computerwoche.de

IT-Strategie

Datenvernichtung ohne Risiko

Datenmüll effizient und rechtssicher entsorgen

03.04.2013
Von Deidre Paknad
Big Data bedeutet nicht, dass alle Daten nützlich sind. Doch korrekte Datenvernichtung ist diffiziler, als es auf den ersten Blick scheint.

Rund 90 Prozent der heute im Umlauf befindlichen Daten sind innerhalb der vergangenen zwei Jahre entstanden. Das Datenvolumen wächst so schnell, dass weder der Preisverfall der Speichermedien noch technische Fortschritte damit Schritt halten können. Bei einer durchschnittlichen Zuwachsrate von 40 Prozent pro Jahr würden die Kosten für die Datenspeicherung 2014 nahezu 20 Prozent eines durchschnittlichen IT-Gesamtbudgets ausmachen. Dabei sind mehr als die Hälfte dieser Daten schlichtweg Müll.

Eine Umfrage unter den Teilnehmern am 2012er Gipfel des Compliance, Governance and Oversight Council brachte es an den Tag:

  • Nur etwa ein Prozent der Unternehmensdaten werden wegen einer laufenden rechtlichen Auseinandersetzung gesondert aufbewahrt.

  • Fünf Prozent der Daten sind als Belege oder Akten definiert.

  • 25 Prozent haben einen geschäftlichen Wert.

  • Fast 70 Prozent der gespeicherten Daten haben keinerlei rechtliche, regulatorische oder geschäftliche Relevanz.

Ergo können Unternehmen, die sich von diesen Altlasten trennen, sowohl ihren Aktionären als auch ihren IT-Budgets einen wertvollen Dienst erweisen. Sie verringern ihre Kosten für die Bearbeitung rechtlicher und regulatorischer Vorgänge.

CIOs, Syndikusanwälte und CEOs stehen bekanntlich unter dem Druck, alle Einsparmöglichkeiten zu nutzen, um ihre Aktionäre zufriedenzustellen. Gleichzeitig sinkt jedoch die Risikotoleranz der Unternehmen. Ein Programm zur rechtssicheren Vernichtung überflüssiger Daten bietet vor allem den CIOs die Chance, Kosten und Risiken zu senken. Aber die IT muss unzählige Faktoren prüfen, um zu klären, welche Daten die Rechtsabteilungen und die operativen Einheiten tatsächlich benötigen.

Das ist eine Sisyphos-Aufgabe, selbst wenn es sich um ein Unternehmen mit wenig komplexer Datenlandschaft handelt. Um Daten rechtssicher vernichten zu können, müssten die IT-Abteilungen wissen, welche der 100 Speicherorte und 300 Dokumentenkategorien für welche der 10.000 Mitarbeiter aus 2000 Abteilungen mit ihren auf mindestens 1000 Servern und Anwendungen verteilten Daten eigentlich relevant sind. Mehr als eine Milliarde möglicher Kombinationen aus rechtlicher beziehungsweise geschäftlicher Relevanz, unterschiedlichen Zuständigkeiten und diversen Quellen sind in einem dynamischen Wirtschaftsumfeld keine besonders sichere Entscheidungsbasis.

Was ist das CGOC?

Das(CGOC) Compliance, Governance and Oversight Council ist eine internationale Vereinigung von mehr als 1900 Experten in den Bereichen Recht, IT, Dokumenten- und Informations-Management aus Unternehmen und Regierungsbehörden.
Gegründet wurde das CGOC im Jahr 2004 von der Autorin dieses Artikels, Deidre Paknad, Vice President of Information Lifecycle Governance Solutions bei der IBM Corp.
Die rechtssichere Vernichtung von Daten ist das Anliegen, mit dem das CGOC diese geballte Fachkompetenz an einen Tisch bringt. Auf diese Weise sollen sie in die Lage versetzt werden, das ausufernde Speichervolumen einzudämmen, ihre Kosten zu senken sowie dabei auch noch die Effizienz rechtlicher Herausgabevorgänge zu steigern und sicherzustellen, dass alle datenrechtlichen Vorgaben eingehalten werden.
Zusammen entwickeln die Experten Standards, die den Unternehmen helfen sollen, das Verhältnis zwischen Datenangebot und -nachfrage auszugleichen und ausgereifte Prozesse für die Aufbewahrung zu etablieren.
Zudem unternimmt das CGOC Studien, unterhält Anwendergruppen zu speziellen Themen und veranstaltet Konferenzen in den USA sowie in Europa, bei denen sich Führungskräfte aus der Praxis über die Themenkomplexe Auffindbarkeit, Aufbewahrung, Datenschutz und Organisation austauschen.

