• Warenkorb
  • Navigation
Ihr Warenkorb
iTernity Blog

Die 5 größten Fallstricke bei der DSGVO-konformen Archivierung

IT-Verantwortliche und Compliance Manager stehen seit Inkrafttreten der DSGVO vor der Herausforderung den hohen Anforderungen an das Datenmanagement gerecht zu werden. Die Vorfälle der vergangenen Jahre zeigen, dass einige Fallstricke bei der Datenarchivierung für Strafen in Rekordsummenhöhe sorgen – und dabei einfach vermeidbar sind.

Seit dem Inkrafttreten der EU-Datenschutzgrundverordnung am 25. Mai 2018 kann der einzelne EU-Bürger darauf zählen, dass seine Daten nach einheitlicher Gesetzgebung geschützt werden und er die Hoheit darüber hat, ob und wie seine Daten weiterverwendet werden. Aus Perspektive der Verbraucher ist die DSGVO ein deutlicher Fortschritt in Sachen Datenschutz.

 

Nach zwei Jahren haben jedoch viele Unternehmen noch nicht die entsprechenden Maßnahmen getroffen, um den Anforderungen gerecht zu werden. Unternehmen müssen dafür sorgen, dass Daten nach den Vorgaben der DSGVO gespeichert und verarbeitet werden. Interne Prozesse, Datenmanagement und -archivierung müssen überdacht und optimiert werden.

 

Ein Beispiel für ein Unternehmen, das zu spät handelte, ist die Wohnungsgesellschaft Deutsche Wohnen. Diese wurde Ende 2019 zu einer Summe von 14 Millionen Euro verurteilt. Ein entscheidender Grund dafür: Das Archivsystem hatte keine Löschmöglichkeit. Personenbezogene Informationen von Kunden und Interessenten wurden dadurch über Jahre aufbewahrt, auch wenn kein Mietverhältnis mehr bestand oder der Zweck der Datenverarbeitung erloschen war.

 

Zwischen 2018 und Ende 2019 wurden insgesamt mehr als 160.000 DSGVO-Verstöße registriert – 247 pro Tag! Die Strafen werden dabei immer weiter angezogen. Es herrscht noch dringender Handlungsbedarf, auch viele Monate nach Inkrafttreten der DSGVO. Aber wie kommt es dazu, dass Unternehmen überhaupt in eine solche Lage geraten? Wir verraten Ihnen, welche 5 Fallstricke Organisationen meistern müssen.

Die 5 größten Fallstricke der DSGVO-konformen Datenarchivierung

1. Aufbewahrungspflichten einhalten (Retention Management)

Unternehmen sind dazu verpflichtet, bereits zum Zeitpunkt der Datenerhebung anzugeben, wie lange personenbezogene Daten aufbewahrt werden. Diese Aufbewahrungszeiten orientieren sich zumeist an Fristen, die durch andere Reglementierungen, wie z. B. die GoBD festgelegt sind.

 

Bestimmte Daten müssen mit einem Zeitstempel (Retention-Period) versehen werden und dürfen/müssen erst nach Ablauf dieser Frist gelöscht werden. In dieser Zeitspanne müssen die Daten unveränderbar und vor dem Löschen geschützt archiviert werden. Welche Möglichkeiten bieten Ihre Unternehmensanwendungen oder Ihre Archivsoftware für das Retention Management?

 

Durch zusätzliche WORM (Write Once Read Many)-Schutzmechanismen ist die Löschung, Manipulation oder Veränderbarkeit innerhalb der Aufbewahrungsfrist nicht möglich.

2. Das Recht auf Vergessenwerden: Daten während der Aufbewahrungsfrist löschen

Es klingt paradox, wird jedoch von der DSGVO klar vorgeschrieben: das Recht auf Vergessenwerden bzw. Recht auf Löschung. In diesem Punkt treffen zwei widersprüchliche Anforderungen aufeinander. Ihr Archiv muss einerseits gewährleisten, dass Daten für einen bestimmten Zeitraum nicht verändert oder gelöscht werden. Gleichzeitig müssen Sie eine Möglichkeit schaffen diese Regel zu durchbrechen, für den Fall, dass z. B. eine Person die Einwilligung zur Datenverarbeitung durch Ihr Unternehmen zurückzieht.

 

Durch eine Special Delete Funktion und einen klar definierten, rechtskonformen Löschprozess haben Sie die Möglichkeit, diesen Spagat zu meistern und archivierte Daten korrekt vor Ablauf der Aufbewahrungsfrist zu löschen.

