Wissen Sie oder Ihr Unternehmen eigentlich, was so alles an Dateien und Dokumenten auf den Arbeitsplatzrechnern schlummert? Vielleicht gehören Sie ja zu den Menschen, die regelmäßig durch die eigenen Verzeichnisse gehen und alles löschen, was sie nicht mehr brauchen oder was sensibel sein könnte. Dann sind Sie eine Ausnahme, die meisten Menschen horten nämlich Dateien, man könnte sie ja nochmal brauchen. Auf den Desktops sammelt sich im Lauf der Zeit einiges an, und keiner weiß so genau, ob nicht auch Dateien mit sensiblen Informationen darunter sind.
Häufig gelangen die Daten als Export aus zentralen Systemen wie ERP oder CRM auf den Desktop. Beispielsweise werden sie für Diagramme in Präsentationen verwendet, nach Feierabend auf einem mobilen Gerät weiter bearbeitet oder Kollegen und Partnern zur Verfügung gestellt. Wenn Sie jetzt an Schatten-IT denken, liegen Sie richtig. Aber nicht nur: Auch im Zusammenhang mit den vom Unternehmen bereitgestellten Programmen und Geräten ist die lokale Speicherung von Daten an der Tagesordnung. Damit hat die Schatten-IT kein Monopol auf lokale Datenhaltung. Handelt es sich dabei um personenbezogene Informationen, verstößt das Unternehmen gegen Datenschutzgesetze wie die DSGVO.
Denn sobald Daten auf einem Arbeitsplatzrechner gespeichert sind, verliert das Unternehmen die Hoheit darüber. Es kann nicht mehr nachvollziehen, ob es sich um sensible Daten handelt, wer sie sehen oder darauf zugreifen kann und was mit ihnen damit passiert beziehungsweise wohin und an wen sie übermittelt werden. Der Verlust der Hoheit über die Daten betrifft insbesondere zwei Bereiche: Ein Unternehmen, das nicht weiß, wo sensible Daten liegen, kann deren Integrität, Vertraulichkeit und Verfügbarkeit nicht schützen. Und es kann nicht gewährleisten, dass die Rechte von Personen wie das Recht auf Löschung umgesetzt werden, weil nicht sämtliche Daten gefunden werden können. Damit macht sich das Unternehmen laut DSGVO strafbar.
Da die manuelle Suche nach unstrukturierten sensiblen Daten jedes Unternehmen überfordert, bietet sich dafür die e-Discovery-Technik an. Dieses Verfahren kommt ursprünglich aus der Ermittlung und Sicherstellung elektronischer Beweismittel in Zivil- oder Strafverfahren. Inzwischen wird e-Discovery immer häufiger bei der Umsetzung von gesetzlichen Vorgaben auch zum automatisierten Durchsuchen großer Datenmengen eingesetzt, so auch als Bestandteil unserer DLP-Lösung Endpoint Protector. Die Unternehmen spüren lokal gespeicherte Daten auf und ergreifen für die gefundenen Daten passende Maßnahmen. Bei personenbezogenen Daten kann das beispielsweise eine Verschlüsselung sein oder, wenn es um das Recht auf Vergessenwerden geht, auch die Löschung. Damit ist das größte Compliance-Hindernis vom Tisch.