Die Führungsriege muss mitspielen

Ein richtungsweisendes Programm braucht vor allem die passende Führungsriege: Dort sollten zum Beispiel der CIO, der CFO, der Syndikusanwalt und andere Vorstandsmitglieder vertreten sein. Führungskräfte und Linien-Manager im Senior-Beratungsstab können so sicherstellen, dass die Bemühungen auch im Alltagsgeschäft verankert sind. Darüber hinaus ist ein zentrales Programmteam notwendig, das Fortschritte vorantreibt und misst sowie die operativen Einheiten anleitet, ihre Prozesse zu entwickeln und anzuwenden.

Strategische Rahmenwerke

Als Nächstes gilt es, eine Strategie zu entwickeln, die isolierte Prozesse und Praktiken zusammenführt - über die Grenzen von Rechts-, Aufbewahrungs-, IT-Ressort und anderen Business-Bereichen hinweg. Einen Rahmen hierfür liefert das "Information Governance Reference Model": Es unterstützt die Verknüpfung der von der IT gespeicherten Daten mit Informationen zur Auskunftspflicht und zum Geschäftswert. So lässt sich der Bedarf an Informationen aus der bestehenden IT-Infrastruktur speisen. Der "Information Lifecycle Governance Leader Reference Guide" liefert darüber hinaus ein Reifegradmodell und 16 spezifische Prozesse, die helfen, Kosten und Risiken zu verringern.

Gleichzeitig zeigt der Guide, wie die Unternehmen Daten rechtssicher vernichten beziehungsweise wertorientiert aufbewahren und eine zweifelsfreie elektronische Beweisermittlung sicherstellen können. Wichtig ist ein klarer Zusammenhang zwischen den Geschäftszielen, den notwendigen Prozessen und Handlungen, der Fähigkeit, diese Abläufe zu Ende zu bringen, und last, but not least einer Qualitätsmessung.

Vorschriften allein reichen nicht

Aus Compliance-Gründen können sich Unternehmen heute nicht mehr darauf beschränken, Vorschriften zu erlassen. Sie müssen ihre Richtlinien vielmehr aktiv in der IT implementieren. Viele manuelle Arbeitsschritte für die IT oder die operativen Geschäftsbereiche vermindern die Erfolgschancen jedoch beträchtlich.

Rechtssichere Vernichtung auf einem leistungsfähigen Niveau erfordert deshalb Automatisierungstechniken und -Tools. Sie sollten folgende Aufgaben übernehmen:

  • Beweiserhebliches Material sperren (zum Beispiel im Zusammenhang mit einer elektronischen Sachverhaltsfeststellung);

  • Dokumentenaufbewahrung automatisieren,

  • Duplikate vermeiden und

  • Daten, die keine geschäftliche oder rechtliche Bedeutung mehr besitzen, abwerten oder vernichten.

Die aufgrund der routinemäßigen Datenvernichtung frei werdenden Speicherkontingente lassen sich mittels virtueller Massenspeicher sofort wieder allokieren. Dabei müssen alle Personen, die die Richtlinien entwickelt haben und praktisch umsetzen, auf ein zentrales Verzeichnis sämtlicher Datenressourcen zugreifen können.

Kapazitätsplanung und -überprüfung spielen in diesem Zusammenhang eine zentrale Rolle: Gerade in abteilungsübergreifenden Projekten können Probleme mit der Ressourcenzuweisung gute Ergebnisse verhindern. Eine gemeinsame Linie ist deshalb unabdingbar.

In den vom CGOC untersuchten Unternehmen gibt es unter anderem:

verschiedene Speicher für Daten, die einer rechtlich vorgeschriebenen Aufbewahrungsfrist unterliegen.
unterschiedliche Dokumentenklassen.
Vorschriften, wie bestimmte Dokumente aufzubewahren sind.
Abteilungen, die an unterschiedlichen Geschäftsaspekten arbeiten.

Innenrevision mit Prüfkriterien

Sind die Prozesse optimiert und die rechtssichere Datenvernichtung in der Organisation verankert, wird die Innenrevision zum wichtigen Partner. Sie stellt sicher, dass die Richtlinien und Kostensenkungsziele nicht dem Tagesgeschäft zum Opfer fallen. Die Prüfkriterien sollten früh als Kernelement in das Programm integriert werden. (qua)