Persönliche Daten Online und Offline datenschutzkonform verwalten

Ein Schloss hängt von einem Monitor mit Zahlen auf dem Bildschirm
Technik

Persönlich zuordbare Daten webbasiert und nicht webbasiert verordnungskonform der DSGVO verwalten. Die Datenschutz-Grundverordnung, Akronym DSGVO, der EU erhielt im Mai 2016 Rechtsverbindlichkeit. Noch im April 2018 erschienen Veröffentlichungen, die deutlich machen, dass die neue DSGVO noch lange nicht in der Fachpraxis angekommen ist. Zwar können Juristen und Datenschutzbeauftragte, die Inhalte der Grundverordnung rechtlich anwenden, aber die technische Implementierung, die Umsetzung durch die Administratoren lässt weitgehend auf sich warten. Kernziel der DSVO ist ein gemeinsamer Rahmen für das Recht rund um die Verarbeitung und Speicherung persönlich zuordbarer Daten. Ein Argument der anwendenden Fachpraxis ist die erneute Überarbeitung, welche mit dem 25. im Mai 2018 in Wirkung gelangt. Gleichzeitig mit dieser Frist gewährt die EU Milderung für immer noch nicht rechtskonforme Datenhaltung.

Die DSGVO detailliert

Der konkrete Verzögerungsgrund für die Unternehmen ist, die DSGVO bringt unter anderem erheblich erhöhte Pflichten zur Dokumentation. Sie haben allzeit fähig zu sein, ihre Datenverarbeitung als rechtskonform gegenüber Aufsichtsberechtigten nachzuweisen. Die DSGVO gilt für jedes Unternehmen, welches auf konkrete Personen bezogene Daten von abhängig Beschäftigten oder Käufern aufnehmen und dauerhaft halten. Alle Typen Unternehmen von der Agentur, GETAF (Gesellschaft für technische Abwicklung im Finanzwesen), Onlineshops über Hoster, oder Startups sind betroffen, sofern sie digitale Medien nutzen. Die DSGVO legt die ordnungsgemäße Datenverarbeitung fest. Wer Daten nicht belegen kann oder Belege nicht mehr verfügt innerhalb der vorgegebenen Fristen, nimmt empfindliche vom Geschäftsumsatz abhängige Bußgelder in Kauf.

Die DSGVO als technologische Lösung

Viele Software kann aktuell nur einige wenige als wichtig eingestufte Aspekte der Verordnung verwirklichen. Diese betreffen die konforme Archivierung und das Wiederherstellen von Daten nach einem Notfall. Gleichzeitig schätzen Experten den Aufwand für ein Entsprechen der Forderungen der DSGVO als erheblich zeitaufwendig ein. Eine Prüfung auf die Konformität beeinflusst wesentlich die unternehmenseigenen Flüsse der Daten und deren Sicherheit.

Einschränkungen durch das Recht auf Vergessenwerden

Das oft zuerst von Experten genannte Problem ist innerhalb einer von der Verordnung vorgegebenen Frist jeden in den Unternehmensregistern gehaltenen Kunden zu löschen, dieses rechtssicher nachzuweisen und zu dokumentieren, dass auch sicher alle Informationen restlos bis auf geschäftsspezifisch inoperable zu haltende Remnanzdaten mit langen Nachweisfristen entfernt worden sind. Die Datenschutz-Aufsichtsbehörden der EU-Mitgliedstaaten verlangen jedoch bereits jetzt, kurze Fristen von den Unternehmen einzuhalten. Dies gilt vor allem für rechtsverbindliche Erklärung der Lösung gegenüber dem verlangenden Kunden.

Konforme Backuppraxis und Archivierungsstrategien

Die Unternehmen haben die interne Lebensdauer von Backups an die Fristen der Verordnung anzupassen. Geschäftsprozesse müssen eventuell überarbeitet, mehr Personal für kürzere Lebenszeiten der Backups muss eingestellt werden. Zuverlässiges, terminiertes Löschen können automatisierte Tiered-Storage-Mechanisms gewährleisten. Die DSGVO stellt Archive als dem Datenschutz freundlicher gegenüber dem Backup da. Es entlastet die IT-Abteilungen und überlässt dem Datenschutzbeauftragten genügend leichten Zugriff. Unternehmen haben ihre Datensicherung und ihre Archivierung auf Compliance-Lösungen umzustellen, die mit angepassten E-Discovery-Tools und robusten Backup-Anwendungen gebündelt sind. Dabei können sie sinnvoll Priorisierungen von Daten für die Speicherung auf schnellen oder langsameren Speichern nutzen. Kosten entstehen unvermeidlich, sind aber gegenüber den Bußgeldern meist geringer.

