• Navigation
  • Warenkorb
Unternehmensdaten archivieren unter der DSGVO

DSGVO-konforme Archivierung

Scroll

DSGVO und Archivierung: Die Herausforderung für Unternehmen

Für viele Unternehmen ist die EU Datenschutzgrundverordnung (DSGVO) mit enormen Risiken und ungewissen Kosten verbunden.

 

Vorgaben wie Recht auf Vergessenwerden, Integritätsschutz, Verschlüsselung und Privacy-by-Design müssen für eine DSGVO-konforme Archivierung dringend umgesetzt werden.

IT-Verantwortliche und Compliance Manager stehen seit Inkrafttreten der DSGVO vor der Herausforderung, den hohen Anforderungen an das Datenmanagement gerecht zu werden. Es drohen hohe Strafen: bis zu 4% des globalen Jahresumsatzes oder 20 Millionen Euro betragen die Strafzahlungen im Fall einer schwerwiegenden Verletzung der DSGVO.

 

Viele Unternehmen haben noch nicht die entsprechenden Maßnahmen für eine Archivierung im Sinne der DSGVO getroffen. Die Vorfälle der vergangenen Jahre zeigen, dass einige Fallstricke bei der Datenarchivierung für Strafen in Rekordsummenhöhe sorgen – aber vermeidbar sind.

 

Ein Beispiel für ein Unternehmen, das zu spät handelte, ist die Wohnungsgesellschaft Deutsche Wohnen. Diese wurde Ende 2019 zu einer Summe von 14 Millionen Euro verurteilt. Ein entscheidender Grund dafür: Das Archivsystem hatte keine Löschmöglichkeit. Personenbezogene Informationen von Kunden und Interessenten wurden dadurch über Jahre aufbewahrt, auch wenn kein Mietverhältnis mehr bestand oder der Zweck der Datenverarbeitung erloschen war.

 

Die Strafen werden immer weiter angezogen. Es herrscht Handlungsbedarf, auch Jahre nach Inkrafttreten der DSGVO. Aber wie kommt es dazu, dass Unternehmen überhaupt in eine solche Lage geraten? Wir verraten Ihnen, welche 5 Fallstricke Organisationen im Zusammenhang mit der DSGVO und Archivierung meistern müssen.

Die 5 größten Fallstricke der DSGVO-konformen Archivierung

1. Aufbewahrungspflichten einhalten (Retention Management)

Unternehmen sind dazu verpflichtet, bereits zum Zeitpunkt der Datenerhebung anzugeben, wie lange personenbezogene Daten aufbewahrt werden. Diese Aufbewahrungszeiten orientieren sich zumeist an Fristen, die durch andere Reglementierungen, wie z. B. die GoBD festgelegt sind.

 

Bestimmte Daten müssen mit einem Zeitstempel (Retention-Period) versehen werden und dürfen/müssen erst nach Ablauf dieser Frist gelöscht werden. In dieser Zeitspanne müssen die Daten unveränderbar und vor dem Löschen geschützt archiviert werden. Welche Möglichkeiten bieten Ihre Unternehmensanwendungen oder Ihre Archivsoftware für das Retention Management?

 

Durch zusätzliche WORM (Write Once Read Many)-Schutzmechanismen ist die Löschung, Manipulation oder Veränderbarkeit innerhalb der Aufbewahrungsfrist nicht möglich.

2. Das Recht auf Vergessenwerden: Daten während der Aufbewahrungsfrist löschen

Es klingt paradox, wird jedoch von der DSGVO klar vorgeschrieben: das Recht auf Vergessenwerden bzw. Recht auf Löschung. In diesem Punkt treffen zwei widersprüchliche Anforderungen aufeinander.

 

Ihr Archiv muss einerseits gewährleisten, dass Daten für einen bestimmten Zeitraum nicht verändert oder gelöscht werden. Gleichzeitig müssen Sie eine Möglichkeit schaffen diese Regel zu durchbrechen, für den Fall, dass z. B. eine Person die Einwilligung zur Datenverarbeitung durch Ihr Unternehmen zurückzieht.

 

Durch eine Special Delete Funktion und einen klar definierten, rechtskonformen Löschprozess haben Sie die Möglichkeit, diesen Spagat zu meistern und archivierte Daten korrekt vor Ablauf der Aufbewahrungsfrist zu löschen.

