12.12.2017 Ausprägungen der EU-DSGVO

Archivlösungen müssen sich anpassen

Von: Lea Sommerhäuser

Wie die genauen Ausprägungen der EU-DSGVO sein werden, wird sich erst im Laufe der Zeit durch Gerichtsentscheidungen herausstellen. Daher ist es laut Guido Klenner, Category Manager Storage bei HPE, ein wichtiges Kriterium, dass sich eine Archivlösung möglichst flexibel an die sich ändernden Anforderungen anpassen lässt.

Guido Klenner, HPE

„Der Anwender muss sich klar darüber sein, welche Daten er speichern und archivieren muss, unter Umständen auch um Compliance-Regeln einzuhalten“, betont Guido Klenner, Category Manager Storage bei HPE.

ITM: Herr Klenner, wie viel Aufmerksamkeit schenken Mittelständler anno 2017 dem Thema „Effizientes Datenmanagement“?
Guido Klenner:
Die Mittelständler sind da in ihren Positionen immer noch sehr unterschiedlich, man kann keine generelle Aussage treffen. Es geht von „Man sollte sich damit beschäftigen, aber weil dies sehr aufwendig ist, sichern wir sicherheitshalber alles“, bis zu einer sehr tiefgehenden, aktiven Auseinandersetzung. Mit der wachsenden Zahl der Regularien und Gesetze ist ein koordiniertes und umfassendes Daten- und Informationsmanagement zur Risikominimierung zwingend notwendig.

ITM: Viele Daten benötigen viel Speicherplatz, doch der darf gerade im Mittelstand natürlich nicht zu teuer sein. Wie können Mittelständler ihr Datenvolumen grundsätzlich so gering wie möglich halten, um Kosten zu sparen?
Klenner:
Der Anwender muss sich klar darüber sein, welche Daten er speichern und archivieren muss, unter Umständen auch um Compliance-Regeln einzuhalten. Je nach Branche und Geschäftsmodell können die Anforderungen sehr unterschiedlich sein. Dann muss definiert werden, wie oft auf welche Daten zugegriffen werden muss. Daten, die über Jahre hinweg aufgehoben werden müssen, die aber nur sehr selten oder gar nicht mehr aktiv gebraucht werden, können auf günstige Medien wie LTO-7/8-Tapes ausgelagert werden. Eine Firmenstrategie zum Informationsmanagement hilft extrem, die Kosten zu senken.

ITM: Archivieren Mittelständler ihre Daten grundsätzlich richtig oder herrscht noch viel Aufklärungsbedarf?
Klenner:
Wie gesagt: Die Aufbewahrungsregeln in unterschiedlichen Branchen sind sehr unterschiedlich. Internationale Vorschriften machen den Prozess noch komplizierter: Will etwa ein deutsches Pharmaunternehmen in den USA seine Produkte vermarkten, muss es die Vorgaben der FDA (Federal Drug Administration) einhalten. Leider herrscht aber auch noch viel Unkenntnis beim Thema „Archivierung“ vor. Einige Unternehmen operieren immer noch nach dem Motto: „Wir haben ja ein Backup, in dem alle Daten enthalten sind, also sind sie archiviert“. Das funktioniert aber nur, bis es zur Nagelprobe kommt und die Daten nicht mehr gefunden werden.

ITM: Welche Unternehmensdaten müssen überhaupt archiviert werden? Und bei welchen ist eine revisionssichere Archivierung nicht zwingend notwendig?
Klenner:
Das kann nicht pauschal gesagt werden. Dinge, die auf jeden Fall archiviert werden müssen, sind z.B. alles, was den Geschäftsbetrieb betrifft, eine steuerliche und arbeitsrechtliche Relevanz hat oder mit dem Thema „Produkthaftung“ zusammenhängt. Hier muss sich aber der Unternehmer rechtliche Hilfe holen, um im Einzelfall zu definieren, was revisionssicher aufgehoben werden muss und was nicht.

