Gefahr, lass nach! Datenmanagement DSGVO-konform geht einfacher als gedacht

Immer mehr Daten und immer schärfere Bestimmungen. Die DSGVO hat den Umgang mit Informationen und Daten nicht einfacher gemacht. Das merken Unternehmen im Alltag bei der technischen Umsetzung immer wieder – doch das muss nicht so sein.

Gefahr, lass nach! Datenmanagement DSGVO-konform geht einfacher als gedacht

Ohne Datenmanagement keine Sicherheit

Torben Belz, Geschäftsführer der PLUTEX GmbH aus Bremen, weiß:

Noch immer liegen viele Daten in Unternehmen unstrukturiert vor, was nicht nur die Verwaltung und Wiederauffindbarkeit erschwert, sondern eine enorme Sicherheitslücke darstellt.“

Wo die Gefahren liegen und wie ein DSGVO-konformes Datenmanagement erfolgen kann, erklärt der Profi Torben Belz und erläutert:

„Viele fürchten das Thema DSGVO wegen schwer umzusetzender Prozesse oder möglicher Bußgelder. In erster Linie gibt uns die DSGVO allerdings sinnvolle Regeln und Maßnahmen in die Hand, um persönliche Daten zu schützen und selbst zu bestimmen, was mit den eigenen Daten geschieht.“

Es gilt abzuwägen, welche Daten zu welchem Zweck erfasst und für wie lange sie gespeichert werden. Hinzu kommt die Verpflichtung, Kunden zu informieren und nach Erfüllung des Erfassungszweckes die Daten wieder zu löschen. Für solch ein umfassendes Datenmanagement braucht es eine sichere und zuverlässige Datenablage sowie ein durchdachtes Konzept zur Zugangs- und Berechtigungskontrolle. Server, auf denen personenbezogene Daten verarbeitet und abgelegt werden, benötigen entsprechende physische und digitale Absicherungen. Des Weiteren ist eine redundante Auslegung, bei der dieselben Daten mehrfach vorliegen, maßgeblich und der Standort sollte sich in einem auf Informationssicherheit geprüften, TÜV-zertifizierten Rechenzentrum in Deutschland oder Europa befinden. Wird die Serverinfrastruktur nicht entsprechend aufgebaut, konfiguriert und gepflegt, stößt sie beim DSGVO-konformen Datenmanagement sehr schnell an ihre Grenzen. In der Folge kommt es zu Konflikten mit Kunden und den Datenschutzbehörden und im schlimmsten Fall zu einem Bußgeldverfahren. Deshalb ist es sinnvoll, beim Datenmanagement auf externe IT-Service-Provider zu setzen, die eigene professionelle Rechenzentren betreiben.

Zu lange und dafür zu wenig

Gespeichert werden müssen steuerrelevante Daten und solche, die Korrespondenzen und Dokumentationen enthalten, die im Zusammenhang mit Personen, Produkten oder Dienstleistungen stehen, also insbesondere E-Mails. Einen weiteren Fehler, den viele Unternehmen in diesem Zusammenhang machen: Sie speichern Daten länger als für den Verwendungszweck notwendig, dafür aber nur einmal.

Belz verdeutlicht und ergänzt:

Effizientes Datenmanagement berücksichtigt Aufbewahrungszeiträume je nach Art der Daten. So gilt beispielsweise für handels- und steuerrechtliche Informationen eine Aufbewahrungsfrist bis zu 10 Jahren, für medizinrechtliche Dokumente können es dagegen bis zu 30 Jahre sein. Backups sollten in Tages-, Wochen-, Monats- und Jahreszyklen erfolgen und es ist empfehlenswert, spezielle Storage-Hardware zu nutzen. Dabei sollten die Backups geografisch getrennt an mehreren Standorten erfolgen, um im Fall eines Verlustes an einem Ort die Daten trotzdem wiederherstellen zu können.“

Verloren im Datenraum

Für DSGVO-konforme Datenarchivierung müssen die Daten nicht nur vorliegen, sondern auch strukturiert, protokolliert und wiederauffindbar sein. Ohne eine Kennzeichnung durch Metainformationen ist dies kaum möglich. Sie definieren Daten, indem sie Hinweise auf den Datentyp, Autor oder das Erstelldatum geben.

Torben Belz führt weiter aus:

„Um Daten software- und medienunabhängig auch nach Jahren noch öffnen zu können, empfiehlt es sich, Serversysteme, wie Content-Adressed-Storage-Systeme, kurz CAS-Systeme, oder Cloud-Umgebungen zu nutzen. Diese Systeme bieten den Vorteil der Datenmigration und archivieren trotzdem revisionssicher.“

Auch bei der Datenübertragung gibt es einiges zu beachten. So stellen die oft genutzten Filesharing-Plattformen ein erhebliches Sicherheitsrisiko dar, denn es ist nie klar, wo die Daten physisch liegen. Hier besteht ein Complianceproblem, denn die DSGVO fordert bei der Übertragung von Daten Protokolle zum Nachweis. Sicherer sind hier File-Transfer-Dienste.

Angst vor Veränderung und hohen Kosten

Spezialisierte Service Provider unterstützen maßgeblich bei der Umsetzung datenschutzkonformer Archivierung. Sie haben sich auf die verschlüsselte Übertragung und Ablage von Daten, auf Dokumentationsanforderungen sowie auf Informations- und Protokollpflichten spezialisiert und kümmern sich von der Datenerhebung und Speicherung über Zugriff und Verarbeitung bis zur Löschung darum. Doch Unternehmen scheuen noch immer die Inanspruchnahme solcher Profis. Viele fürchten eine große Veränderung im Datenmanagement und hohe Kosten für neue Systemlandschaften und Serviceleistungen. Dies geht einher mit der zusätzlichen Angst, dass das neue System dann im schlimmsten Fall nicht richtig funktioniert und noch mehr Kosten entstehen. Gute Service Provider zeichnen sich dadurch aus, dass sie einen persönlichen Ansprechpartner bieten, der Kunden individuell berät, sowie einen eigenen Datenschutzbeauftragten. Ihre Rechenzentren verfügen über TÜV-Zertifizierungen für Qualitätsmanagement und Informationssicherheit und die Server stehen in Deutschland oder Europa. Außerdem leisten diese Anbieter Dokumentationen und Standards in den Serverkonfigurationen und im Aufbau des Netzwerkes.