3. Public Cloud und Datensicherheit

Cloud Computing entwickeln sich zu einem allgemeinen Standard in Unternehmen. Heute sind rund 50 Prozent der Unternehmensdaten in der Cloud gespeichert.

 

Je mehr Daten in eine Cloud fließen, desto komplexer wird die Gewährleistung der Datensicherheit. So wurden 2019 bei fast jedem zweiten Unternehmen eine Verletzung der Datensicherheit festgestellt – auch Fälle, bei denen zum Teil sensible Daten unverschlüsselt abgelegt wurden.

 

Ziehen Sie also auch On-Premise Alternativen in Betracht. Damit bewahren Sie die Hoheit über Ihre Daten und haben mehr Kontrolle über die Datensicherheit.

 

Mit modernen software-basierten Lösungen haben Sie zudem dieselben Vorteile wie Cloud Storage Optionen bei deutlich geringeren Kosten, wie eine aktuelle ESG Studie belegt.

4. Veränderungen und Manipulationsversuche dokumentieren

Falls es zu einem Fehler oder einem Manipulationsversuch in Ihrem Archivsystem kommen sollte, ist es wichtig, diese Veränderungsversuche nachweisen zu können. Die Dokumentation Ihrer Datenverarbeitungsprozesse gewinnt entscheidend an Bedeutung.

 

Ein sogenannter Audit Trail kommt hier zum Zuge, wodurch alle Vorgänge in Ihrem Archiv dokumentiert werden. Dies umfasst die Protokollierung der Erstellung, Aufbewahrung, Wartung, Nutzung und Entsorgung aller Datensätzen. Mithilfe dieser Dokumentation haben Sie die Möglichkeit, die Ursachen genau zu lokalisieren. Gleichzeitig wird erfasst, welchem Benutzer ein Ereignis zuzuordnen ist. Durch einen Zeitstempel wissen Sie auch, wann ein Ereignis stattgefunden hat. Benutzer dürfen natürlich keinen Zugriff auf das Audit Trail haben, da dieses ebenso vor Manipulationen geschützt werden muss.

5. Integritätsschutz und dauerhafte Datenkonsistenz

Vergessen Sie nicht, dass es während des Archivierungsbetriebs und der Speicherung von Daten zu Fehlern kommen kann (Stichwort "bit rot" und "silent data corruption"). Um die Datenintegrität dauerhaft und effizient zu schützen, sind gewisse Automatismen nötig, die diese Fehler aufspüren und im besten Fall direkt lösen.

 

Stellen Sie sich beispielsweise ein Pharmaunternehmen vor, das kurz vor der Markteinführung eines Medikaments steht. Die Aufsichtsbehörde prüft die Sicherheit dieses Medikaments, kann aber keine Zulassung erteilen, da wichtige Daten zur Qualitätskontrolle nicht mehr lesbar sind oder fehlen.

 

Ihre Archivlösung muss in der Lage sein diese Fehler zu identifizieren. Durch eine Self-Healing Funktion replizierter Daten und mithilfe automatischer Hash-Wert Kontrollen können beschädigte Datensätze identifiziert und durch den validen Datensatz ausgetauscht werden.

Anforderungen an eine DSGVO-konforme Archivierung

"Viele Vorgaben der DSGVO sind auf Basis einer zentralen Archivierungsplattform einfacher umzusetzen. An erster Stelle fordert die DSGVO eine Überprüfung und Optimierung der bestehenden Geschäftsprozesse. Technologische Lösungen bilden erst den zweiten Schritt, sie helfen jedoch maßgeblich bei der Umsetzung und dauerhaften Einhaltung der Regelungen."

Werner Bachmann

Rechtsanwalt mit den Schwerpunkten IT Compliance und Datenschutz

DSGVO & Archivierung: mehr als nur eine Dokumentationsaufgabe

Die DSGVO nimmt sowohl IT-Infrastrukturen als auch die Optimierung von Archivsystemen in Anspruch. Investitionen in eine DSGVO-konforme IT-Infrastruktur lohnen sich, denn ein Verstoß kann teurer werden.

