Aktuelles, Branche - geschrieben von dp am Dienstag, Dezember 17, 2019 16:51 - noch keine Kommentare
DSGVO: Archive könnten rechtliche Zeitbombe werden
Friedhelm Peplowski geht auf die Problematik erheblicher Datenschutz-Risiken bei der langfristigen Aufbewahrung ein
[datensicherheit.de, 17.12.2019] Da bestehende Archivsysteme in vielen Fällen bewusst gegen das Löschen von Daten geschützt wurden, könnten für Unternehmen angesichts der EU-DSGVO nun große Probleme entstehen. Friedhelm Peplowski, „Area Director DACH“ bei Epiq, geht in seiner aktuellen Stellungnahme auf die Problematik erheblicher Datenschutz-Risiken bei der langfristigen Aufbewahrung ein und nennt drei Schritte, auf die Unternehmen achten sollten:
Friedhelm Peplowski: Datenklassifizierung, Erkennung und Markierung privater Informationen sowie Definition von Vorhaltezeiten empfohlen
Persönliche Daten werden oft zwangsläufig jahrelang aufbewahrt
„Rund 1,5 Jahre sind mittlerweile seit dem Ende der Schonfrist für die Umsetzung der EU-Datenschutzgrundverordnung vergangen – und vor Kurzem hat die DSGVO ihr bislang größtes Opfer gefunden“, so Peplowski:
Denn eine börsennotierte Wohnungsbaugesellschaft solle „eine Rekordstrafe von über 14 Millionen Euro“ zahlen. Der Grund dafür liege schlicht am Archivsystem des Unternehmens, welches demnach keine Löschmöglichkeit vorsieht. Persönliche Daten würden dadurch zwangsläufig über Jahre aufbewahrt.
Kriterium der Vollständigkeit kann nun nachteilige Folgen haben
„Bestehende Archivsysteme sind in vielen Fällen bewusst gegen das Löschen von Daten geschützt, um das Kriterium der Vollständigkeit zu erfüllen. Was als Schutz vor Manipulationen und versehentlichem oder absichtlichem Löschen einst gut gemeint war, kann sich für Firmen vor dem Hintergrund der EU-DSGVO aber als absolut toxisch erweisen”, warnt Peplowski.
Epiq empfiehlt nach eigenen Angaben, für die Umsetzung einer DSGVO-konformen Aufbewahrung sowie beim Aufbau einer künftigen Archivierungs-Umgebung vor allem drei wichtige Aspekte im Auge zu behalten: Das Klassifizieren von Daten, das Erkennen (und Markieren) von privaten Informationen sowie das Definieren von Vorhaltezeiten.
1. Datenklassifizierung
Ohne die vorhandenen Daten wirklich zu kennen, sei DSGVO-Compliance unmöglich. „Ziel der Datenklassifizierung ist es deshalb, sich einen umfassenden Überblick über den gesamten Bestand an strukturierten und unstrukturierten Daten zu verschaffen.“
Dabei werden laut Peplowski die Daten mit einem geeigneten Tool automatisiert analyisiert und kategorisiert – etwa auf Basis von Eigenschaften wie Inhalt oder Dateityp. Auch personenbezogene Daten könnten auf diese Weise zuverlässig identifiziert werden.
2. Erkennung und Markierung privater Informationen
Ein besonderes Problem bei der Archivierung von Daten im Sinne der DSGVO seien in vielen Fällen private, personenbezogene Daten. Ein häufig herangezogenes Beispiel hierfür seien etwa die Unterlagen eines (abgelehnten) Bewerbers.
„Entscheidend ist es, private Daten im Zuge der Analyse-Prozesse entsprechend zu erkennen und anschließend markieren zu können – mit einer geeigneten Lösung gelingt auch dieser Vorgang vollautomatisch.“
3. Definition von Vorhaltezeiten
Dieser folgende Schritt bestehe in der Definition von Vorhaltezeiten – häufig sei hierfür auch der englische Begriff „Retention“ gebräuchlich. Auf Basis der Datenklassifizierung könnten je nach rechtlichen Vorgaben und Aufbewahrungsfristen die jeweiligen Vorhaltezeiten für die Daten definiert werden, nach denen eine automatische Löschung erfolgen kann. Auf diese Weise werde beispielsweise auch sichergestellt, dass entsprechend markierte private Daten rechtzeitig und um Einklang mit den Richtlinien der DSGVO gelöscht werden.
„Auf Basis eines älteren Archivsystems lässt sich der dritte Schritt aufgrund der fehlenden Löschmöglichkeit häufig nicht ohne Weiteres umsetzen”, erläutert Peplowski. Hierzu hätten sie in Kundenprojekten jedoch bereits sehr gute Erfahrungen damit gemacht, „Bestandsarchive rechtskonform im Rahmen einer ,Office 365‘-Migration zu übertragen”.
Weitere Informationen zum Thema:
datensicherheit.de, 21.08.2019
DSGVO vs. CLOUD Act: EU-Unternehmen im Spannungsfeld
Aktuelles, Experten - Jan. 24, 2025 1:00 - noch keine Kommentare
Stargate: KI-Initiative in den USA setzt Europa unter Zugzwang
weitere Beiträge in Experten
- Laut Studie von DLA Piper wurden 2024 europaweit 1,2 Milliarden Euro DSGVO-Bußgelder verhängt
- Auskunftsrecht: EDSA hat Bericht zur koordinierten Prüfaktion CEF 2024 publiziert
- Bundestagswahl 2025: Politische Parteien dürfen Adressen zweckgebunden für Wahlwerbung nutzen
- Pseudonymisierung: Europäischer Datenschutzausschuss hat Leitlinien beschlossen
- Rat der Verbraucherzentrale zur ePA: Entweder aktive Pflege oder grundsätzlicher Widerspruch
Aktuelles, Branche, Studien - Jan. 23, 2025 0:48 - noch keine Kommentare
Cyber-Versicherungen: Neuer KnowBe4-Bericht zeigt dringenden Bedarf angesichts eskalierender digitaler Bedrohungen auf
weitere Beiträge in Branche
- Der Europäische Datenschutztag am 28. Januar soll Bürger sensibilisieren, die eigenen Daten besser zu schützen
- Gamer geraten ins Phishing-Fadenkreuz
- DORA: Europas neue Cyber-Sicherheitsverordnung stellt nicht nur den Finanzsektor vor Herausforderungen
- NIS-2: Veeam-Umfrage in Deutschland kündet von vielen Baustellen der KRITIS-Betreiber
- Warnung vor neuer Phishing-Angriffskampagne über Reisebüro-Konten
Branche, Umfragen - Dez. 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren