Hintergrund

28. März 2018

Alles nEU Ende Mai? 5 Mythen zur EU-DSGVO

eudsgvo-ad.pngGanz plötzlich und ohne jede Vorwarnung tritt ja Ende Mai die brandneue EU-DSGVO in Kraft.

Jedem Unternehmen drohen dann sofort Strafen im zweistelligen Millionenbereich und lange Haftstrafen. Vorhandene IT-Infrastrukturen sind von einem Tag auf den anderen wertlos, das Sammeln von Daten zur Lead-Gewinnung strafbar, und jeder Mensch hat das „Recht auf Vergessens“ und kann somit in Sekunden unsichtbar werden.

Alles Quatsch? Nicht ganz. Dass die EU-DSGVO seit knapp zwei Jahren so gilt und Ende Mai nun nur die Übergangsfrist endet, dass für Strafzahlungen zunächst einmal Anklagen und Verurteilungen notwendig sind, dass bisherige Datenschutzmaßnahmen auch weiterhin gelten und sich nun nur ein paar Regeln zur Wahrung der Privatsphäre ändern, nun gut.

Aber was ändert sich tatsächlich - und was bleibt, wie es ist?

Mythos 1: Alle Daten müssen nun löschbar sein

Natürlich falsch. 

Richtig ist: Für personenbezogene Daten, die keinen anderen Gesetzen unterliegen, kann die jeweilige Person die Herausgabe und Löschung verlangen. „Löschen“ ist allerdings kein eindeutiger Begriff. Es gilt: gelöschte Daten dürfen nicht mehr zugänglich sein.

Wichtig dabei: Aufbewahrungsfristen wie z.B. die RöV sind „stärker“ als das Recht des Einzelnen. Die allermeisten Daten, die aufgrund von bisherigen Aufbewahrungspflichten revisionssicher gespeichert wurden, unterliegen also weiterhin den entsprechenden Verordnungen.

Alle anderen personenbezogenen Daten unterliegen der Auskunftspflicht (wer speichert muss belegen können, was und wie gespeichert wurde) und müssen auf Verlangen der Person für andere unzugänglich gemacht werden können. Wer speichert muss das Löschen auch entsprechend nachweisen können.

Mythos 2: WORM-Speicherung und DSGVO-Konformität geht nicht zusammen 

Stimmt so nicht.

Viele unserer Kunden speichern Daten, die einer Aufbewahrungspflicht unterliegen, auf unseren WORM-Speichern, die per se keine physische Löschmöglichkeit bieten. Dabei werden für Speicherbereiche, aber auch für einzelne Datensätze so genannte Retention Periods eingestellt. Innerhalb dieser Zeit ist ein Löschen also grundsätzlich unmöglich. Nach Ablauf dieser Fristen (typischerweise entsprechen die den Aufbewahrungspflichten für die jeweiligen Anwendungen) kann auch in unseren WORM-Systemen der Zugang zu den Daten unmöglich gemacht werden. Die Auflagen zum „Löschen“ werden somit erfüllt - das ist auch Teil der Zertifizierung unserer Produkte durch KPMG.

Was nun, wenn personenbezogene Daten, die keiner Aufbewahrungspflicht unterliegen, vorzeitig gelöscht werden sollen? Liegen diese Daten auf einem Volume, bei dem eine Aufbewahrungsfrist fest eingestellt ist, ist ein Löschen erst nach Ablauf derselben möglich (siehe oben) - sonst wäre die Speicherung nicht revisionssicher. Beim vorhandenen Volume-Typ "RW/RO" kann die Aufbewahrungsfrist auch pro Datei (von der verwaltenden Software) eingestellt werden. Einzelne Datensätze mit personenbezogenen Daten sind so mit gesonderter (kürzerer) Frist archivierbar. Da die DSGVO ein "unverzügliches Löschen" verlangt, also ohne verschuldeten Verzug, genügt dies den Auflagen der Verordnung.

Für strittige Fälle führen manche Software-Anbieter zudem das so genannte privilegierte Löschen ein, bei dem trotz eingestellter Aufbewahrungsfristen die entsprechenden Daten sofort gelöscht werden können. Dies wird auch beim Silent Brick WORM über einen gesonderten Volume-Typ mit speziellen Nutzerrechten möglich sein und vom System vollständig protokolliert werden. Wiegt das Interesse für Recht auf Löschung stärker als das der vollständig revisionssicheren Archivierung, können Daten also auch auf solchen Volumes gesichert werden.

Keine CEBIT im März? Kein Problem - wir kommen zu Ihnen!

