Anzeige

Anzeige

VERANSTALTUNGEN

IT-SOURCING 2019 – Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

ACMP Competence Days Berlin
11.09.19 - 11.09.19
In Stiftung Deutsches Technikmuseum Berlin, Berlin

MCC CyberRisks - for Critical Infrastructures
12.09.19 - 13.09.19
In Hotel Maritim, Bonn

Rethink! IT 2019
16.09.19 - 17.09.19
In Berlin

DSAG-Jahreskongress
17.09.19 - 19.09.19
In Nürnberg, Messezentrum

Anzeige

Anzeige

DSGVO

Immer mehr Daten und immer schärfere Bestimmungen. Die DSGVO hat den Umgang mit Informationen und Daten nicht einfacher gemacht. Das merken Unternehmen im Alltag bei der technischen Umsetzung immer wieder.

„Noch immer liegen viele Daten in Unternehmen unstrukturiert vor, was nicht nur die Verwaltung und Wiederauffindbarkeit erschwert, sondern eine enorme Sicherheitslücke darstellt“, weiß Torben Belz, Geschäftsführer der PLUTEX GmbH aus Bremen. Wo die Gefahren liegen und wie ein DSGVO-konformes Datenmanagement erfolgen kann, erklärt der Profi.

Ohne Datenmanagement keine Sicherheit

„Viele fürchten das Thema DSGVO wegen schwer umzusetzender Prozesse oder möglicher Bußgelder“, erklärt Torben Belz und erläutert: „In erster Linie gibt uns die DSGVO allerdings sinnvolle Regeln und Maßnahmen in die Hand, um persönliche Daten zu schützen und selbst zu bestimmen, was mit den eigenen Daten geschieht.“ Es gilt abzuwägen, welche Daten zu welchem Zweck erfasst und für wie lange sie gespeichert werden. Hinzu kommt die Verpflichtung, Kunden zu informieren und nach Erfüllung des Erfassungszweckes die Daten wieder zu löschen. Für solch ein umfassendes Datenmanagement braucht es eine sichere und zuverlässige Datenablage sowie ein durchdachtes Konzept zur Zugangs- und Berechtigungskontrolle.

Server, auf denen personenbezogene Daten verarbeitet und abgelegt werden, benötigen entsprechende physische und digitale Absicherungen. Des Weiteren ist eine redundante Auslegung, bei der dieselben Daten mehrfach vorliegen, maßgeblich und der Standort sollte sich in einem auf Informationssicherheit geprüften, TÜV-zertifizierten Rechenzentrum in Deutschland oder Europa befinden. Wird die Serverinfrastruktur nicht entsprechend aufgebaut, konfiguriert und gepflegt, stößt sie beim DSGVO-konformen Datenmanagement sehr schnell an ihre Grenzen. In der Folge kommt es zu Konflikten mit Kunden und den Datenschutzbehörden und im schlimmsten Fall zu einem Bußgeldverfahren. Deshalb ist es sinnvoll, beim Datenmanagement auf externe IT-Service-Provider zu setzen, die eigene professionelle Rechenzentren betreiben.

Zu lange und dafür zu wenig

Gespeichert werden müssen steuerrelevante Daten und solche, die Korrespondenzen und Dokumentationen enthalten, die im Zusammenhang mit Personen, Produkten oder Dienstleistungen stehen, also insbesondere E-Mails. Einen weiteren Fehler, den viele Unternehmen in diesem Zusammenhang machen: Sie speichern Daten länger als für den Verwendungszweck notwendig, dafür aber nur einmal. „Effizientes Datenmanagement berücksichtigt Aufbewahrungszeiträume je nach Art der Daten. So gilt beispielsweise für handels- und steuerrechtliche Informationen eine Aufbewahrungsfrist bis zu 10 Jahren, für medizinrechtliche Dokumente können es dagegen bis zu 30 Jahre sein“, verdeutlicht Belz und ergänzt: „Backups sollten in Tages-, Wochen-, Monats- und Jahreszyklen erfolgen und es ist empfehlenswert, spezielle Storage-Hardware zu nutzen. Dabei sollten die Backups geografisch getrennt an mehreren Standorten erfolgen, um im Fall eines Verlustes an einem Ort die Daten trotzdem wiederherstellen zu können.“

