Anzeige

Anzeige

VERANSTALTUNGEN

eoSearchSummit
06.02.20 - 06.02.20
In Würzburg, Congress Centrum

DSAG-Technologietage 2020
11.02.20 - 12.02.20
In Mannheim, Congress Center Rosengarten

E-commerce Berlin Expo
13.02.20 - 13.02.20
In Berlin

KI Marketing Day - Konferenz
18.02.20 - 18.02.20
In Wien

DIGITAL FUTUREcongress
18.02.20 - 18.02.20
In Frankfurt a.M.

Anzeige

Anzeige

Backup Plan 453703744 700

Bei der Umsetzung der EU-Datenschutz-Grundverordnung im Unternehmen stellt sich ganz akut die Frage, was mit Backups geschehen soll. Die DSGVO fordert, dass Unternehmen umfassend darüber Bescheid wissen müssen, welche Daten gespeichert sind. Dabei gilt es, Daten sicher zu halten und gleichzeitig das Recht auf Löschung zu respektieren. 

Rubrik beleuchtet die Anforderungen an Backups im Rahmen der DSGVO und gibt Tipps zur praktischen Umsetzung.

Zunächst besteht die Herausforderung besteht darin, zu wissen, welche Daten vorhanden sind. Herkömmlicherweise ist Backup-Datenmanagement mit großem Aufwand verbunden. Sobald die Daten in einem Band „eingeschlossen“ sind, wird es in Zukunft unglaublich schwierig sein, zu wissen, was sich darin befindet. Dies ist immer noch der Fall in vielen nicht-physischen Backup-Systemen, in denen ein vollständiges System-Snapshot vorliegt, aber keine Möglichkeit besteht, den Inhalt abzufragen. Die einfache Antwort darauf ist, diese Vorgehensweise zu beenden. Dies bedeutet, Daten nicht mehr an schwer zugänglichen Orten wegzusperren und stattdessen ein ganz neues Backup-System einzuführen. Sichtbarkeit ist entscheidend, wenn es um Sicherheit und Datenschutz geht. Daher muss das Backup-Tool-Set praktische Such- und Abfrage-Tools enthalten, um jederzeit die Kontrolle über die Daten zu behalten.

In Artikel 32 (1.b) der DSGVO wird die Fähigkeit gefordert, „die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen“. Eine zuverlässige Datensicherung sollte daher im Mittelpunkt jeder Unternehmens-IT-Strategie stehen. Eines der Probleme bei umfangreichen Backups sind jedoch Richtlinien zur Datenspeicherung und die Notwendigkeit, Daten proaktiv zu löschen, wenn sie das Ende ihrer Lebensdauer erreicht haben. Die Aufbewahrungsrichtlinien sollten so streng wie möglich sein, aber hier ergibt sich eine weitere Herausforderung. Ein gutes Beispiel hierfür ist die Welt der Datenbanksicherungen, bei der einige Sicherungsprodukte die Zuweisung von Aufbewahrungsrichtlinien auf der granularen Datenbankebene nicht ermöglichen. Wenn also eine Datenbank regulatorisch relevante Finanzdaten und eine andere transiente Benutzerdaten enthält, müssen beide für die gleiche Zeit aufbewahrt werden.

Unternehmen sollten sich nach Meinung von Rubrik, nicht durch konventionelle Backup-Methoden einengen lassen. Diese unterlaufen die Fähigkeit, Daten wirklich zu schützen. Was erforderlich ist, sind Tools, die eine genaue Kontrolle darüber bieten, wie die Daten gesichert werden. Nur sieben Jahre lang alles wegzusperren, weil es sich „richtig anfühlt“, reicht heute nicht mehr.

Wenn Unternehmen ihre Backup-Strategie überdenken, haben sie die Möglichkeit zu beurteilen, warum sie überhaupt Backups durchführen. Ist es wegen der Resilienz? Wenn ja, warum sollten sie ein CRM-Backup für zwei Jahre aufbewahren, wenn die ältesten Daten, die davon jemals wiederhergestellt werden würden, drei Monate alt sind? Dient das Backup für das Beibehalten von Snapshots, um die Vorschriften zu erfüllen? Wenn dies der Fall ist, könnte ein jährliches Backup zum Ende des Geschäftsjahres ausreichen. Je größer das Daten-Repository ist, desto größer ist die Schutzfläche und desto größer das Problem. Wenn es um Datenschutz geht, ist weniger mehr. Daher gilt es, nicht mehr Daten aufzubewahren, als benötigt werden.

Schließlich gibt es noch das heikle Thema des Rechtes, Daten zu löschen, auch bekannt als das „Recht auf Vergessenwerden“. Die Datenschutz-Grundverordnung ermöglicht es EU-Bürgern, von den für die Datenverarbeitung Verantwortlichen die Löschung ihrer personenbezogenen Daten zu verlangen. Viele Unternehmen machen sich Sorgen darüber, wie dies mit der Notwendigkeit zusammenhängt, Backups zu erstellen, die größtenteils nicht bearbeitbar sind.

