Anzeige

Bombe

Bestehende Archivsysteme sind in vielen Fällen bewusst gegen das Löschen von Daten geschützt. Genau das kann Unternehmen angesichts der EU-DSGVO jedoch zum Verhängnis werden. Epiq warnt vor erheblichen Datenschutz-Risiken bei der langfristigen Aufbewahrung und nennt drei Schritte, auf die Unternehmen achten müssen.

Rund 1,5 Jahre sind mittlerweile seit dem Ende der Schonfrist für die Umsetzung der EU-Datenschutzgrundverordnung vergangen – und vor kurzem hat die DSGVO ihr bislang größtes Opfer gefunden. Denn eine börsennotierte Wohnungsbaugesellschaft soll eine Rekordstrafe von über 14 Millionen Euro zahlen. Der Grund dafür liegt schlicht am Archivsystem des Unternehmens, welches keine Löschmöglichkeit vorsieht. Persönliche Daten wurden dadurch zwangsläufig über Jahre aufbewahrt.

Epiq, Anbieter in den Segmenten Legal Services, eDiscovery und Information Governance, rät Unternehmen in diesem Zusammenhang dringend dazu, ihre eigenen Prozesse bei der langfristigen Aufbewahrung von Daten kritisch zu hinterfragen.

"Bestehende Archivsysteme sind in vielen Fällen bewusst gegen das Löschen von Daten geschützt, um das Kriterium der Vollständigkeit zu erfüllen. Was als Schutz vor Manipulationen und versehentlichem oder absichtlichem Löschen einst gut gemeint war, kann sich für Firmen vor dem Hintergrund der EU-DSGVO aber als absolut toxisch erweisen”, so Friedhelm Peplowski, Area Director DACH bei Epiq.

Epiq empfiehlt, für die Umsetzung einer DSGVO-konformen Aufbewahrung sowie beim Aufbau einer künftigen Archivierungs-Umgebung vor allem drei wichtige Aspekte im Auge zu behalten: Das Klassifizieren von Daten, das Erkennen (und Markieren) von privaten Informationen sowie das Definieren von Vorhaltezeiten.

1. Daten klassifizieren

Ohne die vorhandenen Daten wirklich zu kennen, ist DSGVO-Compliance unmöglich. Ziel der Datenklassifizierung ist es deshalb, sich einen umfassenden Überblick über den gesamten Bestand an strukturierten und unstrukturierten Daten zu verschaffen. Dabei werden die Daten mit einem geeigneten Tool automatisiert analyisiert und kategorisiert – etwa auf Basis von Eigenschaften wie Inhalt oder Dateityp. Auch personenbezogene Daten können auf diese Weise zuverlässig identifiziert werden.

2. Erkennen (und Markieren) von privaten Informationen

Ein besonderes Problem bei der Archivierung von Daten im Sinne der DSGVO sind in vielen Fällen private, personenbezogene Daten. Ein häufig herangezogenes Beispiel hierfür sind etwa die Unterlagen eines (abgelehnten) Bewerbers. Entscheidend ist es, private Daten im Zuge der Analyse-Prozesse entsprechend zu erkennen und anschließend markieren zu können – mit einer geeigneten Lösung gelingt auch dieser Vorgang vollautomatisch.

3. Vorhaltezeiten definieren

Der folgende Schritt besteht in der Definition von Vorhaltezeiten – häufig ist hier auch der englische Begriff “Retention” gebräuchlich. Auf Basis der Datenklassifizierung können je nach rechtlichen Vorgaben und Aufbewahrungsfristen die jeweiligen Vorhaltezeiten für die Daten definiert werden, nach denen eine automatische Löschung erfolgen kann. Auf diese Weise wird beispielsweise auch sichergestellt, dass entsprechend markierte private Daten rechtzeitig und um Einklang mit den Richtlinien der DSGVO gelöscht werden.

“Auf Basis eines älteren Archivsystems lässt sich der dritte Schritt aufgrund der fehlenden Löschmöglichkeit häufig nicht ohne weiteres umsetzen”, ergänzt Peplowski. “Hier haben wir in Kundenprojekten jedoch bereits sehr gute Erfahrungen damit gemacht, Bestandsarchive rechtskonform im Rahmen einer Office 365 Migration zu übertragen.”

www.epiqglobal.com/de-de
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Online-Banking

Vertrauen in Datensicherheit am größten bei Online-Banking

Insgesamt haben Deutsche wenig Vertrauen in die Datensicherheit auf Online-Plattformen. Trotzdem übernehmen die Nutzerinnen und Nutzer auch immer noch zu wenig Eigenverantwortung durch eigene Sicherheitsmaßnahmen.
Trojaner

Staatstrojaner: Geheimdienste sollen erweiterte Befugnisse erhalten

Verschlüsselung ist Strafverfolgungs- und anderen Behörden ein Dorn im Auge: US-Senatoren haben nun einen Gesetzentwurf gegen Verschlüsselung vorgelegt. Aber auch hierzulande sollen Behörden mit dem Staatstrojaner erweiterte Befugnisse erhalten.
USA-Flaggen an Zaun

Datensperrzone USA: Folgen des EuGH-Urteils zum Privacy Shield

Mehr als vier Jahre hielt der Datenschutzschild stand – nun aber kippte der Europäische Gerichtshof (EuGH) nach einem ebenso langen, länderübergreifenden Rechtsstreit die Privacy-Shield-Vereinbarung zwischen der europäischen Union und den Vereinigten Staaten.…
EU- und US-Flaggen

Privacy Shield adé – jetzt es ist wirklich Zeit umzudenken!

Ein Kommentar von Hans Franzl, Geschäftsführer der Münchner brainworks Computer GmbH. Er plädiert dafür europäischer zu denken, Grauzonen keinen Raum zu lassen und sich mehr europäischen Lösungen zuzuwenden.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!