29.11.2017 Dieses Thema wird noch stiefmütterlich behandelt

Missachtung der EU-DSGVO: Hohe Strafen!

Von: Lea Sommerhäuser

Das Thema „EU-DSGVO“ wird im Mittelstand noch stiefmütterlich behandelt, meint Bernd Carstens, Solutions Architect bei Actifio. Doch das kann schwerwiegende Folgen haben.

Bernd Cartens, Actifio

„Bei schwerwiegenden Verstößen drohen Bußgelder von vier Prozent oder 20 Mio. Euro, je nachdem, welcher Betrag höher ist“, betont Bernd Cartens von Actifio.

ITM: Herr Carstens, wie viel Aufmerksamkeit schenken Mittelständler anno 2017 dem Thema „Effizientes Datenmanagement“?
Bernd Carstens:
Durch den starken Anstieg des Datenvolumens – auch in mittelständischen Unternehmen – steigt natürlich auch die Herausforderung, auf diese Daten schnell und jederzeit zugreifen zu können. Um in diesem Fall Herr der Lage zu bleiben, ist die Verlagerung von Daten in die Cloud in Verbindung mit einer cloud-fähigen Plattform der effizienteste Schritt. Solche Lösungen stehen auch Mittelständlern zur Verfügung und werden zunehmend oft in Anspruch genommen.

ITM: Viele Daten benötigen viel Speicherplatz, doch der darf gerade im Mittelstand natürlich nicht zu teuer sein. Wie können Mittelständler ihr Datenvolumen grundsätzlich so gering wie möglich halten, um Kosten zu sparen?
Carstens:
Das Datenvolumen steigt in erster Linie stark an, da die Produktionsdaten mehrfach gesichert und bereitgestellt werden. Sprich: Eine Vielzahl der anfallenden Daten sind Kopien bereits bestehender Daten. Durch Golden-Copy-Ansätze kann man die prall gefüllten Datensilos auflösen, überflüssige Datensicherungen reduzieren sowie die Datenbereitstellung und Verfügbarkeit massiv beschleunigen.

ITM: Welche Archivierungsmethoden erachten Sie für Mittelständler am sinnvollsten?
Carstens:
Unter Kostengesichtspunkten ist eine Auslagerung der Daten in die Cloud auf ein Object-Storage am sinnvollsten. In Verbindung mit der richtigen Plattformlösung im Unternehmen werden so gleichzeitig die Kosten und Bereitstellungsqualität optimiert.

ITM: Wie gewährleisten entsprechende Storage-Lösungen die Sicherheit der Daten?
Carstens:
Die kommt natürlich auf die jeweilige Lösung und auf das Umfeld an, in dem die Daten erzeugt werden. Es ist aber ratsam, sich die folgenden Fragen zu stellen, wenn es um das Datenmanagement und die Datenschutzstrategie geht:
• Nutzen wir verschiedene Technologien, um sekundäre Datenkopien zu verwalten?
• Haben wir mehrere, physische Kopien unserer Produktionsdaten auf verschiedenen Lokationen im Unternehmen verteilt?
• Nutzen wir für Training, Test/Dev, Analytics, Backup usw. verschiedene Kopienbestände?
• Werden Daten, die persönliche bzw. sensible Informationen beinhalten, im System als solche gekennzeichnet?
• Werden sensible persönliche Daten in einem einheitlichen, automatischen Prozess verschleiert oder anonymisiert?
• Haben wir die Regeln zur Datenaufbewahrung den neuen Datenschutzanforderungen angepasst?
• Kann unser System zum einen den erforderlichen Datenschutz leisten und zum anderen Daten für Entwicklungs- und Testumgebungen bereitstellen, ohne die Privatsphäre der Kunde, Partner oder Mitarbeiter zu verletzen?

ITM: Ab dem 25. Mai 2018 gilt die Europäische Datenschutz-Grundverordnung (EU-DSGVO). Ist der Mittelstand hierauf vorbereitet oder hat er das Thema bisher links liegengelassen?
Carstens:
Im Enterprise-Bereich wird das Thema stark diskutiert. Die Unternehmen suchen hier nach Lösungen und setzen sich mit den Herausforderungen intensiv auseinander – gerade im Bankensektor. Im Mittelstand wird das Thema noch stiefmütterlich behandelt, wohl auch weil viele Unternehmen irrtümlicherweise denken, dass GDPR sie nicht betrifft.

ITM: Welchen Einfluss übt die EU-DSGVO konkret auf die Datenarchivierung aus?
Carstens:
Die DSGVO regelt ab diesem Zeitpunkt nicht nur, wie die persönlichen Daten von Bürgern bei EU-internen Transaktionen gespeichert und geschützt werden müssen, sondern auch den Export solcher Daten in Länder außerhalb der Europäischen Union. Unternehmen, die persönliche Daten von EU-Bürgern speichern oder verarbeiten, müssen diesen Richtlinien ab dem 25. Mai 2018 genügen. Diese Wirkung über die Grenzen der EU hinaus ist leider auch vielen noch nicht klar.

ITM: Inwieweit berücksichtigen bzw. unterstützen die aktuellen Storage- bzw. Archivierungslösungen am Markt bereits die EU-DSGVO-Regelungen?
Carstens:
Diese Frage kann ich nicht pauschal beantworten. Sicher ist es aber so, dass Lösungen, die auf eine moderne Architektur setzen, einen Vorteil haben. Systeme, die von ihrer Architektur her seit 20 Jahren nicht verändert wurden, habe es sicherlich schwerer, sich den Anforderungen anzupassen. Da die Cloud bei vielen Firmen – auch im Mittelstand – eine wichtige Rolle spielt, kann man tendenziell sagen: Lösungen, die für das Cloud-Zeitalter entwickelt wurden und die keine technologischen Altlasten haben, sind im Vorteil.

ITM: Mit welchem Aufwand können bereits seit langem im Einsatz befindliche Speicher- und Archivierungslösungen entsprechend angepasst werden?
Carstens:
Auch das ist eine Einzelfallentscheidung. Klar ist aber, dass Lösungen, die auf proprietären Architekturen basieren und die ihre Wurzeln in einer Welt ohne Cloud, ohne Mobility und ohne Virtualisierung haben, es sicherlich sehr schwer haben werden, den Anforderungen zu entsprechen.

ITM: Was kann einem Mittelständler im schlimmsten Fall passieren, wenn die EU-DSGVO-Regelungen bei der Datenarchivierung nicht berücksichtigt werden?
Carstens:
Schon bei kleinen Verstößen drohen Strafzahlungen in Höhe von zwei Prozent des Jahresumsatzes, oder zehn Mio. Euro – je nachdem, welcher Betrag höher ist. Bei schwerwiegenden Verstößen drohen Bußgelder von vier Prozent oder 20 Mio. Euro, je nachdem, welcher Betrag höher ist, sowie das Verfahren für die Notifikation von Datenschutzverletzungen. Außerdem hat jeder Betroffene innerhalb der EU Anspruch auf Schadenersatz bei Datenschutzverletzungen.

Bildquelle: Actifio

©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH