28.11.2017 Hohe Strafen bei Missachtung

EU-DSGVO und die Datenarchivierung

Von: Lea Sommerhäuser

Die ab dem 25. Mai 2018 geltende EU-Datenschutz-Grundverordnung (EU-DSGVO) wird einen großen Einfluss auf die Datenarchivierung ausüben. Nicht jeder Mittelständler ist sich dessen bewusst, geschweige denn darauf vorbereitet. Dabei kann die Missachtung der Regelungen zu hohen Strafen führen.

  • EU-DSGVO Strafen bei Verstößen

    Effizientes Management zahlreicher Daten ist eine sehr komplexe Aufgabe.

  • Stefan Utzinger Novastor

    „Im gesamten Themenfeld des rechtskonformen Umgangs mit Daten – ob es nun die EU- DSGVO oder andere Compliance-Anforderungen sind – herrscht Aufklärungsbedarf. Dabei haben die meisten eine mehr oder weniger klare Vorstellung von korrekter Archivierung, doch die effiziente Umsetzung bleibt eine Herausforderung.“ Stefan Utzinger, Novastor

  • Manfred Zerwas SER-Gruppe

    „Ohne eine Enterprise-Content-Management-Strategie (ECM) zur Reduzierung der Systemvielfalt und technischen Komplexität durch Standardisierung und Konsoli-dierung mithilfe gleichartiger Dokumenten-Management-Dienste und -Funktionen fehlt der Digitalisierungs- strategie das Fundament.“

  • Markus Grau Pure Storage

    Viele Regularien, wie z.B. die EU-DSGVO, sind von Juristen für Juristen geschrieben und werden oftmals falsch interpretiert, wenn es darum geht, ob und wie man gewisse Dinge im Unternehmen umsetzen kann bzw. sogar muss.“ Markus Grau, Pure Storage

Der starke Anstieg des Datenvolumens – auch im Mittelstand – hat zur Folge, dass zugleich die Herausforderung steigt, auf diese Daten schnell, jederzeit und von jedem Ort aus zugreifen zu können. Effizientes Datenmanagement ist daher eines der Kernthemen, mit denen sich Unternehmen beschäftigen sollten. Einerseits geht es darum, sämtliche Daten möglichst günstig zu speichern, andererseits müssen Daten verfügbar gemacht werden, die für das Bestehen und die Funktion einer Firma unabdingbar sind.

„Ganz plakativ gesagt: Finanzdaten sind z.B. wichtig – Mitarbeiter-MP3s nicht“, veranschaulicht Kurt Kraus, Pre-Sales Engineer bei Storagecraft. Mit einem effizienten Datenmanagement seien Unternehmen in der Lage, Produktivdaten, Archivdaten, aber auch Backup-Daten so zu speichern, dass der Produktionsprozess gesichert ist und gleichzeitig die Budgets nicht explodieren. Effizientes Datenmanagement werde in Zeiten von Big Data, Cloud und auch jeglicher Virtualisierung immer wichtiger.

Laut Manfred Felsberg ist das Thema im deutschen Mittelstand bisher nur teilweise angekommen. „Zu oft möchten Unternehmen an altbekannten Technologien und Herstellern festhalten“, kritisiert der Regional Sales Manager von Rubrik. Als Gründe werden meist genannt: Aktuelle Prozesse könnten beibehalten werden, die Aufgabenverteilung sei klar, die etablierte Lösung sei gut installiert und eingeführt. Zudem stünden oft noch keine neuen Investitionszyklen an – und häufig würden noch Ausschreibungen laufen.

Probleme im freizügigen Umgang mit Speicherplatz

Neben dem Festhalten an „Altbekanntem“ sieht Manfred Zerwas, geschäftsführender Gesellschafter der SER-Gruppe, ein Problem im freizügigen Umgang mit Speicherplatz. „Viel bringt nicht immer viel!“, warnt er. „Wenn Anwender Dokumente, Bilder, Videos etc. ohne Ordnung, ohne Regeln und ohne Rücksicht auf die Belange der Abteilung oder des Unternehmens einfach ablegen können, ist Chaos vorprogrammiert.“ Wenn man das Informationsmanagement dann noch an Hierarchien und Abteilungsgrenzen binde, blieben abteilungsübergreifende und unternehmensweite Prozesse auf der Strecke. Jede Abteilung müsse in diesem Fall ihre Informationen für sich redundant speichern, um bei den Geschäftsprozessen handlungsfähig zu bleiben.

In der Praxis ist das effiziente Management der zahlreichen Daten letztlich eine sehr komplexe Aufgabe, da es hierbei genau genommen um den kompletten Lebenszyklus der Daten geht – von der Erzeugung bis zur Löschung bzw. Archivierung. „Die jüngsten Schlagzeilen rund um Ransomware und die EU-DSGVO machen das Thema zusätzlich akut und relevant“, betont Markus Grau, Principal Systems Engineer bei der Pure Storage Germany GmbH.

Datenvolumen gering halten

Ein Punkt im Rahmen des effizienten Datenmanagements ist es, das Datenvolumen stets möglichst gering zu halten, was u.a. dank Deduplizierung und Kompression möglich ist. Darüber hinaus können unterschiedliche Speichermedien die Kosten deutlich reduzieren. „Während manche Anwendungen heute Flash-Speicher fordern, sind andere Applikationen mit klassischen und wesentlich günstigeren Festplatten zufrieden“, weiß Kurt Kraus. „Eine weitere Variante, die Kosten zu kontrollieren, wird durch Scale-out-NAS-Speichersysteme gegeben.“ Ein wesentlicher Teil der Kosten liege auch in der Administration. Scale-out-NAS-Speicher würden allerdings durchgängig skalieren – und das ohne höheren Administrationsaufwand. Die Technologie sei mittlerweile auch für den Mittelstand verfügbar.

Archiviert dieser seine Daten denn grundsätzlich richtig? Laut der Storage-Anbieter herrscht hier noch viel Aufklärungsbedarf. „Bislang ist der unternehmensweite Ansatz der Archivierung und Aufbewahrung noch nicht überall im Mittelstand angekommen“, bestätigt Manfred Zerwas. Oftmals fehle es an einer durchgehenden Archivierungsstrategie mit der Definition unternehmensweiter Standards und Regeln. Auch hinsichtlich Compliance und Revisionssicherheit herrsche nach wie vor Unsicherheit. Laut Kurt Kraus gibt es viele Unternehmen, die zudem Backup mit Archivierung gleichsetzen würden. „Dabei geht es hier um fundamental unterschiedliche Dinge“, betont der Pre-Sales Engineer. „Es ist nämlich gleichermaßen wichtig wie schwierig für Unternehmen, die Daten herauszufiltern, die tatsächlich ins Archiv wandern können.“

Die Qual der Wahl

Beispielsweise sollten alle steuerrelevanten Daten ebenso wie sämtliche Korrespondenz und Dokumentation in Zusammenhang mit den Produkten oder Leistungen eines Unternehmens langfristig aufbewahrt werden. „Mit Blick auf die Steuerprüfungen liegt die Frist bei zehn Jahren“, mahnt Stefan Utzinger, CEO von Novastor. Mit Blick auf rechtliche Streitigkeiten rund um Produkte und Leistungen seien die Fristen weniger eindeutig. Hinzu kommt, „dass manche Branchen, beispielsweise die Medizin, deutlich höhere Ansprüche an die Revisionssicherheit als eine Gärtnerei haben“, ergänzt Kraus. Auch hier müsse jeder Einzelfall genau betrachtet und dann angemessen datentechnisch behandelt werden.

Bei den entsprechenden Storage-Lösungen haben Unternehmen die Qual der Wahl: Band, Festplatte, Flash, On Premise, Private oder Public Cloud – die Optionen sind vielfältig und können gar miteinander kombiniert werden. Software-basierte Worm-Speicher verhindern z.B., dass archivierte Inhalte nachträglich verändert werden. Unter Kostengesichtspunkten ist wiederum „eine Auslagerung der Daten in die Cloud auf ein Object-Storage am sinnvollsten“, meint Bernd Carstens, Solutions Architect bei Actifio. In Verbindung mit der richtigen Plattformlösung im Unternehmen würden so gleichzeitig die Kosten und Bereitstellungsqualität optimiert.

Viele Unternehmen belassen ihre Bänder mit Daten ausschließlich im Unternehmen, anstatt sie abends z.B. in einem Bankschließfach zu deponieren. „Brennt es, ist alles weg!“, warnt Kurt Kraus. Daher ist für ihn die Sicherung der Daten in der Cloud und auf dezentral gelagerten Servern von „unschätzbarem Wert“.

DSGVO bisher stiefmütterlich behandelt

Die Wahl einer passenden Speicherlösung stellt den Mittelstand auch insofern vor eine Herausforderung, da ab dem 25. Mai 2018 die neue Europäische Datenschutz-Grundverordnung in Kraft tritt und den Umgang mit sensiblen Daten in Unternehmen definiert, um diese besser zu schützen. Die Verordnung verlangt mitunter, dass jedes Unternehmen, das persönliche Daten erhebt, in der Lage sein muss, diese bei Bedarf zu schützen oder zu löschen. Es muss also sofort erkennbar sein, an welchem Ort die betreffenden Informationen gespeichert sind.

„Im Enterprise-Bereich wird das Thema stark diskutiert. Die Unternehmen suchen hier nach Lösungen und setzen sich mit den Herausforderungen intensiv auseinander – gerade im Bankensektor“, weiß Bernd Carstens zu berichten. Im Mittelstand werde das Thema hingegen noch stiefmütterlich behandelt, wohl auch, weil viele Unternehmen irrtümlicherweise denken, dass die General Data Protection Regulation (GDPR) sie nicht betreffe. Ähnlich sieht es Kurt Kraus: Die DSGVO sei aber auch recht komplex und erfordere die Bereitstellung von Ressourcen, die nicht allen zur Verfügung stünden. „Daher haben einige Unternehmen etwas zu spät begonnen, die entsprechenden Prozesse zu planen und aufzusetzen, und wurden dann vom Umfang der nötigen Umstellungen überrascht.“

Hier ist also fachliche Unterstützung nötig. „Wir haben bereits Webinare zu diesem Thema veranstaltet und bieten Hilfestellung in Form von Leitfäden oder der Erstellung von Backup-Konzepten“, wirft der CEO von Novastor ein. Bisher verzeichne man eine hohe Nachfrage nach Informationen, Materialien und Dienstleistungen. Gleiches bestätigt Manfred Felsberg von Rubrik: „Dieses Thema wird jetzt verstärkt in Gesprächen angefragt, aber von einer umfassenden Einführung und Umsetzung sind die meisten Unternehmen noch weit weg.“ Das Problem: Man müsse das Gesetz zunächst einmal genau – und richtig – interpretieren und die Anforderungen individuell für jedes Unternehmen einzeln ausarbeiten.

Auf moderne Lösungen setzen

Fakt ist: Nach gesetzlichen Regelungen sind bestimmte personenbezogene Daten revisionssicher und mit Schutz vor Löschung und Manipulation zu verwahren. Die EU-DSGVO bringt allerdings das sogenannte „Recht auf Vergessenwerden“ mit sich. Das heißt, Personen haben mitunter das Recht, ihre Daten plus Links löschen zu lassen, wenn ihre Daten rechtswidrig verarbeitet oder behandelt wurden. Steht das nicht im Widerspruch zueinander? Ja, „hier prallen zwei gegensätzliche Forderungen des Gesetzgebers aufeinander“, bestätigt Manfred Zerwas. „Die Rechtsprechung wird zeigen, welche Vorrang erhält.“ Auch Stefan Utzinger sieht hier „in bestimmten Szenarien einen Widerspruch“ und geht davon aus, „dass erst tatsächliche Prüfungen, womöglich auch rechtliche Auseinandersetzungen, zu einer Klärung führen werden“.

Aktuelle Lösungen, die auf einer modernen Architektur aufsetzen, haben sicherlich den Vorteil, dass sie die neuen Regelungen bereits berücksichtigen. Systeme, die von ihrer Architektur her seit 20 Jahren nicht verändert wurden, lassen sich schwerer an die neuen Anforderungen anpassen. Das gilt vor allem für Lösungen, die auf proprietären Architekturen basieren und „die ihre Wurzeln in einer Welt ohne Cloud, ohne Mobility und ohne Virtualisierung haben“, so Carstens.

Auswahl des Storage-Anbieters

Bei der Auswahl eines Storage-Anbieters sollte man demnach einige Kriterien beachten. Gerade im Mittelstand ist der Storage-Anbieter selten der Hersteller selbst, sondern vielmehr ein spezialisiertes Partnerunternehmen, z.B. ein Systemhaus. Dieser Partner sollte vor allem das Wissen rund um die DSGVO mitbringen. „Hier ist Beratungsleistung gefragt, einerseits bei der Bestandsaufnahme und Analyse des existierenden Speichers, andererseits bei der Empfehlung für den Speicher zur Umsetzung der DSGVO“, erläutert Kurt Kraus. Insgesamt hätten sich  IT-Provider gut auf das Thema „DSGVO“ vorbereitet und könnten mittelständischen Unternehmen Hilfestellung geben.

Weil aber jedes Unternehmen unterschiedlich ist, liegt auch viel Verantwortung bei den Anwendern selbst. Kein Unternehmen sollte sich blind auf Systemhäuser bzw. Storage-Anbieter verlassen, sondern bereits vorab recherchieren und somit informiert in ein Beratungsgespräch gehen.

Bildquelle:Thinkstock/Digital Vision

©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH