Persönliche Daten Online und Offline datenschutzkonform verwalten

Ein Schloss hängt von einem Monitor mit Zahlen auf dem Bildschirm
Technik

Persönlich zuordbare Daten webbasiert und nicht webbasiert verordnungskonform der DSGVO verwalten. Die Datenschutz-Grundverordnung, Akronym DSGVO, der EU erhielt im Mai 2016 Rechtsverbindlichkeit. Noch im April 2018 erschienen Veröffentlichungen, die deutlich machen, dass die neue DSGVO noch lange nicht in der Fachpraxis angekommen ist. Zwar können Juristen und Datenschutzbeauftragte, die Inhalte der Grundverordnung rechtlich anwenden, aber die technische Implementierung, die Umsetzung durch die Administratoren lässt weitgehend auf sich warten. Kernziel der DSVO ist ein gemeinsamer Rahmen für das Recht rund um die Verarbeitung und Speicherung persönlich zuordbarer Daten. Ein Argument der anwendenden Fachpraxis ist die erneute Überarbeitung, welche mit dem 25. im Mai 2018 in Wirkung gelangt. Gleichzeitig mit dieser Frist gewährt die EU Milderung für immer noch nicht rechtskonforme Datenhaltung.

Die DSGVO detailliert

Der konkrete Verzögerungsgrund für die Unternehmen ist, die DSGVO bringt unter anderem erheblich erhöhte Pflichten zur Dokumentation. Sie haben allzeit fähig zu sein, ihre Datenverarbeitung als rechtskonform gegenüber Aufsichtsberechtigten nachzuweisen. Die DSGVO gilt für jedes Unternehmen, welches auf konkrete Personen bezogene Daten von abhängig Beschäftigten oder Käufern aufnehmen und dauerhaft halten. Alle Typen Unternehmen von der Agentur, GETAF (Gesellschaft für technische Abwicklung im Finanzwesen), Onlineshops über Hoster, oder Startups sind betroffen, sofern sie digitale Medien nutzen. Die DSGVO legt die ordnungsgemäße Datenverarbeitung fest. Wer Daten nicht belegen kann oder Belege nicht mehr verfügt innerhalb der vorgegebenen Fristen, nimmt empfindliche vom Geschäftsumsatz abhängige Bußgelder in Kauf.

Die DSGVO als technologische Lösung

Viele Software kann aktuell nur einige wenige als wichtig eingestufte Aspekte der Verordnung verwirklichen. Diese betreffen die konforme Archivierung und das Wiederherstellen von Daten nach einem Notfall. Gleichzeitig schätzen Experten den Aufwand für ein Entsprechen der Forderungen der DSGVO als erheblich zeitaufwendig ein. Eine Prüfung auf die Konformität beeinflusst wesentlich die unternehmenseigenen Flüsse der Daten und deren Sicherheit.

Einschränkungen durch das Recht auf Vergessenwerden

Das oft zuerst von Experten genannte Problem ist innerhalb einer von der Verordnung vorgegebenen Frist jeden in den Unternehmensregistern gehaltenen Kunden zu löschen, dieses rechtssicher nachzuweisen und zu dokumentieren, dass auch sicher alle Informationen restlos bis auf geschäftsspezifisch inoperable zu haltende Remnanzdaten mit langen Nachweisfristen entfernt worden sind. Die Datenschutz-Aufsichtsbehörden der EU-Mitgliedstaaten verlangen jedoch bereits jetzt, kurze Fristen von den Unternehmen einzuhalten. Dies gilt vor allem für rechtsverbindliche Erklärung der Lösung gegenüber dem verlangenden Kunden.

Konforme Backuppraxis und Archivierungsstrategien

Die Unternehmen haben die interne Lebensdauer von Backups an die Fristen der Verordnung anzupassen. Geschäftsprozesse müssen eventuell überarbeitet, mehr Personal für kürzere Lebenszeiten der Backups muss eingestellt werden. Zuverlässiges, terminiertes Löschen können automatisierte Tiered-Storage-Mechanisms gewährleisten. Die DSGVO stellt Archive als dem Datenschutz freundlicher gegenüber dem Backup da. Es entlastet die IT-Abteilungen und überlässt dem Datenschutzbeauftragten genügend leichten Zugriff. Unternehmen haben ihre Datensicherung und ihre Archivierung auf Compliance-Lösungen umzustellen, die mit angepassten E-Discovery-Tools und robusten Backup-Anwendungen gebündelt sind. Dabei können sie sinnvoll Priorisierungen von Daten für die Speicherung auf schnellen oder langsameren Speichern nutzen. Kosten entstehen unvermeidlich, sind aber gegenüber den Bußgeldern meist geringer.

