von Andy Green

Eine Reihe von Branchenanalytikern hat darauf hingewiesen, dass drei der zehn wichtigsten Prioritäten der IT für das Jahr 2013 Initiativen in Bezug auf BYOD, Cloud-Computing und Business Analytics aus sozialen Medien sein werden. Diese Initiativen bringen zwar eindeutige Businessvorteile mit sich, stellen für die meisten Unternehmen aber gleichzeitig eine große Herausforderung an Richtlinien zur Aufbewahrung von Daten und der Archivverwaltung dar.

BYOD, Cloud-Computing und soziale Medien haben einen gemeinsamen Bezugspunkt: Alle erstellen Datenspeicher, die auf IT-fremde Nutzer ausgerichtet sind, während Governance, Verwaltung und Aufbewahrung zunehmend der Benutzerfreundlichkeit gewichen sind. Durch die Einführung dieser Technologien sind Unternehmen jetzt gezwungen, Backup-, Archivierungs- und Klassifizierungsstrategien zu entwickeln, damit bestimmte Daten auch im Falle von Rechtsstreitigkeiten und Aufforderungen zur Offenlegung von Daten verfügbar sind.

Die US-amerikanische Zivilprozessordnung besagt, dass ein Unternehmen mit Erhalt einer gerichtlichen Aufbewahrungsaufforderung (Hold Request) keine Daten mehr löschen darf, ohne dass eine klar definierte und nachweisbare Richtlinie zur Aufbewahrung und Entsorgung eingeführt wurde. Diese Richtlinien können jedoch nicht im Verlauf eines Rechtsstreits entwickelt und eingeführt werden, da eine Gegenpartei behaupten könnte, dass die Löschung der Daten auf Vorsatz beruht. In einem derartigen Fall könne es zu Geldstrafen und einem Schaden für diese Partei kommen.

In dem Artikel eDiscovery Rules Applied to Social Media: What This Means in Practical Terms for Businesses zeigen die Statistiken, dass die FRCP-Regeln durchgesetzt werden – in 50 % der Fälle, in denen Sanktionen gefordert wurden, wurden sie auch tatsächlich verhängt und in einigen Fällen sogar hohe Geldstrafen. Es ist offensichtlich, dass Unternehmen zur Einhaltung der Regeln verpflichtet sind.

Viele Unternehmen haben eine wahre Sammelleidenschaft entwickelt und speichern und archivieren alle Daten, die sie verwalten; einschließlich der Kundendaten, personenbezogener Daten etc. Diese Vorgehensweise ist jedoch aufgrund des kontinuierlich steigenden Datenvolumens nicht wirklich praktikabel, besonders wenn man die Mengen an Informationen bedenkt, die über mobile Geräte und soziale Medien erzeugt werden.

Für den Fall, dass ein Unternehmen keine bestimmte Aufbewahrungsrichtlinie entwickeln muss, sollten die Anforderungen Teil eines allgemeingültigen Entwurfs zur Datensicherheit sein und die Aufbewahrungsstrategien mit Governance und Verfügbarkeit verbinden. Diese folgenden sechs Schritte bieten eine grundlegende Orientierung:

  1. Legen Sie einen Zeitraum fest, nach dem unbenutzte Daten – je nach Art – als veraltet betrachtet werden können (nach einem Jahr?  2 Jahren? 5 Jahren?)
  2. Implementieren Sie eine Lösung, die den Ablageort von veralteten Daten je nach tatsächlicher Nutzung bestimmen kann (und nicht nur anhand des Zeitstempels von Dateien).
  3. Automatisieren Sie die Klassifizierung von Daten nach Inhalt, Aktivität, Zugriffsbefugnis, Datensensibilität und Data-Owner-Beteiligung.
  4. Archivieren oder Löschen Sie automatisch Daten, die das Ende der Aufbewahrungsfristen erreicht haben.
  5. Migrieren Sie Daten, die veraltet sind, aber empfindliche Informationen enthalten, automatisch in einen sicheren Ordner oder archivieren Sie sie mit beschränktem Zugriff für die Personen, die diesen tatsächlich benötigen (z. B. die Rechtsabteilung).
  6. Stellen Sie sicher, dass die gewählte Lösung einen Nachweis (z. B. Reports) über die Einhaltung der Richtlinie zur Aufbewahrung und Löschung der betroffenen Daten erbringen kann.

Bildquelle: File Upload Bot (Magnus Manske)

 

 

The post Aufbewahrungsfristen von Daten im Zeitalter der sozialen Medien appeared first on Varonis Deutsch.