pe3check - stock.adobe.com
EU-DSGVO: Achillesferse Backup und Archivierung
Unternehmen müssen im Rahmen der DSGVO vieles beachten, vor allem aber müssen sie bestimmte Parameter bei der Datensicherung beachten.
Die Europäische Datenschutz-Grundverordnung (EU-DSGVO) hat teils gravierende Auswirkungen auf die Datenhaltung in Unternehmen: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie sie für einen vorher definierten Zweck erforderlich sind – soweit bekannt. Unklar ist häufig indes, wie stark die neuen Regularien auf Datensicherungs- und Archivierungsstrategien in Unternehmen einwirken.
Die EU-DSGVO berührt das Daten-Management in Unternehmen gleich an mehreren Punkten. Sie sieht vor, dass Daten nur für einen vorab definierten Zweck und auch nur so lange gespeichert werden dürfen wie dafür erforderlich. Damit einher geht allerdings ein neuer Umgang bei der Sicherung und Archivierung von Informationen. Denn: Wurde jahrzehntelang lieber zu viel als zu wenig gesichert, so entspricht diese Vorgehensweise seit Inkrafttreten der neuen europäischen Verordnung nicht mehr den gesetzlichen Vorgaben. Das gilt in erster Linie für die gängige Sicherungsmethode per Bandlaufwerke. Weil Daten hier sequenziell auf eine oder auf mehrere Spuren des Bandlaufwerks gespeichert werden, ist ein rasches Auffinden und Löschen spezifischer Informationen nicht ohne weiteres möglich.
Um hier künftig auf einer EU-DSGVO-sicheren Seite zu sein, gilt es für Organisationen, ihre Backup-Strategien an die Anforderungen der neuen Verordnung anzupassen. Allzu oft stoßen Unternehmen dabei bereits zu Beginn der Überlegungen auf ein weiteres typisches Problem. Viele Organisationen nutzen die Datensicherung aus Bequemlichkeit gleichzeitig als Archiv, um bei Bedarf auf ältere Inhalte, die nur selten benötigt werden, zugreifen zu können. Die EU-DSGVO allerdings schreibt vor, dass Unternehmen über ein so genanntes Opt-in vom Eigentümer der Daten verfügen müssen und personenbezogene Informationen tatsächlich nur so lange aufbewahren, wie sie für die Zusammenarbeit benötigt werden.
Strukturierte und unstrukturierte Daten erfordern unterschiedliche Methoden
In diesem Zusammenhang eignet sich eine Strategie, die Aufbewahrungszeit von Datensicherungen zu verkürzen und die Implementierung eines separaten Archivierungssystems in Erwägung zu ziehen. Datensätze, die beispielsweise mehrere Jahre alt sind, kein laufendes Projekt umfassen und in denen Informationen wie beispielsweise Kreditkartennummern oder Lebensläufe von Personen gespeichert sind, könnten demnach problemlos sofort aus den Primärsystemen gelöscht werden, während das dazugehörige Backup, das diese Daten enthält, nicht länger als zwei Wochen vorgehalten wird.
So muss in einem ersten Schritt festgestellt werden, welche Informationen nicht aufbewahrt werden dürfen und wo sich die Daten überhaupt befinden. Diese Frage lässt sich mit strukturierten Daten in ERP- oder Datenbanksystemen relativ einfach beantworten. Mit unstrukturierten Informationen aus Social Media, Cloud-Computing, E-Mail, SharePoint- und File-Systemen auf Arbeitsrechnern gestaltet sich die Recherche hingegen weit schwieriger. Hier ist das Auffinden und Löschen unter Umständen zeitaufwendig und entsprechend kostenintensiv.
Einfacher geht das mit automatisierten Verfahren auf Basis von Softwarelösungen – sprich der Indexierung von Informationen. Konto- und Kreditkartennummern, Gesundheitsdaten, Partei- oder Gewerkschaftszugehörigkeit bis hin zur sexuellen Orientierung: Maschinelle Methoden ermöglichen es, besonders schützenswerte Informationen nach zuvor festgelegten Regeln aufzuspüren und zu löschen.
Proaktive und reaktive Vorgehensweise erleichtern Einhaltung der EU-DSGVO
Hier empfiehlt sich eine Kombination aus proaktivem und reaktivem Ansatz: Zunächst steht eine Klassifizierung an, die bereits greift, sobald Elemente wie E-Mails gesichert oder archiviert werden. In der Praxis funktioniert das auf Basis einer Engine, die Inhalte nach bestimmten Mustern durchsucht und entsprechend „tagged“ (markiert). Als typisches Beispiel lässt sich hier die Analyse privater E-Mails von GMX oder Gmail anführen.
Andere Regeln ermöglichen es etwa, dass bestimmte E-Mails mit entsprechenden Vertraulichkeitsstufen, etwa diejenigen, die an den Betriebsrat oder einen Geistlichen gehen, nicht gespeichert werden. Der reaktive Ansatz wiederum umfasst ein Verfahren, das alles durchsucht und indexiert, was bereits gespeichert wurde. Unterstützt durch die proaktive Methode lässt sich so der gesamte Datenbestand relativ einfach durchforsten und EU-DSGVO-konform verwalten. Klar ist allerdings auch: Eine 100-prozentige Sicherheit vor Fehltritten wird es nicht geben. Jedoch lässt sich mit dieser Strategie auch im Fall der Fälle klar dokumentieren, dass nach bestem Wissen und Gewissen gehandelt wurde, um die Regularien der Datenschutz-Grundverordnung einhalten zu können.
„Mit unstrukturierten Informationen aus Social Media, Cloud-Computing, E-Mail, SharePoint- und File-Systemen auf Arbeitsrechnern gestaltet sich die Recherche weit schwieriger.“
Mathias Wenig, Veritas
Die Implementierung einer passenden Lösung selbst lässt sich heute relativ einfach bewerkstelligen. Davor gilt es allerdings, organisatorische Maßnahmen für eine saubere Umsetzung zu treffen. Dazu gehört es, sämtliche Unternehmensprozesse auf den Prüfstand zu stellen. Hier werden Fragen geklärt, wie: Welche Daten werden gespeichert und wo? Was geschieht mit den Informationen, wer hat Zugriff und wann werden sie gelöscht? Hinzu kommen personelle Maßnahmen wie Schulungen, Trainings und klare Arbeitsanweisungen, um die Mitarbeiter in der Organisation für den neuen Umgang mit personenbezogenen Daten sensibilisieren zu können.
Als Beispiel lässt sich hier ein Kunde anführen, der darum gebeten hat, von einem Verteiler genommen zu werden oder die Tatsache, dass bestimmte Informationen gar nicht erst aufgenommen werden dürfen. Doch auch Geschäftsführungen und Vorstandsetagen sind nun gefordert, entsprechende Vorkehrungen nicht auf die lange Bank zu schieben, zumal durch eine Nichteinhaltung der gesetzlichen Vorschriften nun schlimmstenfalls sogar die Existenz des Unternehmens auf dem Spiel steht. Dazu gehört es, einen Datenschutzbeauftragten zu benennen, der nicht aus der Geschäftsführung oder IT stammen darf – und einer Maschine zu vertrauen, die dafür entwickelt wurde, EU-DSGVO-relevante Daten unabhängig, unvoreingenommen und zuverlässig zu löschen.
Über den Autor:
Mathias Wenig ist Senior Manager Technology Sales und Digital Transformation in DACH bei Veritas.
Folgen Sie SearchStorage.de auch auf Twitter, Google+, Xing und Facebook!