Keine Scheu vor dem Löschen von Daten
Das Auffinden elektronischer Informationen gestaltet sich mit zunehmender Aufbewahrungsdauer oft durchaus zeitraubend. Unternehmen benötigen daher eine definierte Speicher-Hygiene. Diese muss eine strategische Klassifizierung aller Daten beinhalten und definierte Richtlinien auch für die Datenlöschung.
Bei der Langzeitaufbewahrung von Daten liegt in Unternehmen einiges im Argen. Obwohl jedes Jahr 30 bis 40 Prozent mehr Speicherplatz benötigt wird, archivieren Firmen unsystematisch. Ein Großteil der Unternehmen speichert riesige Informationsmengen auf unbegrenzte Zeit, statt verbindliche Regeln einzuführen, mit denen unwichtige Daten oder Unterlagen aufgespürt oder gelöscht werden können.»Firmen müssen auch Daten löschen«, fordert Ulrich Kampffmeyer, Geschäftsführer der Unternehmensberatung PROJECT CONSULT. »Beispielsweise wegen gesetzlicher Anforderungen des Datenschutzes oder um die Richtigkeit und Aktualität von Datenbeständen zu sichern und unnötige Datenlasten zu vermeiden. Hierfür fehlen in den Unternehmen meistens noch passende Strategien, denn der Wert von Information ergibt sich aus dem Inhalt der Information. Hierfür ist eine Klassifizierung der gespeicherten Informationen notwendig.«
Auf lange Sicht bringt der vielfach praktizierte Ansatz des Nichtstuns nur Nachteile: Das unbefristete Aufbewahren von Daten steigert die Speicherkosten, erhöht die Backup-Dauer und führt zu einer ineffizienten Dateisuche. Spezielle Mängel zeigen sich bei der elektronischen Beweisführung, neudeutsch auch E-Discovery genannt. Wie eine Umfrage von Symantec unter 5.000 Anwälten jetzt aufdeckte, hatte jeder der Teilnehmer in den vergangenen zwei Jahren Probleme bei einem Fall, weil elektronisch gespeicherte Daten zur Beweisführung nicht vorgelegt werden konnten. Im Rahmen der »E-Discovery-Studie« bestätigte die Hälfte der Befragten, in den vergangenen drei Monaten Probleme bei der Wiederherstellung und Identifizierung elektronisch gespeicherter Informationen gehabt zu haben.
Schlechte Datenverfügbarkeit erschwert die Arbeit
Elektronische Daten sind als Beweismittel vor Gericht unabdingbar. 98 Prozent der befragten Anwälte gaben an, dass in den vergangenen zwei Jahren elektronische Daten entscheidend waren für einen erfolgreichen Rechtsstreit. 91 Prozent erklärten, dass elektronisch gespeicherte Informationen (ESI) für ihre tägliche Arbeit kritisch oder wichtig sind.
Zugleich aber erschwert die schlechte Verfügbarkeit digitaler Beweise ihre Arbeit erheblich. 60 Prozent der Befragten gaben zu, dass sie mit der großen Menge zu untersuchender Informationen zu kämpfen haben. Denn um juristisch haltbare Beweise zu finden, müssen sie Millionen von archivierten Dateien durchsuchen. 29 Prozent der Anwälte klagten, dass ihnen die Zeit fehle, alle nötigen Recherchen durchzuführen. Immerhin 24 Prozent geben an, über keine ausgefeilte Technologie zur elektronischen Beweissicherung zu verfügen, um den geforderten Ansprüchen gerecht zu werden.
Vorsicht vor falscher Wahrnehmung
Die Schere zwischen eigener Wahrnehmung und Realität ist dennoch groß, wie das Ergebnis bei der Frage nach dem erfolgreichen Einsatz von E-Discovery zeigt. 69 Prozent sind der Meinung, auf die elektronische Beweissicherung bei wichtigen Gerichtsverfahren oder Compliance-Fällen »vollkommen vorbereitet« zu sein. Ein These, die auch in mittelständischen Unternehmen weit verbreitet ist. Viele missbrauchen das Backup als Archiv und das Aussitzen von regelbasierter Datenaufbewahrung (Compliance) ist gängige Praxis. »Um rechtliche Konsequenzen zu vermeiden, müssen Unternehmen lernen, Informationen gezielt einzuordnen und irrelevante Daten zuverlässig zu löschen«, sagt Andreas Bechter, Regional Product Manager bei Symantec.
