Phonecheck
Blog

Leitfaden für die Festlegung der Datenvernichtungspolitik Ihres Unternehmens

Richtlinie zur Datenvernichtung

Das Geflüster über Datenschutzverletzungen oder Datenlecks kann bei den meisten Führungskräften eines Unternehmens aufgrund der damit verbundenen finanziellen und rechtlichen Konsequenzen Ängste auslösen. Angesichts der Tatsache, dass der technologische Fortschritt zu einer Zunahme böswilliger Cyber-Akteure geführt hat, ist eine Richtlinie zur Datenvernichtung für Ihr Unternehmen von entscheidender Bedeutung. 

Laut einem aktuellen IBM-Bericht über weltweite Datenschutzverletzungen, die 17 Branchen in 17 Ländern und Regionen betreffen, belaufen sich die geschätzten durchschnittlichen Kosten einer Datenschutzverletzung auf 4,24 Millionen Dollar. Allein in den Vereinigten Staaten belaufen sich die durchschnittlichen Kosten auf 9,05 Millionen Dollar - die mit Abstand teuersten. Die Schlussfolgerung daraus ist, dass Nachsicht im Umgang mit den Daten Ihres Unternehmens Sie mehr kosten wird, als Sie brauchen, um zu verhindern, dass sensible Informationen in die Hände von böswilligen Hackern gelangen.

Glücklicherweise ist die Einführung einer effizienten Datenvernichtungspolitik eine der kostengünstigsten und effektivsten Methoden, um Ihr Unternehmen vor einer Gefährdung zu schützen. Sie fragen sich vielleicht: Was ist eine Datenvernichtungsrichtlinie und wie trägt sie zum Schutz der Daten eines Unternehmens bei? Unser Leitfaden beantwortet diese Fragen und geht auf weitere Themen ein, die Sie zum Schutz der Daten Ihres Unternehmens wissen sollten. 

Was ist Datenvernichtung?

Die Datenvernichtung umfasst alle Maßnahmen, die ein Unternehmen ergreift, um sensible Daten auf digitalen Speichergeräten zu beseitigen. Bei den Speichergeräten kann es sich um Telefone, Festplattenlaufwerke, Kopierer, Laptops, Solid-State-Laufwerke (SSD), Bänder und andere elektronische Geräte handeln, auf denen Daten gespeichert werden können. Für Unternehmen geht die Datenvernichtung über das einfache Löschen von Dateien und Ordnern hinaus. 

Wenn Sie eine Datei oder einen Ordner löschen, entfernen Sie nur den Pfad, der zu ihrem Speicherort auf dem Speichergerät führt. Obwohl Sie ohne spezielle Software nicht ohne Weiteres auf die Dateien zugreifen können, bleiben die gelöschten Dateien auf Ihren Laufwerken, bis sie von neuen Dateien überschrieben werden. Eine digital besser informierte Person kann Informationen über Ihr Unternehmen, Ihre Kunden und Mitarbeiter schnell wiederfinden und missbrauchen.

Daher muss die Datenvernichtung umfassend sein, um eine Wiederherstellung in jeglicher Form zu verhindern. Um die Dauerhaftigkeit der Daten zu gewährleisten, setzen Unternehmen in der Regel eine Reihe fortschrittlicher Vernichtungstechniken ein, wie z. B. Degaussing, Datenlöschung, Überschreiben, Schreddern und physische Vernichtung von Speichermedien.

Zur Klarstellung: Die Datenvernichtung unterscheidet sich von der Datenbereinigung. Während es bei beiden Verfahren um die ordnungsgemäße Entsorgung sensibler Daten geht, wird bei der Datenbereinigung versucht, die Wiederverwendung des Datenspeichermediums in den Vordergrund zu stellen. Bei Magnetspeichergeräten wird die Datenbereinigung bevorzugt, um zu verhindern, dass Daten aufbewahrt werden, während das Speichergerät noch gut genug für die Wiederverwendung ist. 

Gesetze zur Datenvernichtung 

Die Richtlinien für die Datenvernichtung und deren Ausführung sind für jedes Unternehmen in den Vereinigten Staaten bekannt, werden genau überwacht und gesetzlich vorgeschrieben. So erfolgt beispielsweise die Verbrennung von Festplatten nach den Richtlinien des National Institute of Standards and Technology (NIST).

In der Tat folgt das Vernichtungsverfahren für die meisten amerikanischen Industrien den vom Verteidigungsministerium festgelegten Standards für die Mediensanierung. Die Unternehmen müssen sich der folgenden Gesetze bewusst sein, um den rechtlichen Rahmen einzuhalten.