Verloren im Datenraum

Für DSGVO-konforme Datenarchivierung müssen die Daten nicht nur vorliegen, sondern auch strukturiert, protokolliert und wiederauffindbar sein. Ohne eine Kennzeichnung durch Metainformationen ist dies kaum möglich. Sie definieren Daten, indem sie Hinweise auf den Datentyp, Autor oder das Erstelldatum geben. Torben Belz führt weiter aus: „Um Daten software- und medienunabhängig auch nach Jahren noch öffnen zu können, empfiehlt es sich, Serversysteme, wie Content-Adressed-Storage-Systeme, kurz CAS-Systeme, oder Cloud-Umgebungen zu nutzen. Diese Systeme bieten den Vorteil der Datenmigration und archivieren trotzdem revisionssicher.“ Auch bei der Datenübertragung gibt es einiges zu beachten. So stellen die oft genutzten Filesharing-Plattformen ein erhebliches Sicherheitsrisiko dar, denn es ist nie klar, wo die Daten physisch liegen. Hier besteht ein Complianceproblem, denn die DSGVO fordert bei der Übertragung von Daten Protokolle zum Nachweis. Sicherer sind hier File-Transfer-Dienste.

Angst vor Veränderung und hohen Kosten

Spezialisierte Service Provider unterstützen maßgeblich bei der Umsetzung datenschutzkonformer Archivierung. Sie haben sich auf die verschlüsselte Übertragung und Ablage von Daten, auf Dokumentationsanforderungen sowie auf Informations- und Protokollpflichten spezialisiert und kümmern sich von der Datenerhebung und Speicherung über Zugriff und Verarbeitung bis zur Löschung darum. Doch Unternehmen scheuen noch immer die Inanspruchnahme solcher Profis. Viele fürchten eine große Veränderung im Datenmanagement und hohe Kosten für neue Systemlandschaften und Serviceleistungen.

Dies geht einher mit der zusätzlichen Angst, dass das neue System dann im schlimmsten Fall nicht richtig funktioniert und noch mehr Kosten entstehen. „Gute Service Provider zeichnen sich dadurch aus, dass sie einen persönlichen Ansprechpartner bieten, der Kunden individuell berät, sowie einen eigenen Datenschutzbeauftragten. Ihre Rechenzentren verfügen über TÜV-Zertifizierungen für Qualitätsmanagement und Informationssicherheit und die Server stehen in Deutschland oder Europa. Außerdem leisten diese Anbieter Dokumentationen und Standards in den Serverkonfigurationen und im Aufbau des Netzwerkes.“

www.plutex.de
 

GRID LIST
E-Mail

MTA-STS: Neuer Verschlüsselungsstandard zwischen Mailservern

MTA-STS steht für “Mail Transfer Agent – Strict Transport Security”. Der neue Standard…
Datenschutzbehörde Brief

Fünf Tipps gegen DSGVO-Bußgelder

Jede Woche ergehen rund 450 Millionen US-Dollar Strafe wegen Verstoß gegen die…
Datenschutzrecht

Aktuelle Entwicklungen im Datenschutzrecht

Die EU-Datenschutzgrundverordnung (DSGVO) und das neu gefasste Bundesdatenschutzgesetz…
Facebook-LikeButton

EuGH zu Facebook-Like Button - Wer trägt die Datenschutz-Verantwortung?

Viele Websites binden Facebooks «Like»-Button und andere ähnliche Plug-ins ein, die Daten…
Ausrufezeichen

Datenschutzrechtliche Erwägungen für die kommenden Monate

Technologie hat die Eigenschaft uns auf Trab zu halten. Und obwohl ständiger Wandel und…
Gesundheitswesen Cyber Security

Datenschutz und Verschlüsselung im Gesundheitswesen mangelhaft

Um den Datenschutz im Gesundheitswesen ist es schlecht bestellt: Eine neue Studie der GDV…