CDROM mit einem Schloss

Gegen unvermeidliche Ransomware nutze ein nicht webzugängliches Backup

Auch ein nicht webzugängliches Backup muss die verordnete Aufbewahrungsfrist für das Recht auf Vergessenwerden wahren. Webunzugänglich sollte optimal physisch geschehen und von Ransomware unbemerkt bleiben. Backup oder Archiv sollten als Datenreservoire konform gehalten werden, damit das Löschen auch überprüfbar sicher bleibt. Webunzugänglichkeit kann nur durch physische Trennung vom Web implementiert werden. Dies kann durch getrennte Administratoren erfolgen, wenn temporär für Sicherungszwecke ein Webzugang hergestellt werden sollte.

DSGVO-konforme Sicherheit

Die DSGVO macht zur Pflicht, alle erforderlichen technischen und organisatorischen Methoden anzuwenden, die das Niveau an Sicherheit garantieren, welches den Risiken, die im Unternehmen auftreten, angemessen sind. Personenorientierte Daten sind, außer mitels sicherer Backups und Archive, über den kompletten Lebenszyklus per Verschlüsselung zu behüten. Ein gutes Sicherheitsniveau vermag die lückenlose Verschlüsselung allein nicht bereitzustellen. IT-Verantwortliche haben eine umfassendere Datensicherheit zu implementieren. Grundlage eines adäquaten Sicherheitsniveaus ist, die vertraulichen Daten einschließlich jeder Restdatensatz sicher und dauerhaft löschen zu können. Es dazu eine Vom-Erstellen-zum-Löschen-Integrität der Daten zu erreichen. Dem Standard T10 Protection Information (T10-PI) zu genügen, sichert, dass validierte Daten werden, während derer digitalen Transport. Von den Unternehmen sind Konzepte für Desaster Recovery zu verwirklichen. Diese sollten die permanente Verfügbarkeit und den steten Zugriff auf persönliche Daten bei physischen oder technischen Vorfällen situationsgerecht wiederherstellen können.

Fazit: DSGVO definiert Storage-Compliance neu

Die DSGVO ermöglicht eine hochwertige aber viele Ressourcen erfordernde Storage-Compliance. Die Komplexität lässt sich mit den fachlich korrekten Abstraktionen ohne detaillierte Kosten-Nutzungen-Rechnung angenehm darstellen. Wie viel Aufwand hinter den Konzepten können nur die Unternehmen selbst basierend auf ihrer bisherigen Lage und der notwendigen Transformation zu DSGVO-konformen Lage bewerten. Ob und inwiefern dabei Unternehmen auf der Strecke bleiben und wieder neue Reformen an der DSGVO durch die Praxis motiviert erforderlich werden bleibt offen.

Keine Kommentare

Schreibe einen Kommentar

USB Sticks liegen auf einem Tisch
Technik
Windows auf USB Stick installieren – So geht’s!

Windows 8.1 oder 10 Enterprise bietet die Technologie, mittels dem „Windows To Go“-Wizard eine Installation bootfähig auf USB-Sticks zu machen. Dazu allerdings ist ei Windows-to-Go-zertifiziertet USB-Stick, der relativ teuer ist, unabdingbar erforderlich. Eine USB-Installation ist also technologisch möglich für Enterprise Anwender von Windows – und mit einfachen verfügbaren Methoden ist …

3d pen
Technik
3D Druckstifte – die Top 9 der 3D-Pens für Zeichnen und Malen in 3D

3D Zeichnen ist ein neuer Trend und beliebt bei Künstlern und Hobbyzeichnern. Aus einem 3D Stift kommt keine Tinte, sonder er schmilzt in seinem inneren Plastikfasern. Obwohl es ein neuer Trend ist, ist das Angebot bereits reichhaltig, aber unübersichtlich. Hier folgt ein Vergleich der zehn besten 3D-Pens im Rahmen einer …

qi ladegerät
Technik
Qi-Ladegeräte – Kabelloses Laden nach Wunsch

Ladegeräte sollten smart, einfach zu bedienen sein und natürlich zu einem günstigen Preis erhältlich sein. Qi-Ladegeräte sind Induktionsladegeräte, welche bewirken, dass Sie Ihre Smartphones oder Smartwatches einfach und kabellos aufladen können. Eingebaute Ladestationen sind besonders praktisch, denn der Platzbedarf ist gering und die Funktionsweise sehr effektiv. Höchste Ansprüche in ein …