3. Public Cloud und Datensicherheit

Cloud Computing entwickeln sich zu einem allgemeinen Standard in Unternehmen. Heute sind rund 50 Prozent der Unternehmensdaten in der Cloud gespeichert.

 

Je mehr Daten in eine Cloud fließen, desto komplexer wird die Gewährleistung der Datensicherheit. So wurden 2019 bei fast jedem zweiten Unternehmen eine Verletzung der Datensicherheit festgestellt - auch Fälle, bei denen zum Teil sensible Daten unverschlüsselt abgelegt wurden.

 

Ziehen Sie also auch On-Premise Alternativen in Betracht. Damit bewahren Sie die Hoheit über Ihre Daten und haben mehr Kontrolle über die Datensicherheit. Mit modernen software-basierten Lösungen haben Sie zudem dieselben Vorteile wie Cloud Storage Optionen bei deutlich geringeren Kosten, wie eine aktuelle ESG Studie belegt.

4. Veränderungen und Manipulationsversuche dokumentieren

Falls es zu einem Fehler oder einem Manipulationsversuch in Ihrem Archivsystem kommen sollte, ist es wichtig, diese Veränderungsversuche nachweisen zu können. Die Dokumentation Ihrer Datenverarbeitungsprozesse gewinnt entscheidend an Bedeutung.

 

Ein sogenannter Audit Trail kommt hier zum Zuge, wodurch alle Vorgänge in Ihrem Archiv dokumentiert werden. Dies umfasst die Protokollierung der Erstellung, Aufbewahrung, Wartung, Nutzung und Entsorgung aller Datensätzen. Mithilfe dieser Dokumentation haben Sie die Möglichkeit, die Ursachen genau zu lokalisieren. Gleichzeitig wird erfasst, welchem Benutzer ein Ereignis zuzuordnen ist. Durch einen Zeitstempel wissen Sie auch, wann ein Ereignis stattgefunden hat. Benutzer dürfen natürlich keinen Zugriff auf das Audit Trail haben, da dieses ebenso vor Manipulationen geschützt werden muss.

5. Integritätsschutz und dauerhafte Datenkonsistenz

Vergessen Sie nicht, dass es während des Archivierungsbetriebs und der Speicherung von Daten zu Fehlern kommen kann (Stichwort bit rot und silent data corruption). Um die Datenintegrität dauerhaft und effizient zu schützen, sind gewisse Automatismen nötig, die diese Fehler aufspüren und im besten Fall direkt lösen.

 

Stellen sie sich beispielsweise ein Pharmaunternehmen vor, das kurz vor der Markteinführung eines Medikaments steht. Die Aufsichtsbehörde prüft die Sicherheit dieses Medikaments, kann aber keine Zulassung erteilen, da wichtige Daten zur Qualitätskontrolle nicht mehr lesbar sind oder fehlen. Ihre Archivlösung muss in der Lage sein diese Fehler zu identifizieren. Durch eine Self-Healing Funktion replizierter Daten und mithilfe automatischer Hash-Wert Kontrollen können beschädigte Datensätze identifiziert und durch den validen Datensatz ausgetauscht werden.

Die DSGVO ist mehr als nur eine Dokumentationsaufgabe. Sie nimmt sowohl IT-Infrastrukturen als auch die Optimierung von Archivsystemen in Anspruch. Investitionen in eine DSGVO-konforme IT-Infrastruktur lohnen sich, denn ein Verstoß kann teurer werden. Verstöße können mit 2 % des weltweiten Umsatzes oder mit 10 Mio. Euro Bußgeld geahndet werden, bei schweren Verstößen mit sogar 4 % oder 20 Mio. Euro.

 

Verfangen Sie sich nicht in vermeidbare Fallstricke. Verhindern Sie, falls Sie es noch nicht schon längst getan haben, dass es überhaupt soweit kommen kann, indem Sie Ihre Prozesse überarbeiten, die nötige Infrastruktur dafür schaffen und Ihre Daten DSGVO-konform speichern und archivieren.

DSGVO Whitepaper

In diesem Whitepaper zeigen wir auf, wie iCAS die technischen Anforderungen der DSGVO erfüllt und dadurch eine solide Basis für rechtssicheres Datenmanagement schafft. Der Archivspeicher iCAS wurde von der KPMG hinsichtlich der Anforderungen der DSGVO geprüft.

Whitepaper herunterladen
Insights, News & Events | Bleiben Sie auf dem Laufenden!
Zum Newsletter anmelden