Aktuelles, Branche - geschrieben von dp am Dienstag, Dezember 17, 2019 16:51 - noch keine Kommentare
DSGVO: Archive könnten rechtliche Zeitbombe werden
Friedhelm Peplowski geht auf die Problematik erheblicher Datenschutz-Risiken bei der langfristigen Aufbewahrung ein
[datensicherheit.de, 17.12.2019] Da bestehende Archivsysteme in vielen Fällen bewusst gegen das Löschen von Daten geschützt wurden, könnten für Unternehmen angesichts der EU-DSGVO nun große Probleme entstehen. Friedhelm Peplowski, „Area Director DACH“ bei Epiq, geht in seiner aktuellen Stellungnahme auf die Problematik erheblicher Datenschutz-Risiken bei der langfristigen Aufbewahrung ein und nennt drei Schritte, auf die Unternehmen achten sollten:
Friedhelm Peplowski: Datenklassifizierung, Erkennung und Markierung privater Informationen sowie Definition von Vorhaltezeiten empfohlen
Persönliche Daten werden oft zwangsläufig jahrelang aufbewahrt
„Rund 1,5 Jahre sind mittlerweile seit dem Ende der Schonfrist für die Umsetzung der EU-Datenschutzgrundverordnung vergangen – und vor Kurzem hat die DSGVO ihr bislang größtes Opfer gefunden“, so Peplowski:
Denn eine börsennotierte Wohnungsbaugesellschaft solle „eine Rekordstrafe von über 14 Millionen Euro“ zahlen. Der Grund dafür liege schlicht am Archivsystem des Unternehmens, welches demnach keine Löschmöglichkeit vorsieht. Persönliche Daten würden dadurch zwangsläufig über Jahre aufbewahrt.
Kriterium der Vollständigkeit kann nun nachteilige Folgen haben
„Bestehende Archivsysteme sind in vielen Fällen bewusst gegen das Löschen von Daten geschützt, um das Kriterium der Vollständigkeit zu erfüllen. Was als Schutz vor Manipulationen und versehentlichem oder absichtlichem Löschen einst gut gemeint war, kann sich für Firmen vor dem Hintergrund der EU-DSGVO aber als absolut toxisch erweisen”, warnt Peplowski.
Epiq empfiehlt nach eigenen Angaben, für die Umsetzung einer DSGVO-konformen Aufbewahrung sowie beim Aufbau einer künftigen Archivierungs-Umgebung vor allem drei wichtige Aspekte im Auge zu behalten: Das Klassifizieren von Daten, das Erkennen (und Markieren) von privaten Informationen sowie das Definieren von Vorhaltezeiten.
1. Datenklassifizierung
Ohne die vorhandenen Daten wirklich zu kennen, sei DSGVO-Compliance unmöglich. „Ziel der Datenklassifizierung ist es deshalb, sich einen umfassenden Überblick über den gesamten Bestand an strukturierten und unstrukturierten Daten zu verschaffen.“
Dabei werden laut Peplowski die Daten mit einem geeigneten Tool automatisiert analyisiert und kategorisiert – etwa auf Basis von Eigenschaften wie Inhalt oder Dateityp. Auch personenbezogene Daten könnten auf diese Weise zuverlässig identifiziert werden.
2. Erkennung und Markierung privater Informationen
Ein besonderes Problem bei der Archivierung von Daten im Sinne der DSGVO seien in vielen Fällen private, personenbezogene Daten. Ein häufig herangezogenes Beispiel hierfür seien etwa die Unterlagen eines (abgelehnten) Bewerbers.
„Entscheidend ist es, private Daten im Zuge der Analyse-Prozesse entsprechend zu erkennen und anschließend markieren zu können – mit einer geeigneten Lösung gelingt auch dieser Vorgang vollautomatisch.“
3. Definition von Vorhaltezeiten
Dieser folgende Schritt bestehe in der Definition von Vorhaltezeiten – häufig sei hierfür auch der englische Begriff „Retention“ gebräuchlich. Auf Basis der Datenklassifizierung könnten je nach rechtlichen Vorgaben und Aufbewahrungsfristen die jeweiligen Vorhaltezeiten für die Daten definiert werden, nach denen eine automatische Löschung erfolgen kann. Auf diese Weise werde beispielsweise auch sichergestellt, dass entsprechend markierte private Daten rechtzeitig und um Einklang mit den Richtlinien der DSGVO gelöscht werden.
„Auf Basis eines älteren Archivsystems lässt sich der dritte Schritt aufgrund der fehlenden Löschmöglichkeit häufig nicht ohne Weiteres umsetzen”, erläutert Peplowski. Hierzu hätten sie in Kundenprojekten jedoch bereits sehr gute Erfahrungen damit gemacht, „Bestandsarchive rechtskonform im Rahmen einer ,Office 365‘-Migration zu übertragen”.
Weitere Informationen zum Thema:
datensicherheit.de, 21.08.2019
DSGVO vs. CLOUD Act: EU-Unternehmen im Spannungsfeld
Aktuelles, Experten, Veranstaltungen - Okt 2, 2024 18:15 - noch keine Kommentare
Incident Response in Industrie-Unternehmen: Online-Veranstaltung am 16. Oktober 2024
weitere Beiträge in Experten
- Cyber-Sicherheit industrieller Anlagen: Internationales OT-Grundsatzpapier veröffentlicht
- BKA-II Entscheidung: BfDI begrüßt Klarheit für geplante Modernisierung polizeilicher Computersysteme
- BKA II: Bundesverfassungsgericht hat laut DAV wichtige Grenzen gesetzt
- EAID-Online-Diskussion: Cybersecurity und Datenschutz im globalen Spannungsfeld
- Cybercrime: BKA meldet erfolgreichen Schlag gegen Infrastruktur digitaler Geldwäscher der Underground Economy
Aktuelles, Branche - Okt 4, 2024 18:53 - noch keine Kommentare
Microsoft-E-Mails: Tausende verschiedener Fälschungen im Umlauf
weitere Beiträge in Branche
- Hacker nehmen verstärkt Rentner ins Visier
- Von NIS zu NIS-2 – neue Herausforderungen speziell für Unternehmen Kritischer IT-Infrastruktur
- Satnam Narang kommentiert Schwachstellen im CUPS-Drucksystem
- Telegram: Lothar Geuenich plädiert für Balance zwischen Sicherheit und Verantwortung
- Über 76.000 Geräte von Kritischer Remote-Code-Schwachstelle in CUPS betroffen
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren