Sie sind hier: HomeDatacenter

Back-up und Archiv im Zeichen der DSGVO: Jenseits der Deadline

Der Hype um die EU-DSGVO ist zwar überstanden, die meisten Unternehmen dürften aber immer noch genug zu tun haben. Jenseits der Deadline stellen sich nun die konkreten Fragen: Wie lassen sich mittelfristig die Auflagen der EU-DSGVO umsetzen? Und wie beeinflusst die EU-DSGVO Back-ups und Archive?

Low Code Plattform Bildquelle: © kran77 / Fotolia

Die Hauptforderung der EU-DSGVO ist der erweiterte Schutz der Privatsphäre einzelner Personen. Dies umfasst im Wesentlichen drei Punkte, die unterschiedliche Auswirkungen auf Unternehmen haben:

  • Schutz vor Datenverlust und -Missbrauch: Daten mit personenbezogenen Angaben dürfen nicht verloren gehen oder in nicht autorisierte Hände fallen. Wer solche Daten erhebt und speichert, muss dafür sorgen, dass dies nicht passiert – nach „Stand der Technik“. Dies betrifft sowohl Back-ups als auch Archive. In beiden Bereichen muss vermieden werden, dass (personenbezogene) Daten verloren gehen, etwa durch menschliches Versagen, Manipulation (Ransomware) oder technische Ausfälle.
  • Auskunftsrecht: Wessen personenbezogene Daten gespeichert wurden, der hat ein Recht auf Auskunft darüber, zu welchem Zweck, wie lang und wo die Speicherung erfolgt. Dabei gelten die Grundsätze von „Privacy by Default“ und „Privacy by Design“. Es dürfen nur die zum eindeutigen Zweck notwendigen personenbezogene Daten gespeichert werden, und das nur so lange wie es für den Zweck notwendig ist. Systeme und Prozesse müssen so angelegt sein, dass dieses Vorgehen nachvollziehbar ist.
  • Recht auf Löschung: Die vielleicht umstrittenste Regelung ist das „Recht auf Löschung“. Der Begriff suggeriert, dass jeder die vollständige Löschung seiner personenbezogenen Daten verlangen kann – was grundsätzlich auch stimmt. Es gibt jedoch wichtige Einschränkungen. Zum einen muss die Löschung zwar „unverzüglich“, aber eben nicht sofort erfolgen – „unverzüglich“ ist dabei im juristischen Sinne wörtlich als „ohne selbstverschuldeten Verzug“ zu interpretieren. Zum anderen sind gesetzliche Aufbewahrungsfristen einzuhalten, die im Regelfall stärker sind als das Recht auf Löschung. Die betroffene Person hat dabei ein Recht darauf zu erfahren, zu welchem Zeitpunkt die entsprechenden Daten gelöscht werden (können), was je nach Gesetzeslage durchaus mehrere Jahre in der Zukunft liegen kann.

Auswirkungen auf Back-up und Archiv
Alle drei Hauptanforderungen betreffen primär die Speichersysteme, die zur Datensicherung eingesetzt werden – also Back-up und Archiv. Daten müssen demnach sicher, auffindbar und (nach Einhaltung gesetzlicher Fristen) löschbar gespeichert werden. Im Spannungsfeld zwischen diesen Anforderungen, den Kosten und der Komplexität von IT-Infrastruktur gilt es für IT-Verantwortliche, die richtigen Systeme auszuwählen.