Die versteckten Risiken bei Nichtbeachtung der Richtlinie zur Datenaufbewahrung

 

In diesem Artikel erfahren Sie mehr über die Risiken, die mit der Vernachlässigung von Aufbewahrungsplänen für Daten verbunden sind, und darüber, wie verwaltete Dateiübertragungslösungen Organisationen bei der Durchsetzung von Aufbewahrungsrichtlinien (Data Retention Policy) helfen können.

In der aktuellen datengesteuerten Welt sammeln wir riesige Mengen von Daten von Kunden, Mitarbeitern, Geschäftspartnern usw. Doch in der Eile, Daten zu sammeln, übersehen viele Unternehmen einen entscheidenden Aspekt des verantwortungsvollen Datenmanagements – die Festlegung und Durchsetzung einer soliden Datenaufbewahrungsrichtlinie.

Wenn keine klaren Regeln darüber aufgestellt werden, wie lange Daten aufbewahrt werden sollten und wann sie gelöscht werden müssen, setzen sich Unternehmen einer Vielzahl von Risiken aus, die von Compliance-Verstößen und Bußgeldern bis hin zu Rufschädigung und Vertrauensverlust bei den Kunden reichen.

In diesem Artikel werden Best Practices der Branche für Datenspeicherungspläne untersucht, die Risiken, die mit der Vernachlässigung dieses wichtigen Themas verbunden sind, und wie Managed File Transfer (MFT)-Lösungen Unternehmen dabei helfen können, Aufbewahrungsrichtlinien durchzusetzen und sensible Daten besser zu schützen.

Branchenstandards für die Datenaufbewahrung

Die Einzelheiten variieren je nach Branche und Rechtsordnung, aber einige gemeinsame Standards und Vorschriften bieten eine Orientierungshilfe für die Datenaufbewahrung:

• DSGVO (EU): Die Datenschutz-Grundverordnung schreibt vor, dass personenbezogene Daten „nicht länger als für die Zwecke, für die sie verarbeitet werden, erforderlich“ aufbewahrt werden dürfen. Genaue Aufbewahrungsfristen sind nicht festgelegt, müssen aber vom Datenverantwortlichen definiert und begründet werden.
  
• HIPAA (US-Gesundheitswesen): Der Health Insurance Portability and Accountability Act selbst legt keine Aufbewahrungsfrist für medizinische Unterlagen fest. Er schreibt jedoch vor, dass Unterlagen im Zusammenhang mit Datenschutzrichtlinien, Sicherheitspraktiken und anderen Verwaltungsunterlagen mindestens sechs Jahre lang aufbewahrt werden müssen.
  
• IRS (US-Steuerunterlagen): Der Internal Revenue Service empfiehlt, Steuererklärungen und Belege je nach Art und Situation für drei bis sieben Jahre aufzubewahren.
• SOX (US-Finanzunterlagen): Der Sarbanes-Oxley Act schreibt eine Aufbewahrungsfrist von sieben Jahren für Prüfungsunterlagen und andere Dokumente vor, die Finanzberichte stützen.
• PCI DSS (Zahlungskartendaten): Der Prüfungsverlauf muss für mindestens ein Jahr aufbewahrt werden, wobei mindestens drei Monate unmittelbar für Analysen zur Verfügung stehen müssen.

Diese bieten zwar allgemeine Richtlinien für die Aufbewahrung, doch letztendlich muss jedes Unternehmen die rechtlichen, behördlichen und geschäftlichen Anforderungen, die für ihre Daten gelten, bewerten und im Rahmen einer umfassenden Richtlinie zur Datenverwaltung angemessene Aufbewahrungspläne festlegen.

Welche Risiken gibt es, wenn kein Plan für die Datenaufbewahrung gibt?

Wenn ein ordnungsgemäßer Zeitplan für die Datenspeicherung nicht umgesetzt und durchgesetzt wird, sind Unternehmen zahlreichen Risiken ausgesetzt:

Compliance-Verstöße und Bußgelder

Da sich die Regulierung im Bereich des Datenschutzes ständig weiterentwickelt, gehen die Behörden zunehmend gegen Verstöße vor und verhängen hohe Bußgelder gegen jene, die sich nicht an die Vorschriften halten.

So verhängte Deutschland beispielsweise 2019 seine erste DSGVO-Geldbuße in Millionenhöhe – eine hohe Strafe von 14,5 Millionen Euro gegen das Immobilienunternehmen Deutsche Wohnen, unter anderem weil es keine angemessenen Datenspeicherungs-Pläne hatte und personenbezogene Daten länger als für den ursprünglichen Zweck erforderlich aufbewahrt wurden.

Die französische Datenschutzbehörde CNIL verhängte außerdem eine Geldstrafe in Höhe von 400.000 Euro gegen das Immobilienunternehmen SERGIC wegen ähnlicher Verstöße gegen die DSGVO, darunter die Nichteinhaltung von Aufbewahrungsfristen für Daten. Das Unternehmen hatte vertrauliche personenbezogene Dokumente wie Krankenakten, Bankdaten und Kopien von Personalausweisen lange nach Ablauf der Mietanträge aufbewahrt.

Abgesehen von den unmittelbaren finanziellen Auswirkungen, schaden solche Verstöße gegen die Vorschriften auch das Vertrauen der Kunden.

Erhöhtes Risiko von Datenschutzverletzungen

Die Aufbewahrung von Daten über die erforderliche Nutzungsdauer hinaus erhöht auch das Risiko von Datenschutzverletzungen für ein Unternehmen übermäßig. Alte, ungenutzte Daten sind ein beliebtes Angriffsziel für Cyberkriminelle, die nach personenbezogenen Daten suchen, um diese zu stehlen und zu missbrauchen.