CDROM mit einem Schloss

Gegen unvermeidliche Ransomware nutze ein nicht webzugängliches Backup

Auch ein nicht webzugängliches Backup muss die verordnete Aufbewahrungsfrist für das Recht auf Vergessenwerden wahren. Webunzugänglich sollte optimal physisch geschehen und von Ransomware unbemerkt bleiben. Backup oder Archiv sollten als Datenreservoire konform gehalten werden, damit das Löschen auch überprüfbar sicher bleibt. Webunzugänglichkeit kann nur durch physische Trennung vom Web implementiert werden. Dies kann durch getrennte Administratoren erfolgen, wenn temporär für Sicherungszwecke ein Webzugang hergestellt werden sollte.

DSGVO-konforme Sicherheit

Die DSGVO macht zur Pflicht, alle erforderlichen technischen und organisatorischen Methoden anzuwenden, die das Niveau an Sicherheit garantieren, welches den Risiken, die im Unternehmen auftreten, angemessen sind. Personenorientierte Daten sind, außer mitels sicherer Backups und Archive, über den kompletten Lebenszyklus per Verschlüsselung zu behüten. Ein gutes Sicherheitsniveau vermag die lückenlose Verschlüsselung allein nicht bereitzustellen. IT-Verantwortliche haben eine umfassendere Datensicherheit zu implementieren. Grundlage eines adäquaten Sicherheitsniveaus ist, die vertraulichen Daten einschließlich jeder Restdatensatz sicher und dauerhaft löschen zu können. Es dazu eine Vom-Erstellen-zum-Löschen-Integrität der Daten zu erreichen. Dem Standard T10 Protection Information (T10-PI) zu genügen, sichert, dass validierte Daten werden, während derer digitalen Transport. Von den Unternehmen sind Konzepte für Desaster Recovery zu verwirklichen. Diese sollten die permanente Verfügbarkeit und den steten Zugriff auf persönliche Daten bei physischen oder technischen Vorfällen situationsgerecht wiederherstellen können.

Fazit: DSGVO definiert Storage-Compliance neu

Die DSGVO ermöglicht eine hochwertige aber viele Ressourcen erfordernde Storage-Compliance. Die Komplexität lässt sich mit den fachlich korrekten Abstraktionen ohne detaillierte Kosten-Nutzungen-Rechnung angenehm darstellen. Wie viel Aufwand hinter den Konzepten können nur die Unternehmen selbst basierend auf ihrer bisherigen Lage und der notwendigen Transformation zu DSGVO-konformen Lage bewerten. Ob und inwiefern dabei Unternehmen auf der Strecke bleiben und wieder neue Reformen an der DSGVO durch die Praxis motiviert erforderlich werden bleibt offen.

Fisch im Handy - fangfrische Dorade liegt auf einem Teller neben frischen Spargel und Tomaten
Technik
Fisch im Handy – die App als Einkaufsratgeber für Fisch und Meeresfrüchte

Fisch im Handy ist eine Fisch App, die den Verbrauchern helfen soll einen frischen und qualitätsvollen Fisch zu erkennen. Dabei zeigt die App auf dem Handy, ob der Verzehr der gewünschten Fischsorte ökologisch unbedenklich ist. Der Verbaucher kann erfahren auf welche Art der Fisch gefangen wurde und, ob er ökologisch …

NesteQ PC-Netzteil auf dem Tisch liegend
Technik
NesteQ PC-Netzteil – Lohnt sich der Kauf?

Die Firma NesteQ bietet Ihre NesteQ PC-Netzteil Serien in den verschiedensten Ausgangsleistungsstufen an. Beispielsweise beinhaltet die X-Strike-Serie, Modelle mit 400 Watt,500 Watt, 600 Watt, 750 Watt und 1000 Watt. Die E²CS-Serie zeichnet sich durch eine flexible Kabelkonfiguration aus. Das Kabelmanagementsystem gehört mit zu den flexibelsten auf dem Markt. Im Jahre …

EDI Outsourcing - Crossgate & SAP
Technik
EDI – Kompetenz durch SAP und Crossgate

Electronic Data Interchange (kurz EDI) Lösungen von den Herstellern SAP und Crossgate. Das angesprochene Verfahren ist weit verbreitet. Verschiedene Firmen und Unternehmen verwenden dieses System, um mit verschiedenen Niederlassungen ihrer Firma zu kommunizieren. Bestellung und oder Fakturen werden somit übermittelt und einfach verteilt. Schon seit den sechziger Jahren werden dadurch …