Die gute Nachricht ist, dass das Recht auf Löschung viel begrenzter ist, als es scheint. Eine betroffene Person hat nur dann das „Recht auf Vergessenwerden“, wenn einer der in Artikel 17 der DSGVO genannten Gründe vorliegt, etwa wenn die personenbezogenen Daten nicht mehr für die Zwecke, für die sie erhoben wurden, erforderlich sind oder anderweitig bearbeitet wurden. Zu den Gründen, die diese Rechte außer Kraft setzen können, gehören das Recht auf freie Meinungsäußerung, rechtliche Anforderungen, öffentliches Interesse, historische Archivierung, die Verteidigung von Rechtsansprüchen und erhebliches legitimes Interesse. Zum Beispiel könnte ein Angestellter nicht verlangen, dass sein Arbeitgeber seine Gehaltsabrechnungen löscht, um Steuern zu vermeiden, oder ein professioneller Athlet könnte nicht verlangen, dass ein TV-Sender ein Video von seiner schlechten Leistung im Wettkampf löscht

Einige Daten müssen jedoch in der Tat gelöscht werden, wenn dies angefordert wird, beispielsweise Informationen, die mit einem Social-Media-Konto verknüpft sind. Im Rahmen der DSGVO muss dies „ohne unangemessene Verzögerung“ geschehen. Bei einem der größten sozialen Netzwerke wird eine rollierende 90-Tage-Sicherung aller Daten vorgehalten. Wenn ein Nutzer also beantragt, dass sein Konto gelöscht wird, wird das Live-System innerhalb von Tagen bereinigt. Was die Backups betrifft, muss der Nutzer jedoch warten, bis seine Daten aus der Sicherungsdauer „auslaufen“. Diese 90 Tage sind wahrscheinlich ein „fairer“ Zeitraum, um Daten zu speichern, aber je länger Backups aufbewahrt werden, desto schwieriger ist es, mit Fairness zu argumentieren. Eine genaue Kontrolle über die Backup-Strategie hilft hier weiter, rät Rubrik.

Während die DSGVO oft zweideutig und kompliziert erscheinen mag, lautet die generelle Empfehlung, sich darauf zu konzentrieren, die persönlichen Daten der Menschen zu respektieren. Unternehmen, die diese Daten sicher aufbewahren, sie nur für rechtmäßige Zwecke verwenden, für Transparenz sorgen, wie sie die Daten benutzen, und sie nicht länger als nötig aufbewahren, befinden sich auf einem guten Weg. Die Einhaltung der jüngsten Datenschutzregulierung dürfte dann mit erträglichem Aufwand sein.

rubrik.com

 

Neuste Artikel

Marketing Trends 2020

Das sind die Marketing-Trends 2020!

Marketing entwickelt sich stetig weiter. Und für Shopbetreiber ist es wichtig, am Puls der Zeit zu bleiben, um auch weiterhin die eigenen (und neue) Kunden zu erreichen.
HR 2020

HR und Recruiting: Das wird 2020 wichtig

Geschwindigkeit und Flexibilität – das sind nach Einschätzung der internationalen Personalberatung Robert Walters die entscheidenden Faktoren für erfolgreiche Personalarbeit in diesem Jahr – vor allem, wenn es um das Gewinnen neuer Mitarbeiter geht.
Puzzle

Demant launcht EPOS

Sennheiser Communications A/S, das Joint Venture zwischen Demant A/S und der Sennheiser Electronic GmbH & Co. KG, hatte bereits angekündigt, dass es sich in einer neuen Konstellation weiterentwickeln wird. Im Jahr 2020 endet nun das Joint-Venture.
Strategiegipfel IT Management

Die IT als Technology Innovator

Über den Weg zur digitalen IT-Organisation und wie digitale Technologien die Struktur, die Rollen und das Verständnis der IT im Unternehmen verändern, spricht CIO Sinanudin Omerhodzic, Chief Information Officer bei der Paul Hartmann AG auf dem Strategiegipfel…
Field Service Management

Field Service Management: Flexibilität als oberstes Gebot

Field Service Management-Lösungen bieten für Unternehmen viele Vorteile – von erhöhter Produktivität bis hin zu mehr Effizienz. Die Implementierung solcher Lösungen ist allerdings auch mit Herausforderungen an Management und Belegschaft verbunden.
Puzzle Hand

FireEye übernimmt Cloudvisory

FireEye, Inc. (NASDAQ: FEYE), übernimmt Cloudvisory. Mit der Akquisition, die das Unternehmen am 17. Januar 2020 abgeschlossen hat, erweitert FireEye seine Plattform Helix um Sicherheitsfunktionen für Cloud-Workloads und bietet künftig eine integrierte…

Anzeige

GRID LIST
Managed Service Provider

Ohne Neuausrichtung stehen MSP schwere Zeiten bevor

Managed-Service-Provider sind gezwungen, ihre Rolle grundlegend neu zu definieren, meint…
Business Meeting

Systemhaus 4.0.: Managed Services – aber wie?

Der Mangel an Fachpersonal macht für viele Systemhäuser den Wandel zum Managed Service…
Rechenzentrum

Drei Optionen Rechenzentren über große Entfernung abzusichern

Die Entfernung zwischen georedundanten Rechenzentren soll mindestens 200km betragen. So…