Das Datenschutzleck, das niemand kommen sah

Eine IT-Leiterin bekommt am Montagmorgen eine Mail von einem Praktikanten: „Ich bin zufällig auf diesen Ordner im gemeinsamen Laufwerk gestoßen. Stehen da wirklich die Gehaltsdaten der ganzen Firma drin?“ Das ist der Moment, in dem es klick macht. Nicht, dass die Systeme gehackt wurden. Nicht, dass jemand Böses im Sinn hatte. Einfach so: ein Ordner, der irgendwann von jemandem für „das Projektteam Gehaltsharmonisierung“ angelegt und nie wieder geschlossen wurde. Inzwischen hat die halbe Organisation Zugriff darauf — einschließlich Menschen, die schon lange nicht mehr hier arbeiten.

Das ist das Muster, das wir in nahezu jeder Organisation sehen. Netzlaufwerke, die einmal „nur kurz“ eingerichtet wurden. SharePoint-Sites, die zu jedem Projekt entstehen und nie aufgeräumt werden. Postfächer ausgeschiedener Mitarbeiter, die vorsichtshalber noch offen sind. Scans von Ausweisen in einem HR-Ordner aus 2014. Eine Sozialversicherungsnummer, die versehentlich in einer Kundenakte gelandet ist. Der gemeinsame Nenner: Die Organisation weiß nicht mehr, was drin liegt, wer drankommt und ob es überhaupt noch dort liegen darf. Und das ist kein abstraktes Risiko; Versäumnisse bei der Sicherung personenbezogener Daten fallen unter ein Bußgeldmaximum von €10 Millionen oder 2% des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. 2024 verzeichnete die niederländische Datenschutzbehörde (AP) mit knapp 38.000 Datenpannenmeldungen einen Rekord, und nach dem AP-Datenpannenbericht 2024 lag der durchschnittliche finanzielle Schaden eines Cyberangriffs bei rund €104.000. Oder, wie die AP es selbst zusammenfasst: „Was Sie nicht (mehr) haben, kann auch nicht leaken.“

Die Datenschutzbeauftragte stellt dann die naheliegende Frage: Geben Sie mir eine Übersicht, wo wir personenbezogene Daten speichern, wer Zugriff hat, und ob die Aufbewahrungsfrist noch läuft. Stille. Diese Übersicht existiert nicht. Es gibt ein Verarbeitungsverzeichnis, aber das sagt nichts über die 40 TB lose Dateien auf einem File-Server aus. Die IT sieht, welche Rechte auf welchen Ordner gesetzt sind, aber nicht, was in diesen Dateien steht. Die klassische Lösung — ein externes Büro, das mit hundert Leuten durch Ordner klickt — ist teuer, langsam und unvollständig. Menschen, die zehntausende Dateien von Hand durchgehen, übersehen Dinge. Immer.

Wir drehen es um. Bevor Sie entscheiden, was passieren muss, müssen Sie wissen, was Sie haben. Die Plattform scannt File-Shares, SharePoint und DMS-Systeme, macht alte Scans per OCR durchsuchbar und erkennt automatisch Dokumente mit personenbezogenen Daten, Sozialversicherungsnummern, medizinischen oder finanziellen Informationen sowie geschäftsvertrauliche Unterlagen. Wichtiger noch: Diese Inhaltsanalyse wird mit den Zugriffsrechtelisten verknüpft. So entsteht in einer Übersicht keine abstrakte Heatmap, sondern: „In diesem Ordner liegen 3.400 Dokumente mit personenbezogenen Daten, und 287 Mitarbeitende haben Zugriff — davon 42 nicht mehr im Unternehmen.“ Anschließend folgt das Aufräumen, gesteuert über Business Rules — welche Dokumente dürfen weg auf Basis der Aufbewahrungsfristen, welche müssen verschoben werden, wo sind Rechte zu entziehen — mit lückenlosem Audit-Trail. Denn wenn die AP anruft, ist das genau die Geschichte, die Sie erzählen können müssen.

Das eigentliche Ergebnis ist kein Bericht. Es ist Ruhe. Die Datenschutzbeauftragte kann der Aufsicht zeigen, dass die Organisation weiß, was sie hat, wo es liegt, und wer Zugriff hat. Die Organisation wechselt von reaktiv — warten, bis etwas auffällt — zu nachweisbar in Kontrolle. Keine Mail von einem Praktikanten mehr. Und falls doch, lautet die Antwort: „Wir wissen es schon. Und es ist erledigt.“