ITM: Welche Archivierungsmethoden erachten Sie für Mittelständler am sinnvollsten?
Klenner:
Jedes Speicherprodukt unterliegt einem technologischen Lebenszyklus. Das heißt, dass bei langen Aufbewahrungszeiten eine Datenmigration unausweichlich ist. Bei dieser Migration dürfen aber die Daten nicht verändert werden. Bis heute sind dedizierte Archiv-Appliances weit verbreitet. Diese Lösungen sind aber unflexibel, wenn etwa neue Technologien eingesetzt werden sollen. Daher sollte man auf eine software-definierte Archivierungslösung gehen, bei der die Software-Ebene mit den Compliant-Archive-Funktionen, anders als bei der Archiv-Appliance, von der Hardware separiert wurde. So kann die Hardware während der Aufbewahrungszeit einfach getauscht werden, da die Archivebene nicht berührt wird.

ITM: Wie gewährleisten entsprechende Storage-Lösungen die Sicherheit der Daten?
Klenner:
Wir haben eine software-definierte Archivlösung zusammen mit der Firma iTernity entwickelt. Während HPE die entsprechende Hardware-Infrastruktur liefert, wird die Archivfunktionalität durch die iCAS-Software von iTernity bereitgestellt. Da die Hardware unabhängig von der Software ist, kann hier, je nach Anwendungsfall, die erforderliche Hardware aus unserem Storage-Portfolio ausgesucht werden. Etwa für iSCSI- oder Fibre-Channel-Infrastrukturen, File-, Object- und Blockspeicher oder Speicher für unterschiedliche Latenzanforderungen. Die iCAS-Software erlaubt eine 256-Bit-Verschlüsselung, verwendet einen 512-Bit-Hashwert, um Manipulationen auszuschließen, verhindert ein Löschen vor dem Ablauf der Aufbewahrungsfrist und kann die Daten ohne zusätzliche Lizenzkosten an beliebige Standorte replizieren. Außerdem wird mit einer „Selbstheilungs“-Funktion die „silent data corruption“, also das Entstehen von Bit-Fehlern in den Datensätzen, korrigiert.

ITM: Ab dem 25. Mai 2018 gilt die Europäische Datenschutz-Grundverordnung (EU-DSGVO). Ist der Mittelstand hierauf vorbereitet oder hat er das Thema bisher links liegengelassen?
Klenner:
Aufgrund von einzelnen Gesprächen mit Kunden zeigt sich, dass der Mittelstand sich auch hier sehr unterschiedlich verhält. Je kleiner das Unternehmen und je weniger Personal zur Verfügung steht, um sich explizit mit diesem Thema auseinanderzusetzen, desto mehr scheint die Meinung vorzuherrschen: „Erst einmal abwarten – nichts wird so heiß gegessen, wie es gekocht wird“. Allerdings sensibilisieren die zunehmenden Publikationen über die EU-DSGVO, gerade wenn es um finanzielle Risiken geht, mehr und mehr Unternehmen, sich mit diesem Thema zu beschäftigen.

ITM: Welchen Einfluss übt die EU-DSGVO konkret auf die Datenarchivierung aus?
Klenner:
Jedes Unternehmen muss sich jetzt mit dem, für das Unternehmen individuelle, Informationsmanagement auseinandersetzen und definieren, inwieweit es von der EU-DSGVO betroffen ist. Dazu gehören insbesondere die Einhaltung der Datenschutzgrundverordnung bei der Archivierung, die Unterstützung für Auskunftsersuche, die Einbindung in ein durchgängiges Datenschutz-Governance-Modell, die Implementierung von Löschfristen sowie eine Trennung der Daten auf logischer und physischer Ebene.

ITM: Bestimmte personenbezogene Daten sind (nach gesetzlichen Regelungen) revisionssicher und mit Schutz vor Löschung und Manipulation zu verwahren. Die EU-DSGVO bringt allerdings das sogenannte „Recht auf Vergessenwerden“ mit sich. Ein Widerspruch? Wie wird hier vorgegangen?
Klenner:
Ja, es ist auf den ersten Blick ein Widerspruch, der aber mit der HPE/iTernity-Lösung in Zusammenarbeit mit der Datenmanagement-Lösung, die das Unternehmen einsetzt, gelöst werden kann. Ein Beispiel: Ein Mitarbeiter verlässt das Unternehmen. Er hat das Recht, dass alle seine persönlichen Daten gelöscht werden, sofern es nicht gegen bestehende Regularien verstößt. Die Datenmanagement-Lösung, etwa ein ECM-System, muss nun „wissen“, wo sich welche persönlichen Daten mit welchen Aufbewahrungsfristen befinden und so die erforderlichen Freigaben einholen und die Löschung veranlassen.

ITM: Inwieweit berücksichtigen bzw. unterstützen die aktuellen Storage- bzw. Archivierungslösungen am Markt bereits die EU-DSGVO-Regelungen?
Klenner:
Bei der EU-DSGVO geht es primär um Prozesse und wie man mit den Regularien umgeht. Es gibt in dieser Grundverordnung keinerlei Definitionen dazu, was Speichersysteme können müssen. Daher gibt es auch keinerlei Zertifizierungskriterien für Hard- und Software, die erfüllt werden müssen, um eine EU-DSGVO-Konformität zu erreichen. Ein Unternehmen wird sich durch Wirtschaftsprüfer testieren lassen müssen, ob die entwickelten Prozesse und Compliance-Regeln der EU-DSGVO entsprechen.

ITM: Mit welchem Aufwand können bereits seit langem im Einsatz befindliche Speicher- und Archivierungslösungen entsprechend angepasst werden?
Klenner:
Bestehende Lösungen müssen dahingehend angepasst werden, dass die entwickelten Prozesse auch tatsächlich angewendet werden können. Wenn beispielsweise Logfiles generiert werden müssen, um festzustellen, wer, wann, wo und wie Zugriff auf Daten hatte, dann kann das auch für bestehende Systeme umgesetzt werden.

ITM: Was kann einem Mittelständler im schlimmsten Fall passieren, wenn die EU-DSGVO-Regelungen bei der Datenarchivierung nicht berücksichtigt werden?
Klenner:
Die Sanktionen bei Verstößen gegen die EU-DSGVO sind klar beschrieben und können bis zu 20 Mio. Euro oder vier Prozent des weltweiten Umsatzes des Konzerns betragen, je nachdem, welcher Betrag höher ist. Insbesondere bei einem Verstoß gegen die Speicherverpflichtungen oder bei fehlerhaften Auskünften an die Betroffenen muss ein Unternehmen eine Verhängung dieser Strafen befürchten.

ITM: Wie sollten Unternehmen demnach bei der Auswahl ihres Storage-Anbieters zukünftig vorgehen? Welche Kriterien sind neben der EU-DSGVO besonders wichtig?
Klenner:
Wie die genauen Ausprägungen der EU-DSGVO sein werden, wird sich erst im Laufe der Zeit durch Gerichtsentscheidungen herausstellen. Daher sollte ein wichtiges Kriterium sein, dass sich die Archivlösung möglichst flexibel den sich ändernden Anforderungen anpassen kann. Gerade dabei können Software-definierte Lösungen punkten, die flexibler agieren als starre Archiv-Appliances. Unternehmen müssen außerdem bedenken, dass auf lange Sicht auch ein Technologiewandel bei Speichermedien einen signifikanten Kostenfaktor bei der Migration von Daten darstellt. Je größer die Datenmenge, desto länger kann die Migrationszeit sein: Von Tagen und Wochen bei einer software-definierten Lösung bis hin zu mehreren Monaten und Jahren bei älteren Archiv-Appliances.

Bildquelle: HPE

©2018 Alle Rechte bei MEDIENHAUS Verlag GmbH