Maren Winter - stock.adobe.com
Datenschutz, E-Discovery und Co.: Anforderungen an Archiving
Auch wenn Daten eigentlich schon zur langfristigen Speicherung beiseitegelegt wurden, müssen Archive aufgrund von Vorgaben in Sachen Audits und Datenschutz schnell abrufbar sein.
Es klingt paradox, dass verbesserte Archivierung von Informationen eine Schlüsselherausforderung für die richtige Nutzung von Innovation sein soll: Man arbeitet am besseren Umgang mit alten Daten, um in der Zukunft agiler zu sein, anstatt sich voll auf neue Technologie zu konzentrieren. Ein genauerer Blick in die aktuelle Entwicklung der IT-Welt und Technologie zeigt aber deutlich, warum genau dieser Schritt so elementar wichtig ist. Es geht um mehr als nur darum, in einer Notsituation mit viel Aufwand ein einzelnes Stück Information wiederzufinden.
Früher wurde Archiving als Synonym für Backups angesehen – ein trügerischer Fehlschluss. Aufgrund neuer Vorgaben für Audits, Datenschutzgesetze und stärkerer Orientierung am Endverbraucher müssen Datenarchive mehr können, als nur Informationen sammeln. Inhalte müssen vielmehr schnell abrufbar sein – auch wenn sie zur langfristigen Speicherung bereits beiseitegelegt wurden. Allein die DSGVO stellt in gleich mehreren Paragrafen Organisationen vor Herausforderungen, die sich unmittelbar nur mit den Fähigkeiten von Archiving-Tools lösen lassen:
- Artikel 15 gestattet Bürgern ein Auskunftsrecht über ihre persönlichen Daten, dass sie bei jeder Einrichtung zur Auskunft darüber, welche Informationen diese gespeichert oder verarbeitet hat, erwirken können. Für Unternehmen ohne eine passende Archivierungslösung wird nur eine Anfrage schon zu einer Mammutaufgabe.
- Artikel 30 verpflichtet Organisationen zur Aufzeichnung und Sicherung aller Aktivitäten, die mit der Sammlung und Weiterverarbeitung von persönlichen Informationen zu tun haben. Dies bedeutet, dass sie auf Nachfrage nicht nur wissen müssen, welche Daten gespeichert wurden, sondern auch in welchem Kontext diese erfasst worden sind und wieso sie ermächtigt sind, diese überhaupt zu speichern.
- Artikel 17 betrifft das Recht auf Vergessenwerden: Jede Organisation muss gewährleisten, dass sie sämtliche persönliche Informationen dauerhaft löscht – wenn dies eine Person verlangt und es keine rechtlichen Grundlagen gibt, diese weiter zu speichern.
Diese Vorgaben beziehen sich auf alle persönlichen Informationen und daher sollten IT-Entscheider ihre Archive neu aufstellen. Egal, ob Kundeninteraktion oder Recht auf Vergessenwerden: Die Anzahl an Datensätzen und Anfragen steigt ständig. Es wird erwartet, dass Unternehmen auf Anfragen schnell reagieren. Gerade Kunden kennen zudem personalisierte Interaktionen aus dem Alltag und erwarten, dass Unternehmen kontextbezogene Details auf Wunsch intern austauschen. Beispielsweise wenn ein Garantiefall entsteht, sollte der Servicemitarbeiter auf den E-Mail-Verkehr des Vertriebsmitarbeiters mit dem Anfragensteller zugreifen können, selbst wenn dieser schon einige Zeit zurückliegt.
Herausforderungen für Archivierungslösungen
Deshalb gewinnt das Thema E-Discovery an Wichtigkeit. Es geht nicht nur um eine Katalogisierung, sondern auch um Geschwindigkeit. Mitarbeiter sollten mobil auf Informationen zugreifen. Neben neuen Datensätzen müssen auch vorhandene Informationen integriert werden. Zudem muss die Performance immer gewährleistet sein, sogar wenn viele Anwender gleichzeitig auf einen Bereich zugreifen. Performance und Skalierbarkeit müssen also gewährleistet werden.
