Am 25.05.2018 tritt die DSGVO (Datenschutz Grundverordnung) in Kraft. Diese schreibt einige Regelungen zum Thema Datenschutz vor, die Unternehmen unbedingt einhalten müssen. Mai 2018 scheint auf den ersten Blick noch in weiter Ferne zu liegen. Aber mit der DSGVO kann einiges an Aufwand und Arbeit auf Sie zukommen. Daher reicht es nicht, sich wenige Wochen vor Inkrafttreten der Verordnung darum zu kümmern, dass Ihr Unternehmen alle Vorschriften der DSGVO umgesetzt hat. Bei Versäumnissen drohen Ihnen durchaus harte Strafen. Und außerdem ersparen Sie sich eine Menge Stress, wenn Sie sich rechtzeitig um dieses Thema kümmern!
Wir beschäftigen uns hier mit dem Schwerpunkt Datensicherung.
Das Datensicherungskonzept
Warum ist ein Datensicherungskonzept notwendig?
Durch Manipulation (z.B. Hackerangriffe), technisches Versagen oder aber versehentliches Löschen können gespeicherte Daten unbrauchbar werden bzw. verloren gehen. Mit Hilfe einer Datensicherung wird der Datenbestand nicht nur gesichert, sondern es wird auch gewährleistet, dass der IT-Betrieb bzw. Geschäftsbetrieb durch einen redundanten Datenbestand kurzfristig wiederaufgenommen werden kann. Das hat einen klaren Vorteil für Sie: je schneller Sie Ihren Betrieb wieder zum Laufen bringen können, desto weniger Umsatzverluste haben Sie.
Anforderungen an Speichersysteme
1. Gespeicherte Kundendaten müssen lokalisierbar sein
Unter dem Gesichtspunkt der Datenintegrität wird die Lokalisierbarkeit der gespeicherten Daten – aus Unternehmersicht – entscheidend. Unternehmen müssen genau wissen, wo und mit welcher Redundanz personenbezogene Daten abgelegt werden/wurden. Darunter fallen auch angelegte Backups und archivierte Dateien.
2. Neue Richtlinien fordern „belastbare“ Storage-Systeme
Wortwörtlich müssen Storage Systeme „die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen“. Dies bedeutet nicht nur, dass Speichersysteme manipulationssicher, unzugänglich für Unbefugte und belastbar sein müssen, sondern auch, dass das Thema Storage-Resilience (Speicher-Widerstandsfähigkeit) auch aus rechtlicher Sicht ein entscheidender Faktor für den Unternehmenserfolg wird. Das kann beispielsweise bedeuten, dass die für die Umsetzung der Datenschutzbestimmungen Verantwortlichen, bei einem Hackerangriff Auskunft darüber geben müssen, welche Daten gestohlen wurden und durch welche Schwachstelle dies geschehen ist. Ist dies nicht möglich, droht der Gesetzgeber mit hohen Strafen.
3. Speicherdauer und -grund muss genau festgelegt sein
Unternehmen stehen ab Juni 2018 in der Verantwortung ein System zu entwickeln, welches dokumentiert wie Daten hinsichtlich ihrer Dauer und ihrem Grund gespeichert werden. Wenn also Daten gespeichert werden, die nicht dem Privacy Default (Datenschutz Voreinstellungen) entsprechen, muss in der Protokollierung ersichtlich sein, warum dies geschehen ist und ob der Anwender dieser Speicherung zugestimmt hat.
Belastbarkeit der Storage Systeme und das Problem der unpräzisen Definition
Der Begriff der „Belastbarkeit“ wird in Artikel 32 (1b) benannt. Dabei wurde dieser Begriff jedoch nachfolgend nicht weiter erläutert, wie dies beispielsweise bei dem Begriff „Verfügbarkeit“ der Fall ist. Somit lässt dieser Begriff einen gewissen Interpretationsspielraum zu und wird nur durch die Begriffe „Implementierungskosten“, „Stand der Technik“ und der „Art des Umfangs“ eingeschränkt. Bisher wird dieser Punkt von Juristen so ausgelegt, dass Storage Systeme nach dem „Stand der Technik“ eine gewisse Toleranz und Widerstandsfähigkeit gegenüber Fehlern und Störungen aufweisen müssen. Somit stellt die Anforderung der Belastbarkeit vor allem strategische Herausforderungen an Unternehmen und Datenschutzbeauftragte. Sind Strategien zur Disaster Recovery und Business Continuity vorhanden? Wurden Backup Hard- und Software nach diesen Gesichtspunkten ausgewählt? Die neuen Datenschutzbestimmungen auf europäischer Ebene sorgen auch dafür, dass Unternehmen die Verantwortlichkeit für solche Fälle nicht mehr auf Storage Dienstleister abwälzen können. Unmittelbar zusammenhängend mit der „Belastbarkeit“ ist somit auch die Verfügbarkeit der personenbezogenen Daten. Da die EU-Datenschutzverordnung hauptsächlich auf den Schutz von Kunden und Anwendern abzielt, inkludiert dies auch, dass Unternehmen sicherheitstechnisch auf Ransomware- oder Phishing-Attacken vorbereitet sind und nach dem „Stand der Technik“ und Wirtschaftlichkeit bestmöglich auf solche Fälle vorbereitet sind. Ein belastbares Storage System hilft Unternehmen somit, langfristige Verbesserungen der IT-Infrastruktur zu erzielen.
Zusammenfassend kann man sagen, dass die neuen Vorgaben auch von kleinen und mittelständischen Unternehmen (KMU) problemlos und mit überschaubaren finanziellen Mitteln und zeitlichem Aufwand umgesetzt werden können.
Wichtig ist nur, dass sie auch umgesetzt werden!
Für Analysen und Lösungsvorschläge passend zu Ihrem Unternehmen, stehe ich Ihnen selbstverständlich gerne zur Verfügung.