  • Das Datenschutzgesetz von 1974: Dieses Gesetz unterstreicht die Verantwortung eines Unternehmens für den Schutz des Rechts seiner Kunden auf Privatsphäre. Daher ist ein Unternehmen verpflichtet, den Schutz der Daten seiner Kunden zu gewährleisten. Das Gesetz regelt auch die Verantwortung von Regierungsbehörden für den Schutz privater Informationen, die ihnen anvertraut werden, selbst wenn sie diese Informationen verwenden. Das Gesetz wurde auf private Informationen wie Krankengeschichte, Finanztransaktionen, Beschäftigungsgeschichte und biometrische Daten ausgeweitet.
  • Der Fair and Accurate Credit Transactions Act von 2003 (FACTA): FACTA wiederholt die Details des Privacy Act, insbesondere wenn es um personenbezogene Daten (PII = Personally Identifiable Information) geht. Das Department of Homeland Security (DHS) definiert PII als "alle Informationen, die es ermöglichen, direkt oder indirekt auf die Identität einer Person zu schließen, einschließlich aller Informationen, die mit dieser Person verknüpft sind oder verknüpft werden können, unabhängig davon, ob es sich bei der Person um einen US-Bürger, einen rechtmäßigen ständigen Einwohner, einen Besucher der USA oder einen Angestellten oder Auftragnehmer des Ministeriums handelt". FACTA legt im Einzelnen dar, dass ein Unternehmen nach wie vor dafür verantwortlich ist, die Daten seiner Kunden geheim zu halten und vor unbefugten Händen zu schützen. Das Unternehmen muss dieser Verpflichtung auch dann nachkommen, wenn es die Informationen entsorgt.
  • Gramm-Leach-Bliley Act (GLBA): Hierbei handelt es sich um den 1999 verabschiedeten Financial Modernization Act. Es verpflichtet Unternehmen (insbesondere Finanzunternehmen) dazu, ihre Kunden darüber zu informieren, wie sie deren private Finanzdaten verwenden oder weitergeben wollen.
  • Das Sozialversicherungsgesetz von 1934: Dieses Gesetz schreibt vor, dass Unternehmen niemals Informationen an Dritte weitergeben dürfen. Die nach diesem Gesetz geschützten Informationen beginnen mit der Sozialversicherungsnummer des Kunden. Die Strafe für die Verletzung solcher Informationen ist unabhängig davon, ob das Unternehmen die Informationen absichtlich weitergibt oder sie durch Fahrlässigkeit durchsickern lässt.

Außerdem gibt es in den einzelnen Staaten Gesetze zur Datenvernichtung. Der Federal Trade Commission (FTC) Act und der Health Insurance Portability and Accountability (HIPAA) Act sind neuere Gesetze, die die personenbezogenen Daten von Unternehmen und Organisationen schützen.

Was ist eine Datenvernichtungspolitik?

Die Fortschritte in der Informationstechnologie haben die Arbeitsweise von Unternehmen erheblich beeinflusst. Die Unternehmen müssen daher angemessene Sicherheitsrichtlinien oder -verfahren für den Umgang mit personenbezogenen Daten ihrer Kunden einführen. 

Eine Datenvernichtungsrichtlinie ist ein Protokoll, das ein Unternehmen einführt, um Daten vollständig und sicher von seinen Speichergeräten zu entfernen. Die Idee ist, Missbrauch oder unbefugten Zugriff auf private Informationen aufgrund ineffizienter Löschung zu verhindern. Eine effiziente Richtlinie schützt vor jeglicher Form der Datenaufbewahrung und garantiert die Bereinigung, Löschung oder vollständige Beseitigung vertraulicher Daten. 

Welche Arten von Daten müssen vernichtet werden? 

Zum Schutz der Kundendaten müssen Unternehmen gemäß den geltenden Datenvernichtungsgesetzen die folgenden Gegenstände vernichten:

  • Personalausweise
  • Kontoauszüge
  • Kreditkartenabrechnungen
  • Ungültige Schecks
  • Verträge
  • Budgets
  • Interne Berichte
  • Anwendungen
  • Schätzungen
  • Kundenliste
  • Kundenkontaktformulare
  • Ausgeschiedene Speichergeräte des Unternehmens
  • Datensätze für Mitarbeiter
  • Jahresabschlüsse
  • Medizinische Berichte

Gründe, warum Ihr Unternehmen eine Datenvernichtungsrichtlinie benötigt

Ein proaktiver Ansatz zum Schutz von Kunden- und Mitarbeiterdaten durch effiziente Datenvernichtung ist für ein Unternehmen in vielerlei Hinsicht von Vorteil.

Erstens schützt eine umfassende Datenvernichtungsrichtlinie Ihr Unternehmen vor Datenschutzverletzungen und unbefugtem Zugriff auf Unternehmensinformationen. Der strukturelle Rahmen bietet ein Muster, das die Vernichtung verschiedener Datentypen von verschiedenen Geräten leitet und den Prozess mühelos und gründlich macht.

Außerdem stärkt eine Datenvernichtungspolitik das Vertrauen Ihrer Kunden in Sie. Sie gibt ihnen die Sicherheit, mit Ihnen Geschäfte zu machen, und beseitigt Zögern und Einwände in Ihrem Verkaufsprozess. 