Ostermann Research untersucht die treibenden Gründe, warum IT-Entscheider hier auf der Suche nach neuen Ansätzen sind. 67 Prozent sehen Compliance als den wichtigsten Anlass an, gefolgt von E-Discovery. Allerdings wird erwartet, dass bis 2020 die Fähigkeit, Business Intelligence und Wissen aus den Daten zu extrahieren, deutlich wichtiger werden.
Das zunehmende Interesse hat gute Gründe. Es geht immer stärker um Wettbewerbsfähigkeit. Neben der erwähnten Erwartungshaltung im Kunden-Support erlaubt ein gutes Archiving-Tool zudem die Analyse der eigenen Fähigkeiten. Es wird erkennbar, wie Anfragen gestellt werden und wie lange deren Bearbeitung und Lösung dauert. Damit haben Entscheider mehr Einsicht in interne Prozesse.
Diese helfen zudem bei der Abwehr von Innentätern und anderen Sicherheitsrisiken. So können die Sprache und der Austausch innerhalb von Teams nachvollzogen werden. Außerdem ist es möglich, auch externe E-Mails zu prüfen, bevor sie archiviert werden. Immer wieder kommt es vor, dass vergessen wird, persönliche Notizen zu einer Mail zu entfernen, wenn diese aus dem Archiv geholt wird. Später landen diese dann aus Versehen doch wieder beim Klienten. Ein gutes Beispiel hierzu wäre ein Kommentar zur Auftragsbestätigung: Diese kommentiert der Mitarbeiter gegenüber einem Kollegen via E-Mail mit dem Satz, dass man den Kunden ordentlich eingewickelt hätte. Einige Zeit später landet dieser Kommentar beim Kunden, da ein anderer Angestellter diese aus dem Archiv ohne genaue Prüfung geholt und weitergeleitet hat.
Eine entsprechende Struktur im Archiv hilft zudem bei der Verfolgung von rechtlichen Vorwürfen. Dabei geht es sowohl um die Strafverfolgung bei Gesetzesbrüchen (wie Beleidigungen, sexuelle Nötigung etc.) als auch um den Missbrauch von Geschäfts-E-Mail-Adressen entgegen interner Vorgaben (beispielsweise für private Zwecke).
Gleichzeitig sollten Unternehmen die Fähigkeiten zur Lösung von Problemen einsetzen. Oftmals zeigen sich durch wiederholte Beschwerden von Mitarbeitern, dass es technische Probleme gibt, die bisher nicht richtig adressiert wurden. Immer wieder sind Compliance-Verstöße wie die Nutzung von privaten Mailadressen oder ähnliche pragmatische Workarounds eine Folge, da Mitarbeiter mit der Lösung des Unternehmens nicht zufrieden sind und sich so produktiver fühlen.
Wichtigste Anforderungen an moderne E-Mail-Archiving-Lösungen
Diese Punkte gilt es zu adressieren. Damit IT-Abteilungen nicht zusätzlich belastet werden, sollten bei der eigentlichen Archivierung folgende Bereiche beachtet werden:
- Nur relevante Daten kommen ins Archiv: Eine E-Mail mit der Information, dass es Geburtstagskuchen im Konferenzraum gibt, gehört nicht dazu.
- Trotzdem sollte jede Konversation mit externen Kontakten außerhalb des eigenen Unternehmens archiviert werden.
- Der genaue Zeitstempel jeder Mail muss immer prüfbar sein. Außerdem der zeitliche Ablauf: Gab es eine Antwort auf die Anfrage? Wann wurde auf eine E-Mail geantwortet? Wurden zur Bearbeitung Überstunden gemacht?
- Firmen-Mail-Accounts können auch für private Zwecke genutzt werden. Dies sollte nachvollziehbar sein.
- Wichtig ist zudem die Speicherung der eingesetzten Datenschutzmechanismen: Wurde eine E-Mail verschlüsselt oder nicht?
- Essenziell und trotzdem häufig vergessen: die Sicherung der Metadaten.
Beim grundsätzlichen Design eignen sich besonders Cloud-basierte Services, um unabhängiger von der Location der Daten zu sein. Ein Dienst aus der Wolke erlaubt die Integration von neuen Datenquellen, aber unterstützt auch Archive, die On-Premises bereits vorliegen.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder und entsprechen nicht unbedingt denen von ComputerWeekly.de.