FAST LTA auf Storage Tour 2018


Drei Veranstaltungsreihen bieten für jedes Interesse das optimale Format, um sich über das ABC der Datensicherung zu informieren.
Zusammen mit unseren Partnern und unseren Experten stehen wir Ihnen Rede und Antwort.

Schnell ausgebucht » Kostenloses Ticket sichern

Mythos 3: Also reichen die bisherigen Maßnahmen zur rechtskonformen Speicherung ja aus

Vorsicht, das kann teuer enden.

Eine tatsächlich neue Anforderung für Datenspeicherung ist nämlich die nach dem „aktuellen Stand der Technik“. Daten müssen durch geeignete Technologien auch davor geschützt werden, dass sie verloren gehen. Der reine Stempel der Revisionssicherheit reicht also künftig nicht mehr - die Speichersysteme müssen auch in sich entsprechend sicher sein, so dass keine Daten verloren gehen. Das betrifft die eigentliche Speicherung (also der Schutz vor Verlust durch Redundanz und Standortunabhängigkeit), aber auch die Zugangssicherheit (Manipulation durch Ransomware oder schlecht gelaunte Admins) und der Schutz gegen menschliche Fehler (falsche Spiegelung, versehentliches Löschen, usw.).

Unsere Speichersysteme sind nicht nur auf Revisionssicherheit hin entwickelt worden, sondern von Anfang an mit dem Ziel, niemals Daten zu verlieren.


Mythos 4: Wo kein Kläger da kein Richter

Prinzipiell richtig, aber…

Die DSGVO dreht die Beweispflicht um. Als Betroffener muss man nicht mehr nachweisen, dass ein Unternehmen Daten widerrechtlich gespeichert hat - vielmehr muss das Unternehmen nachweisen, dass es der DSGVO konform gehandelt hat. Dazu gehört, dass die Daten nur zweckgebunden erfasst wurden, dass die notwendigen Einverständniserklärungen vorliegen, und dass Maßnahmen getroffen werden können, die die Herausgabe und das Löschen ermöglichen. Zudem müssen alle Prozesse dokumentiert sein.

Die DSGVO macht es aber auch leichter für Betroffene, sich zu wehren. Jeder Verstoß kann online zur Anzeige gebracht werden und ist dann öffentlich abrufbar. Im Zweifel also keine gute Werbung für ein Unternehmen, selbst wenn die eigentlich Klage und vor allem eine Verurteilung ja noch aussteht und u.U. sehr lange dauern kann.


Mythos 5: So lange es keine Präzedenzfälle gibt, betrifft uns das alles eh nicht

Auch davor sei gewarnt, denn: die drohenden Strafen (bis zu 20 Millionen € oder 4% des Unternehmensumsatzes, je nachdem was höher ist) können die Existenz eines Unternehmens gefährden. Außerdem können im Fall einer Verurteilung nicht mehr einzelne Mitarbeiter als „Bauernopfer“ dienen - eine Verurteilung trifft immer die Geschäftsleitung.


Fazit: Don’t Panic And Just Make IT Right

Wer auch bisher auf rechtliche Vorgaben und sichere IT geachtet hat, wird kaum Probleme durch die EU-DSGVO bekommen. Es ist wichtig, dass man sich über die Vorgänge im Unternehmen im Klaren ist und die IT entsprechend konfiguriert. Daten mit gesetzlichen Aufbewahrungspflichten sollten nicht zusammen mit anderen personenbezogenen Daten gespeichert werden. Speicher- und Löschvorgänge müssen revisionssicher dokumentiert werden. Und Speichersysteme müssen den Anforderungen moderner IT-Systeme genügen, so dass keine Daten verloren gehen.
 

Lesen Sie zu diesem Thema auch:

Teil 1: Die EU-DSGVO und ihre Anforderungen an Speichersysteme

Teil 2: EU-DSGVO: Was bedeutet "belastbarer Speicher" und "Stand der Technik"? 

Themen: Aktuelles, DSGVO

Autor: Hannes Heckel | Director Marketing bei FAST LTA

WHITE PAPER

In unseren White Papers stellen wir Ihnen jeweils ein spezielles Thema und Ihren Nutzen detailliert vor. Viel Spaß beim Lesen!

White Paper: LINEAR DISK STORAGE

White Paper: TAPE, DISK ODER CLOUD? ÜBERDENKEN SIE IHRE BACKUP-STRATEGIE

NEWSLETTER

Melden Sie sich zu unserem Newsletter an: