DSGVO-konforme Archivierung

IT-Verantwortliche und Compliance Manager stehen seit Inkrafttreten der DSGVO vor der Herausforderung, den hohen Anforderungen an das Datenmanagement gerecht zu werden. Es drohen hohe Strafen: bis zu 4% des globalen Jahresumsatzes oder 20 Millionen Euro betragen die Strafzahlungen im Fall einer schwerwiegenden Verletzung der DSGVO.

Viele Unternehmen haben noch nicht die entsprechenden Maßnahmen für eine Archivierung im Sinne der DSGVO getroffen. Die Vorfälle der vergangenen Jahre zeigen, dass einige Fallstricke bei der Datenarchivierung für Strafen in Rekordsummenhöhe sorgen – aber vermeidbar sind.

Ein Beispiel für ein Unternehmen, das zu spät handelte, ist die Wohnungsgesellschaft Deutsche Wohnen. Diese wurde Ende 2019 zu einer Summe von 14 Millionen Euro verurteilt. Ein entscheidender Grund dafür: Das Archivsystem hatte keine Löschmöglichkeit. Personenbezogene Informationen von Kunden und Interessenten wurden dadurch über Jahre aufbewahrt, auch wenn kein Mietverhältnis mehr bestand oder der Zweck der Datenverarbeitung erloschen war.

Die Strafen werden immer weiter angezogen. Es herrscht Handlungsbedarf, auch Jahre nach Inkrafttreten der DSGVO. Aber wie kommt es dazu, dass Unternehmen überhaupt in eine solche Lage geraten? Wir verraten Ihnen, welche 5 Fallstricke Organisationen im Zusammenhang mit der DSGVO und Archivierung meistern müssen.

1. Aufbewahrungspflichten einhalten (Retention Management)

Unternehmen sind dazu verpflichtet, bereits zum Zeitpunkt der Datenerhebung anzugeben, wie lange personenbezogene Daten aufbewahrt werden. Diese Aufbewahrungszeiten orientieren sich zumeist an Fristen, die durch andere Reglementierungen, wie z. B. die GoBD festgelegt sind.

Bestimmte Daten müssen mit einem Zeitstempel (Retention-Period) versehen werden und dürfen/müssen erst nach Ablauf dieser Frist gelöscht werden. In dieser Zeitspanne müssen die Daten unveränderbar und vor dem Löschen geschützt archiviert werden. Welche Möglichkeiten bieten Ihre Unternehmensanwendungen oder Ihre Archivsoftware für das Retention Management?

Durch zusätzliche WORM (Write Once Read Many)-Schutzmechanismen ist die Löschung, Manipulation oder Veränderbarkeit innerhalb der Aufbewahrungsfrist nicht möglich.

2. Das Recht auf Vergessenwerden: Daten während der Aufbewahrungsfrist löschen

Es klingt paradox, wird jedoch von der DSGVO klar vorgeschrieben: das Recht auf Vergessenwerden bzw. Recht auf Löschung. In diesem Punkt treffen zwei widersprüchliche Anforderungen aufeinander.

Ihr Archiv muss einerseits gewährleisten, dass Daten für einen bestimmten Zeitraum nicht verändert oder gelöscht werden. Gleichzeitig müssen Sie eine Möglichkeit schaffen diese Regel zu durchbrechen, für den Fall, dass z. B. eine Person die Einwilligung zur Datenverarbeitung durch Ihr Unternehmen zurückzieht.

Durch eine Special Delete Funktion und einen klar definierten, rechtskonformen Löschprozess haben Sie die Möglichkeit, diesen Spagat zu meistern und archivierte Daten korrekt vor Ablauf der Aufbewahrungsfrist zu löschen.

3. Public Cloud und Datensicherheit

Cloud Computing entwickeln sich zu einem allgemeinen Standard in Unternehmen. Heute sind rund 50 Prozent der Unternehmensdaten in der Cloud gespeichert.

Je mehr Daten in eine Cloud fließen, desto komplexer wird die Gewährleistung der Datensicherheit. So wurden 2019 bei fast jedem zweiten Unternehmen eine Verletzung der Datensicherheit festgestellt – auch Fälle, bei denen zum Teil sensible Daten unverschlüsselt abgelegt wurden.

Ziehen Sie also auch On-Premise Alternativen in Betracht. Damit bewahren Sie die Hoheit über Ihre Daten und haben mehr Kontrolle über die Datensicherheit.

Mit modernen software-basierten Lösungen haben Sie zudem dieselben Vorteile wie Cloud Storage Optionen bei deutlich geringeren Kosten, wie eine aktuelle ESG Studie belegt.

4. Veränderungen und Manipulationsversuche dokumentieren

Falls es zu einem Fehler oder einem Manipulationsversuch in Ihrem Archivsystem kommen sollte, ist es wichtig, diese Veränderungsversuche nachweisen zu können. Die Dokumentation Ihrer Datenverarbeitungsprozesse gewinnt entscheidend an Bedeutung.

Ein sogenannter Audit Trail kommt hier zum Zuge, wodurch alle Vorgänge in Ihrem Archiv dokumentiert werden. Dies umfasst die Protokollierung der Erstellung, Aufbewahrung, Wartung, Nutzung und Entsorgung aller Datensätzen. Mithilfe dieser Dokumentation haben Sie die Möglichkeit, die Ursachen genau zu lokalisieren. Gleichzeitig wird erfasst, welchem Benutzer ein Ereignis zuzuordnen ist. Durch einen Zeitstempel wissen Sie auch, wann ein Ereignis stattgefunden hat. Benutzer dürfen natürlich keinen Zugriff auf das Audit Trail haben, da dieses ebenso vor Manipulationen geschützt werden muss.

5. Integritätsschutz und dauerhafte Datenkonsistenz

Vergessen Sie nicht, dass es während des Archivierungsbetriebs und der Speicherung von Daten zu Fehlern kommen kann (Stichwort "bit rot" und "silent data corruption"). Um die Datenintegrität dauerhaft und effizient zu schützen, sind gewisse Automatismen nötig, die diese Fehler aufspüren und im besten Fall direkt lösen.

Stellen Sie sich beispielsweise ein Pharmaunternehmen vor, das kurz vor der Markteinführung eines Medikaments steht. Die Aufsichtsbehörde prüft die Sicherheit dieses Medikaments, kann aber keine Zulassung erteilen, da wichtige Daten zur Qualitätskontrolle nicht mehr lesbar sind oder fehlen.

Ihre Archivlösung muss in der Lage sein diese Fehler zu identifizieren. Durch eine Self-Healing Funktion replizierter Daten und mithilfe automatischer Hash-Wert Kontrollen können beschädigte Datensätze identifiziert und durch den validen Datensatz ausgetauscht werden.

Die DSGVO nimmt sowohl IT-Infrastrukturen als auch die Optimierung von Archivsystemen in Anspruch. Investitionen in eine DSGVO-konforme IT-Infrastruktur lohnen sich, denn ein Verstoß kann teurer werden.

Verfangen Sie sich nicht in vermeidbare Fallstricke. Verhindern Sie, falls Sie es noch nicht schon längst getan haben, dass es überhaupt soweit kommen kann, indem Sie Ihre Prozesse überarbeiten, die nötige Infrastruktur dafür schaffen und Ihre Daten DSGVO-konform speichern und archivieren.

Software-Defined Archiving (SDA) liefert den Software-Layer zwischen über 120 Geschäftsanwendungen und der Speicherhardware. Durch die Verlagerung der Funktionalität von der Hardware auf den SDA-Layer wird die Archivierung extrem flexibel und praktisch beliebig skalierbar. So unterstützt unsere Software bei der DSGVO-konformen Datenarchivierung:

• KPMG zertifizierte Lösung
  Unsere Software wurde durch die KPMG auf DSGVO-Konformität geprüft und zertifiziert.
• Datenintegrität
  Durch die Speicherung aller Informationen (Nutzdaten, Metadaten, Hash-Werte) in selbsttragenden und sicheren Archivcontainern ist die Integrität Ihrer Geschäftsdaten gesichert.
• Verschlüsselung
  Unsere Software ermöglicht eine AES-256 Verschlüsselung, um unautorisierten Zugang zu Ihren Archivdaten zu unterbinden.
• Trennung von Mandanten, Nutzdaten und Metadaten
  Die Mandantenfähigkeit erlaubt eine sichere Trennung von Archivdaten in unterschiedlichen Repositories. Nutz- und Metadaten sind streng getrennt.
• Zugangskontrolle
  Alle Zugriffe auf das Datenarchiv werden lückenlos in einem Audit-Trail protokolliert. Zugang zu personenbezogenen Daten wird nur autorisierten Nutzern gewährt.
• Retention Management
  Zeitstempel, Sperrkonzept und WORM Funktionalität stellen die korrekte Speicherung Ihrer Daten im Rahmen von gesetzlichen Aufbewahrungspflichten sicher.
• Datenkonsistenz
  Die Self-Healing Funktion erlaubt eine Speicherung von Daten auf mehreren Pfaden (Replikation). Um die Konsistenz und Integrität Ihrer Daten auf allen Pfaden zu gewährleisten, können beschädigte Objekte automatisch identifiziert und mit validen Daten ersetzt werden.