Vielen erscheint die Gefahr einer rechtlichen Klage als abwegig. Der Teufel steckt jedoch oft im Detail. Das Internet deckt heute vieles auf. Auf Abmahnung spezialisierte Kanzleien finden akribisch mögliche Schwachstellen – und das über Jahre. Ein Beispiel sind Bildrechte. Eine falsche Quellenangabe lässt schnell Verdacht aufkommen. Selbst wenn die Grafik bei einer Bildagentur für eine Broschüre oder für eine Web-Aktion rechtmäßig erworben wurde, bekommt man nur Recht, wenn sich das auch nach vielen Jahren noch belegen lässt. Möglicherweise sind aber die seiner Zeit damit befassten Mitarbeiter nicht mehr im Unternehmen oder beim damaligen Dienstleister tätig. Heute kann sich keiner an den Fall erinnern, das Projekt ist längst durch neue ersetzt und auf die E-Mails der ehemaligen Kollegen hat heute auch keiner mehr Zugriff. Die Folge: Schadenersatzforderungen plus Anwaltskosten, die eigenen wie die der Gegenseite, in einer nennenswerten vierstelligen Summe.
Um die digitale Informationssuche im Rechtswesen zu verbessern wünschen sich die von Symantec befragten Anwälte bessere Technologien, um elektronische Daten schneller zu identifizieren, sicher aufzubewahren und aufzubereiten. Insbesondere Suchfunktionen für lokale Festplatten und Notebooks wären hilfreich. Fast die Hälfte aller Anwälte gab an, dass sie vor allem auf diesen Datenträgern nach verwertbarem Material suchen. Symantec hat in der neuen Version der Archivierungs-Software »Enterprise Vault« mit dem »Discovery Collector« ein Werkzeug integriert, das wichtige unstrukturierte Informationen außerhalb der typischen Archive auch auf diesen entfernten Datenträgern finden soll.
Unvermeidbar: Daten löschen den Mitarbeitern überlassen
Neben einer besseren Suchfunktion benötigen Firmen eine Strategie die gespeicherten Daten auf das Nötigste zu beschränken. »Löschen von nicht mehr benötigten Daten ist teils auch gesetzlich vorgeschrieben, zum Beispiel im Datenschutzrecht«, erläutert Frank Giebel, Inhaber des Beratungsunternehmens 3rd Mind Business Consulting und externer Datenschutzbeauftragter. »Ist der Zweck der Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten erfüllt, müssen sie gelöscht werden. Doch gilt es vorher greifende Aufbewahrungspflichten und -Fristen (z.B. aus Handels- und Steuerrecht) zu beachten. Ein sinnvolles Löschen von Daten sollte mit System geschehen: Will man dies automatisiert durchführen, helfen so genannte Policys im Archivsystem.« Sollen dies die Mitarbeiter selbst erledigen, helfen Richtlinien mit Handlungsanweisungen und – bei kritischen Datenbeständen – ein Vieraugenprinzip (z.B. mit dem Vorgesetzten, dem Datenschutzbeauftragten) für ein sicheres Löschen.
»Das Löschen einfach den Mitarbeitern zu überlassen, ist nicht immer sinnvoll, aber häufig unvermeidbar«, ergänzt Unternehmensberater Kampffmeyer. »E-Mail-Postkörbe lassen sich nicht automatisiert bereinigen, sondern werden erst nach Prüfung und Bearbeitung durch einen Mitarbeiter entlastet. Automatisierte, teilautomatisierte und manuelle Verfahren der gezielten, kontrollierten und nachvollziehbaren Informationsentsorgung müssen im Sinne einer unternehmensweiten Speicherungs-Hygiene nach vorgegebenen Regeln zusammenwirken.«