gelöscht werden und dass sie voll verantwortlich für die ordnungsgemäße Überwachung, die Überprüfung und die Beurteilung der relevanten Verarbeitungsverfahren sind. Das neue Gesetz verpflichtet sie darauf hinzuarbeiten ihre Datenverarbeitung und die Aufbewahrungszeiten zu minimieren sowie Schutzvorkehrungen bei allen Datenverarbeitungsprozessen zu implementieren.

Unternehmen werden sich zunehmend dieser neuen Verantwortung bewusst – vor allem wegen der hohen Kosten bei Nichteinhaltung. Wenn Unternehmen ertappt werden, können sie mit harten Strafen von bis zu 20 Millionen Euro oder vier Prozent ihres weltweiten Umsatzes in schweren Fällen konfrontiert werden. Allerdings sind  viele Firmen mit ihren Datenlöschprozessen schlecht auf die neue Situation vorbereitet. Zudem erfassen viele Verantwortlichen schlicht nicht das Risiko oder die Herausforderungen, die sich aus dem massenhaften Sammeln von Daten und den Konsequenzen durch Sicherheitsverletzungen oder -lecks ergeben.

Jetzt, da die Strafen für die Nichteinhaltung der EU-Regeln noch schärfer geworden sind, stellt sich die Frage, wie Unternehmen sicherstellen können, dass die Daten, die sie nicht mehr verarbeiten und besitzen dürfen, sicher gelöscht werden. Und welche anderen Gefahren darin liegen darin, wenn man nicht benötigte Daten nicht sicher löscht. Diese Fragen beantworten wir im zweiten Teil dieses Artikels.