»Die ganze Kette vom Speichern der Daten bis zum Löschen muss stringent geregelt sein«, erläutert Rainer Fahs, IT-Security-Experte bei der NATO und Chairman der IT-Security-Organisation Eicar. »Es ist für Unternehmen häufig nicht einfach, dabei alle Parameter zu berücksichtigen.«

Die Eicar befasst sich seit 1991 auf europäischer Ebene mit Fragen der IT-Sicherheit. »Gerade Anbieter, die Daten von Privatpersonen und Unternehmen als Dienstleistung dauerhaft speichern, müssen sicherstellen, dass diese Informationen im Bedarfsfall auch wieder gelöscht werden«, ergänzt Fahs.

»Hilfreich ist für solche Dienstleister zum Beispiel, Dritte einzubinden. Diese können mit einer beurkundeten Abnahme zertifizieren, dass Daten entsprechend den Vorgaben gelöscht wurden.«

Für die Anbieter von Speichersystemen stellen diese Anforderungen eine fast lösbare Aufgabe dar. »Wir haben spezielle Professional Services ins Leben gerufen, die sicherstellen, dass Daten endgültig und nicht wieder herstellbar gelöscht wurden«, bestätigt Andreas Wagner, der beim Storage-Anbieter Hitachi Data Systems die Global Services in Deutschland leitet. »Diese Services garantieren das vollständige Löschen, wie es etwa im Gesundheitswesen oder Finanzsektor eine besondere Rolle spielt.«

Daten müssen 30 Jahre gespeichert werden

Im Healthcare-Sektor ist vorgeschrieben, Daten von Patienten 30 Jahre lang vorzuhalten. Nach Ablauf dieser Zeit sind Krankenhäuser und Arzt-Praxen jedoch verpflichtet, diese Daten zu vernichten. Anderenfalls liegt ein Verstoß gegen die Patientenrechte vor.

Neben möglichen strafrechtlichen Konsequenzen spielt dabei auch der Aspekt der Reputation eine Rolle. Auf wirtschaftlicher Seite droht zudem der Verlust von Geschäftsgeheimnissen und Patenten.