 

Verfangen Sie sich nicht in vermeidbare Fallstricke. Verhindern Sie, falls Sie es noch nicht schon längst getan haben, dass es überhaupt soweit kommen kann, indem Sie Ihre Prozesse überarbeiten, die nötige Infrastruktur dafür schaffen und Ihre Daten DSGVO-konform speichern und archivieren.

Whitepaper: Rechtliche Anforderungen an die Archivierung

Die deutschen Gesetze hinsichtlich des Datenschutzes und der Informationssicherheit sollen einen verlässlichen Schutz der Integrität, Vertraulichkeit und Verfügbarkeit von Unternehmensdaten schaffen. Dieses Whitepaper gibt einen Überblick über die wesentlichen Aspekte des deutschen Rechts im Hinblick auf die gesetzeskonforme Archivierung von Unternehmensdaten.

 

Im Detail werden die EU-DSGVO, die GoBD, das IT-Sicherheitsgesetz und der Schutz von Geschäftsgeheimnissen sowie deren Anforderungen an die Langzeitarchivierung und das Management von Unternehmensdaten behandelt.

Whitepaper herunterladen

DSGVO-konform archivieren mit iTernity

Software-Defined Archiving (SDA) liefert den Software-Layer zwischen über 120 Geschäftsanwendungen und der Speicherhardware. Durch die Verlagerung der Funktionalität von der Hardware auf den SDA-Layer wird die Archivierung extrem flexibel und praktisch beliebig skalierbar. So unterstützt unsere Software bei der DSGVO-konformen Datenarchivierung:

 

  • KPMG zertifizierte Lösung
    Unsere Software wurde durch die KPMG auf DSGVO-Konformität geprüft und zertifiziert.
  • Datenintegrität
    Durch die Speicherung aller Informationen (Nutzdaten, Metadaten, Hash-Werte) in selbsttragenden und sicheren Archivcontainern ist die Integrität Ihrer Geschäftsdaten gesichert.
  • Verschlüsselung
    Unsere Software ermöglicht eine AES-256 Verschlüsselung, um unautorisierten Zugang zu Ihren Archivdaten zu unterbinden.
  • Trennung von Mandanten, Nutzdaten und Metadaten
    Die Mandantenfähigkeit erlaubt eine sichere Trennung von Archivdaten in unterschiedlichen Repositories. Nutz- und Metadaten sind streng getrennt.
  • Zugangskontrolle
    Alle Zugriffe auf das Datenarchiv werden lückenlos in einem Audit-Trail protokolliert. Zugang zu personenbezogenen Daten wird nur autorisierten Nutzern gewährt.
  • Retention Management
    Zeitstempel, Sperrkonzept und WORM Funktionalität stellen die korrekte Speicherung Ihrer Daten im Rahmen von gesetzlichen Aufbewahrungspflichten sicher.
  • Datenkonsistenz
    Die Self-Healing Funktion erlaubt eine Speicherung von Daten auf mehreren Pfaden (Replikation). Um die Konsistenz und Integrität Ihrer Daten auf allen Pfaden zu gewährleisten, können beschädigte Objekte automatisch identifiziert und mit validen Daten ersetzt werden.

Zertifizierte Lösungen für DSGVO konforme Archivierung

DSGVO Konformität geprüft durch die KPMG

iTernity wurde einer ausführlichen Prüfung der KPMG unterzogen. Die Wirtschaftsprüfer bestätigen die Einhaltung der Vorschriften der Datenschutz-Grundverordnung (DSGVO) sowie die Umsetzung der "Privacy-by-Default" und "Privacy-by-Design" Grundsätze.

Zum KPMG Bericht

Mehr zum Thema

Alles über Archivierung

Was ist Archivierung? Welche Herausforderungen und Vorteile gibt es? Was hat es mit Revisionssicherheit, Datenintegrität und WORM-Speicherung auf sich? Hier erfahren Sie alles, was Sie über digitale Archivierung wissen müssen.
Lesen Sie mehr

10 Erfolgsfaktoren für DSGVO-konforme Datenspeicherung

Lesen Sie mehr

Revisionssichere Archivierung

Lesen Sie mehr

Whitepaper: Wie iCAS die Anforderungen der DSGVO erfüllt

Lesen Sie mehr
Insights, News & Events | Bleiben Sie auf dem Laufenden!
Zum Newsletter anmelden