Darüber hinaus schützt die Erstellung einer Richtlinie zur Datenvernichtung Ihr Unternehmen vor fahrlässigen Verstößen gegen lokale oder bundesstaatliche Gesetze. 

Die wesentlichen Bestandteile einer Datenvernichtungspolitik

Jede Datenvernichtungspolitik muss mit einer umfassenden Struktur beginnen, in der Rollen und Verantwortlichkeiten festgelegt sind. Die Datenvernichtungsrichtlinie sollte so strukturiert sein, dass sie die Bedürfnisse und Umstände Ihres Unternehmens widerspiegelt. Gehen wir einige der wesentlichen Komponenten durch, die in Ihrer Richtlinie enthalten sein sollten.

Erklärung zur Politik 

Am besten beginnen Sie mit der Datenvernichtung, indem Sie Ihre Richtlinie oder Ihre Erklärung zur Richtlinie, die Nummer der Richtlinie und den Titel vorstellen. 

Ihre Grundsatzerklärung sollte Folgendes enthalten:

  • Hintergrundinformationen, warum eine Datenvermeidungspolitik erforderlich ist
  • Einführung in die anderen Komponenten der Politik
  • Verantwortliche für die Erstellung der Politik
  • Rolle der verschiedenen Abteilungen in Bezug auf die Politik
  • Einzelheiten über das Inkrafttreten der Politik
  • Leitlinien für die Umsetzung der Datenvernichtungspolitik
  • Standards für die Messung der Ergebnisse der Politik

Zweck 

Als Nächstes sollte Ihre Datenvernichtungsrichtlinie darauf eingehen, warum das Unternehmen eine solche Richtlinie erstellen muss. Der Zweck sollte den Hintergrund, die Bedeutung und die Folgen der Datenvernichtung verdeutlichen. Am besten wäre es, wenn Sie auch versuchen würden, die Vorteile der Richtlinien für die verschiedenen Interessengruppen aufzuzählen.

Umfang 

Der Geltungsbereich sollte das Ausmaß und die Grenzen der Politik beschreiben. Er hilft zu definieren, welche Abteilungen oder Tätigkeiten betroffen sein werden und wie Sie hoffen, dass die Richtlinie das Unternehmen beeinflussen wird. Am besten wäre es, wenn Sie auch auf die Abteilungen, Mitarbeiter und Tätigkeiten eingehen, die von der Richtlinie betroffen sind, einschließlich ihrer Aufgaben und Zuständigkeiten und der für sie getroffenen Überlegungen.

Verfahrensanweisungen 

Die Verfahrenserklärung sollte konkrete Angaben zu den Protokollen enthalten, die bei der Datenvernichtung anzuwenden sind. 

Er sollte Folgendes enthalten:

  • Beziehung zwischen allen verantwortlichen Parteien im Datenvernichtungsprozess
  • Werkzeuge und Ressourcen, die das Unternehmen für die Datenvernichtung bereitgestellt hat
  • Schrittweise Anwendung des Verfahrens zur Zerstörung
  • Wo und wie über die Einzelheiten der Datenvernichtung berichtet werden kann

Vollstreckung 

Es reicht nicht aus, Ihre Datenvernichtungspolitik zu erstellen und zu kommunizieren. Sie müssen auch ein Verantwortungsprotokoll einführen, um sicherzustellen, dass die Richtlinie strikt befolgt wird. Die Durchsetzung der Richtlinie sollte mit einer Überprüfungs- und Aktualisierungsrichtlinie beginnen.

Sie sollten eine angemessene Definition für die Messung der Ergebnisse der Politik enthalten. Darüber hinaus sollten die Konsequenzen für die Nichteinhaltung der Politik sowie ein Überwachungs- und Bewertungssystem eindeutig festgelegt werden.

Sorgen Sie für die Sicherheit Ihrer Unternehmensdaten mit Phonecheck

Eine Datenvernichtungspolitik schützt die Daten Ihres Unternehmens vor unbefugtem Zugriff oder Verletzung durch böswillige Akteure. Dies trägt zu einem positiven Markenimage und zum Vertrauen der Kunden bei. Die meisten Unternehmen wissen jedoch nicht, wie sie Daten effektiv vernichten können. Und genau hier Phonecheck ins Spiel.

Sie können kostspielige versteckte Probleme vermeiden, indem Sie für den Preis einer Tasse Kaffee einen Verlaufsbericht auf Phonecheck erwerben. Unsere dem Industriestandard entsprechende Unternehmenssoftware garantiert, dass sensible Unternehmensdaten vor dem Verkauf oder der Entsorgung von den verschiedenen Speichermedien gelöscht werden. Sie können dann in dem Wissen, dass Ihre sensiblen Informationen sicher sind, beruhigt Ihren Geschäften nachgehen.

Verwandte Artikel

Geräte in großem Umfang mit Phonecheck zertifizieren

Diagnose, Datenlöschung und Geräteverlaufsberichte – die Plattform der Wahl für Händler von Gebrauchtgeräten.

Demo anfordern