„Dark Data“ als Stolperstein | Umsetzung der DSGVO

StolpernIn knapp 50 Wochen tritt die komplexe europäische Datenschutz-Grundverordnung (EU-DSGVO) in Kraft und wird den Umgang mit personenbezogenen Daten nachhaltig verändern. Noch haben viele Unternehmen nur eine diffuse Vorstellung davon, welche Anforderungen sie künftig erfüllen müssen und welche konkreten Auswirkungen das haben wird. Aber den Kopf in den Sand zu stecken ist keine Option.

Die auch als „General Data Protection Regulation“ (GDPR) bekannte Verordnung sorgt ab Mai nächsten Jahres für ein Umdenken bei der Verarbeitung von personenbezogenen Daten. Gezwungenermaßen wird der sorglose Umgang mit personenbezogenen Daten bald ein Ende finden müssen, denn andernfalls kann es durch die künftige Verordnung richtig teuer werden. Allein die Nicht-Konformität mit den technischen Anforderungen kann Unternehmen bereits 2 % des weitweiten Umsatzes oder Einzelpersonen bis zu 10 Millionen Euro kosten. Bei schwerer Missachtung der Grundsätze muss sogar noch tiefer in die Tasche gegriffen werden: bis 4 % des weltweiten Umsatzes für Firmen oder bis zu 20 Millionen für Einzelpersonen können dabei fällig werden.

Anzeige

Das Problem: Vielen Verantwortlichen ist nicht klar, wo personenbezogene Daten überall gespeichert werden. Das aber ist einer der Schlüsselaspekte, wenn es um Richtlinienkonformität geht, weshalb Unwissen schnell zur Achillesferse werden kann. Von einer alltäglichen E-Mail können beispielsweise in Zusammenhang mit Backup-und Recovery-Prozessen an die 50 Kopien entstehen, die neben dem Desktop-PC, auf dem Mobiltelefon, der Cloud, dem Data-Center und vielen weiteren Orten gespeichert werden. Damit personenbezogene Informationen nicht als „Dark Data“ im Datensumpf verschwinden, das heißt nicht mehr aufzuspüren sind und Unternehmen in Folge Geldbußen in Millionenhöhe kosten, ist neben der Kenntnis über die Kernpunkte der Verordnung deshalb gutes Datenmanagement entscheidend.

Kernanforderung für DSGVO-konformes Datenmanagement

Die DSGVO erfordert sowohl auf Technologie- als auch auf Prozessebene Anpassungen in den Unternehmen. Statt konkrete Handlungsanweisungen zu geben, definiert die DSGVO vor allem Prinzipien um trotz des rasanten technologischen Fortschritts die zukünftige Relevanz der Verordnung sicher zu stellen. Im Hinblick auf Datenmanagement sind folgende Punkte zu beachten:

Auskunftsrecht (Artikel 15): Erlaubt natürlichen Personen, Einsicht in gesammelte Daten in einer maschinenlesbaren Form einzufordern.

Die einfachste Lösung, um Compliance mit Artikel 15 zu gewährleisten, ist der Rückgriff auf eine Lösung, die das Indexieren von personenbezogenen Daten ermöglicht. Dadurch werden personenbezogene Daten genau gekennzeichnet und wandern nicht als „Dark Data“ an unbekannte Speicherorte. Dabei sollten Unternehmen darauf achten, dass die gewählte Lösung nicht nur auf Endgeräte beschränkt ist, sondern auch Backups, Archive und File-Systeme durchsuchen sowie unstrukturierte Daten volltextindizieren kann.

Ein optimales Ergebnis erreichen Unternehmen mit einer Lösung, die eine granulare Unterscheidung bei der Kategorisierung von Daten erlaubt. Zu den personenbezogenen Daten zählen nämlich weitaus mehr als nur der Name oder die Adresse eines Kunden, sondern unter anderem auch die Reisepassnummer, Kfz-Kennzeichen, Kreditkartennummer, Geburtstag, Geburtsort, Telefonnummer, IP-Adresse, Fingerabdruck, Handgeschriebenes. Mithilfe der Kategorisierung können Daten so einfacher durchsucht und zur Verfügung gestellt werden.

Recht auf Vergessenwerden (Artikel 17): Das manchmal auch als „digitaler Radiergummi“ bezeichnete Recht macht es betroffenen Personen möglich, die Löschung ihrer Daten zu fordern.

Vor der Implementierung einer Lösung sollten Unternehmen sichergehen, dass die Löschung der Daten ohne großen Aufwand auf allen Plattformen, egal ob Cloud, Archiv, Endgeräte oder Backup, vorgenommen werden kann. Mithilfe der bereits erwähnten Indexierung lässt sich der Prozess weiterhin vereinfachen und führt zu einer Reduzierung von Ressourcen und Kosten. Zudem ist eine kurze Backup-Speicherzeit, wie sie beispielsweise Commvaults Snapshot liefert, hilfreich. Die im Backup als Kopie hinterlegten personenbezogenen Daten haben dadurch nur eine kurze „Lagerzeit“, was verhindert, dass scheinbar gelöschte Daten wieder aus dem Nirvana auftauchen.

Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Artikel 25):

Definiert die technischen Anforderungen an die Sicherheit bei der Verarbeitung von personenbezogenen Daten. Dabei sollten Unternehmen sicherstellen, dass nur ein notwendiges Minimum an Daten gesammelt wird und dies nur für vordefinierte Zwecke.

Angesichts der Sensibilität von personenbezogenen Daten muss der Zugriff darauf genau definiert werden. Nicht jeder Mitarbeiter braucht Einsicht in die Kontodaten oder die Telefonnummer eines Kunden, wenn es nicht zur Erledigung einer Aufgabe notwendig ist. So ist es sinnvoll, eine Lösung zu implementieren, die nicht nur bestimmten Nutzern Zugriffsrechte auf personenbezogene Daten erlaubt, sondern auch Änderungen oder ausgeführte Aktionen bei der Verarbeitung der Daten genau nachverfolgen kann. Dadurch können auf technischer Ebene bereits datenschutzfreundliche Voreinstellungen getroffen werden.

Unstrukturierte Daten ade

Die DSGVO beziehungsweise GDPR erscheint zwar zunächst als eine große Herausforderung, doch können Unternehmen aus der Not eine Tugend machen und endlich wieder Ordnung in eingestaubte Datensilos bringen, die es IT-Verantwortlichen nahezu unmöglich machen, einen vollständigen Überblick über die Datenlandschaft zu erhalten und diese effizient zu verwalten. Bevor Unternehmen jedoch panisch zu irgendeiner Datenmanagement-Lösung greifen, sollten sie sich zunächst über die Ressourcen und Anforderungen Gedanken machen. Nicht jede Lösung ist für die Verarbeitung und den Umgang mit personenbezogenen Daten in jedem Unternehmen geeignet.

Als guter Start kann eine Priorisierung der Kernaufgaben bei der Umstellung auf richtlinienkonforme Technologien und damit verbundenen Prozesse dienen. So sollten Unternehmen zunächst die Organisation und Strukturierung von mindestens 80 % der unstrukturierten Daten in Angriff nehmen. Die entsprechenden Datenmanagement-Prozesse sollten Daten an allen Speicherorten berücksichtigen, auf Endgeräten ebenso wie in der Cloud. Denken die Verantwortlichen dabei an die Dokumentation aller Entscheidungen und Prozesse, gestaltet sich zudem die Berichterstellung bei möglichen Audits einfach und effizient.

Der Schlüssel für eine erfolgreiche Vorbereitung auf die DSGVO ist ganzheitliches Datenmanagement. Es unterstützt Organisationen dabei, die Datenlandschaft zu verstehen, Management-Richtlinien für alle Speicherorte inklusive Cloud-Speicher zu definieren und so die Voraussetzungen zu schaffen, den Anforderungen hinsichtlich Einsicht und Löschung von Daten und der Daten-Portabilität zu entsprechen.

Robert RomanskiRobert Romanski, System Engineer, Commvault
 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.