 

Hohe Kosten für Datenaufbewahrung und -wartung

Die Aufbewahrung von überflüssigen Daten, die nicht mehr benötigt werden, kann sich auch auf das Geschäftsergebnis auswirken, da die Kosten für Speicherplatz, Wartung und Infrastruktur in die Höhe getrieben werden. Vor allem für datenintensive Branchen ist es wirtschaftlich nicht machbar oder ratsam, jedes Byte früherer Daten aufzubewahren.

Probleme mit Produktivität und Datenqualität

Auf praktischer Ebene können alte und veraltete Daten Systeme überlasten, die Verarbeitung verlangsamen und die Fähigkeit der Mitarbeiter beeinträchtigen, die versuchen aktuelle und genaue Informationen zu finden, die sie für eine effektive Arbeit benötigen.
Veraltete Informationen stellen auch ein Problem für die Datenqualität dar. Wenn sich beispielsweise die Adresse oder andere Angaben eines Kunden ändern, können doppelte und inkonsistente Daten in verschiedenen Systemen zu ungenauen Mailings, Berichten und Analysen führen. Eine regelmäßige Datenbereinigung auf der Grundlage von Aufbewahrungsregeln hilft Unternehmen, ihre Daten aktuell und zuverlässig zu halten.

 

Durchsetzung der Datenaufbewahrung mithilfe von MFT

Die Festlegung klarer Aufbewahrungsrichtlinien ist ein wichtiger erster Schritt, aber Unternehmen benötigen auch die richtigen Technologien und Prozesse, um diese durchzusetzen. Hier kommen Managed-File-Transfer-Lösungen (MFT) wie die Progress MOVEit-Software ins Spiel.

MFT unterstützt die Datenaufbewahrung insbesondere folgendermaßen:

1. Zentralisierte Steuerung der Daten

MFT bietet IT-Teams eine einzige, zentralisierte Anlaufstelle, um die Übertragung vertraulicher Daten innerhalb und außerhalb des Unternehmens zu verwalten und zu überwachen. Anstatt Daten über verschiedene Systeme und unsichere Kanäle wie E-Mail, FTP oder Filesharing-Dienste für Endverbraucher zu verteilen, werden die Dateiübertragungsaktivitäten in einer sicheren, überwachten Umgebung konsolidiert.

2. Präzises Datei-Management

Mit MOVEit können Administratoren einen automatischen Zeitplan für die Ordnerbereinigung konfigurieren, sodass das System die Einhaltung der Vorgaben durchsetzen kann. Alte Dateien werden automatisch gemäß den Richtlinien entfernt, ohne dass ein manuelles Eingreifen erforderlich ist. Dies spart nicht nur Zeit für die IT-Abteilung, sondern verringert auch das Risiko menschlicher Fehler, die dazu führen, dass abgelaufene Daten vergessen und zurückgelassen werden.

Marktführende MFT-Lösungen umfassen robuste Dateiverwaltungsfunktionen, die es Administratoren ermöglichen, detaillierte Richtlinien festzulegen, wie lange Daten auf dem System aufbewahrt werden sollen und wann sie basierend auf dem Erstellungsdatum oder der letzten Verwendung automatisch gelöscht werden sollen.

3. Vorschriftenkonforme und manipulationssichere Prüfpfade

Detaillierte Prüfprotokolle sind ein Muss, um die Einhaltung sowohl interner Richtlinien zur Datenaufbewahrung als auch externer Vorschriften wie HIPAA, DSGVO, CCPA und PCI DSS nachzuweisen. Die MOVEit MFT-Software bietet einen Prüfpfad der Dateiübertragungsaktivitäten in einer manipulationssicheren Datenbank. Protokolle können nicht geändert oder gelöscht werden, wodurch eine bessere Integrität der Prüfinformationen sichergestellt wird. Darüber hinaus kann die MOVEit-Software Ereignisse direkt in SysLog-Verwaltungskonsolen protokollieren, um sie weiter zu analysieren und langfristig zu speichern, wie es einige Compliance-Standards vorschreiben.

4. Richtlinienbasierte Zugriffskontrolle und DLP-Integration

Zusätzlich zur verschlüsselten Speicherung und Übertragung ermöglicht MFT eine genauere Kontrolle darüber, wer auf welche Dateien, Ordner und Funktionen zugreifen kann. Mit der MOVEit-Software können Administratoren benutzer-, gruppen- und rollenbasierte Zugriffsrichtlinien für geringstmögliche Berechtigungen festlegen und durchsetzen.

Darüber hinaus lässt sich die MOVEit-Software in Tools zur Verhinderung von Datenverlust (DLP) integrieren, um Dateien automatisch auf vertrauliche Daten zu scannen. Ausgehende Übertragungen können blockiert und der Zugriff auf eingehende Dateien kann auf der Grundlage von DLP-Regeln eingeschränkt werden. Diese zusätzliche Ebene der Inhaltserkennung trägt dazu bei, die Offenlegung nicht autorisierter Daten und Verstöße gegen Richtlinien zu verhindern.

Fazit

Die Aufbewahrung von Daten ist keine einmalige Angelegenheit, sondern ein fortlaufender Prozess, der eine kontinuierliche Durchsetzung und Überwachung erfordert. Durch die Implementierung einer verwalteten Dateiübertragungslösung, wie der Progress MOVEit-Software, können Unternehmen ihre Datenverwaltung verbessern und die vielfältigen Risiken einer unkontrollierten Ausbreitung von Daten reduzieren.

Fragen Sie noch heute eine Demo von MOVEit File Transfer an.