Persönliche Daten Online und Offline datenschutzkonform verwalten

Persönliche Daten online und offline nach DSVGO für maximale Datensicherheit

Persönliche Daten webbasiert und nicht webbasiert verordnungskonform der DSGVO verwalten. Die Datenschutz-Grundverordnung, Akronym DSGVO, der EU erhielt im Mai 2016 Rechtsverbindlichkeit. Noch im April 2018 erschienen Veröffentlichungen, die deutlich machen, dass die neue DSGVO noch lange nicht in der Fachpraxis angekommen ist.

Zwar können Juristen und Datenschutzbeauftragte, die Inhalte der Grundverordnung rechtlich anwenden, aber die technische Implementierung, die Umsetzung durch die Administratoren lässt weitgehend auf sich warten. Kernziel der DSVO ist ein gemeinsamer Rahmen für das Recht rund um die Verarbeitung und Speicherung persönlich zuordbarer Daten. Ein Argument der anwendenden Fachpraxis ist die erneute Überarbeitung, welche mit dem 25. im Mai 2018 in Wirkung gelangt. Gleichzeitig mit dieser Frist gewährt die EU Milderung für immer noch nicht rechtskonforme Datenhaltung.

Die DSGVO detailliert

Der konkrete Verzögerungsgrund für die Unternehmen ist, die DSGVO bringt unter anderem erheblich erhöhte Pflichten zur Dokumentation. Sie haben allzeit fähig zu sein, ihre Datenverarbeitung als rechtskonform gegenüber Aufsichtsberechtigten nachzuweisen. Die DSGVO gilt für jedes Unternehmen, welches auf konkrete Personen bezogene Daten von abhängig Beschäftigten oder Käufern aufnehmen und dauerhaft halten. Alle Typen Unternehmen von der Agentur, GETAF (Gesellschaft für technische Abwicklung im Finanzwesen), der Gaming Bereich, Onlineshops über Hoster, oder Startups sind betroffen, sofern sie digitale Medien nutzen. Die DSGVO legt die ordnungsgemäße Datenverarbeitung fest. Wer Daten nicht belegen kann oder Belege nicht mehr verfügt innerhalb der vorgegebenen Fristen, nimmt empfindliche vom Geschäftsumsatz abhängige Bußgelder in Kauf.

Die DSGVO als technologische Lösung

Viele Software kann aktuell nur einige wenige als wichtig eingestufte Aspekte der Verordnung verwirklichen. Diese betreffen die konforme Archivierung und das Wiederherstellen von persönliche Daten nach einem Notfall. Gleichzeitig schätzen Experten den Aufwand für ein Entsprechen der Forderungen der DSGVO als erheblich zeitaufwendig ein. Eine Prüfung auf die Konformität beeinflusst wesentlich die unternehmenseigenen Flüsse der persönliche Daten und deren Sicherheit.

Einschränkungen durch das Recht auf Vergessenwerden

Das oft zuerst von Experten genannte Problem ist innerhalb einer von der Verordnung vorgegebenen Frist jeden in den Unternehmensregistern gehaltenen Kunden zu löschen, dieses rechtssicher nachzuweisen und zu dokumentieren, dass auch sicher alle Informationen restlos bis auf geschäftsspezifisch inoperable zu haltende Remnanzdaten mit langen Nachweisfristen entfernt worden sind. Die Datenschutz-Aufsichtsbehörden der EU-Mitgliedstaaten verlangen jedoch bereits jetzt, kurze Fristen von den Unternehmen einzuhalten. Dies gilt vor allem für rechtsverbindliche Erklärung der Lösung gegenüber dem verlangenden Kunden.

Konforme Backuppraxis und Archivierungsstrategien

CDROM mit einem Schloss als Sinnbild für Persönliche DatenDie Unternehmen haben die interne Lebensdauer von Backups an die Fristen der Verordnung anzupassen. Geschäftsprozesse müssen eventuell überarbeitet, mehr Personal für kürzere Lebenszeiten der Backups muss eingestellt werden. Zuverlässiges, terminiertes Löschen können automatisierte Tiered-Storage-Mechanisms gewährleisten.

Die DSGVO stellt Archive als dem Datenschutz freundlicher gegenüber dem Backup da. Es entlastet die IT-Abteilungen und überlässt dem Datenschutzbeauftragten genügend leichten Zugriff. Unternehmen haben ihre Datensicherung und ihre Archivierung auf Compliance-Lösungen umzustellen, die mit angepassten E-Discovery-Tools und robusten Backup-Anwendungen gebündelt sind. Dabei können sie sinnvoll Priorisierungen von Daten für die Speicherung auf schnellen oder langsameren Speichern nutzen. Kosten entstehen unvermeidlich, sind aber gegenüber den Bußgeldern meist geringer.

Gegen unvermeidliche Ransomware nutze ein nicht webzugängliches Backup

Auch ein nicht webzugängliches Backup muss die verordnete Aufbewahrungsfrist für das Recht auf Vergessenwerden wahren. Webunzugänglich sollte optimal physisch geschehen und von Ransomware unbemerkt bleiben. Backup oder Archiv sollten als Datenreservoire konform gehalten werden, damit das Löschen auch überprüfbar sicher bleibt. Webunzugänglichkeit kann nur durch physische Trennung vom Web implementiert werden. Dies kann durch getrennte Administratoren erfolgen, wenn temporär für Sicherungszwecke ein Webzugang hergestellt werden sollte.

DSGVO-konforme Sicherheit

Die DSGVO macht zur Pflicht, alle erforderlichen technischen und organisatorischen Methoden anzuwenden, die das Niveau an Sicherheit garantieren, welches den Risiken, die im Unternehmen auftreten, angemessen sind. Personenorientierte Daten sind, außer mitels sicherer Backups und Archive, über den kompletten Lebenszyklus per Verschlüsselung zu behüten. Ein gutes Sicherheitsniveau vermag die lückenlose Verschlüsselung allein nicht bereitzustellen. IT-Verantwortliche haben eine umfassendere Datensicherheit zu implementieren.

Grundlage eines adäquaten Sicherheitsniveaus ist, die vertraulichen Daten einschließlich jeder Restdatensatz sicher und dauerhaft löschen zu können. Es dazu eine Vom-Erstellen-zum-Löschen-Integrität der Daten zu erreichen. Dem Standard T10 Protection Information (T10-PI) zu genügen, sichert, dass validierte Daten werden, während derer digitalen Transport. Von den Unternehmen sind Konzepte für Desaster Recovery zu verwirklichen. Diese sollten die permanente Verfügbarkeit und den steten Zugriff auf persönliche Daten bei physischen oder technischen Vorfällen situationsgerecht wiederherstellen können.

Fazit: DSGVO definiert Storage-Compliance neu

Fazit zu Persönliche Daten Online und Offline datenschutzkonform verwaltenDie DSGVO ermöglicht eine hochwertige aber viele Ressourcen erfordernde Storage-Compliance. Die Komplexität lässt sich mit den fachlich korrekten Abstraktionen ohne detaillierte Kosten-Nutzungen-Rechnung angenehm darstellen. Wie viel Aufwand hinter den Konzepten können nur die Unternehmen selbst basierend auf ihrer bisherigen Lage und der notwendigen Transformation zu DSGVO-konformen Lage bewerten. Ob und inwiefern dabei Unternehmen auf der Strecke bleiben und wieder neue Reformen an der DSGVO durch die Praxis motiviert erforderlich werden bleibt offen.