DSGVO: Archive könnten rechtliche Zeitbombe werden

Friedhelm Peplowski geht auf die Problematik erheblicher Datenschutz-Risiken bei der langfristigen Aufbewahrung ein

[datensicherheit.de, 17.12.2019] Da bestehende Archivsysteme in vielen Fällen bewusst gegen das Löschen von Daten geschützt wurden, könnten für Unternehmen angesichts der EU-DSGVO nun große Probleme entstehen. Friedhelm Peplowski, „Area Director DACH“ bei Epiq, geht in seiner aktuellen Stellungnahme auf die Problematik erheblicher Datenschutz-Risiken bei der langfristigen Aufbewahrung ein und nennt drei Schritte, auf die Unternehmen achten sollten:

Friedhelm Peplowski

Friedhelm Peplowski: Datenklassifizierung, Erkennung und Markierung privater Informationen sowie Definition von Vorhaltezeiten empfohlen

Persönliche Daten werden oft zwangsläufig jahrelang aufbewahrt

„Rund 1,5 Jahre sind mittlerweile seit dem Ende der Schonfrist für die Umsetzung der EU-Datenschutzgrundverordnung vergangen – und vor Kurzem hat die DSGVO ihr bislang größtes Opfer gefunden“, so Peplowski:
Denn eine börsennotierte Wohnungsbaugesellschaft solle „eine Rekordstrafe von über 14 Millionen Euro“ zahlen. Der Grund dafür liege schlicht am Archivsystem des Unternehmens, welches demnach keine Löschmöglichkeit vorsieht. Persönliche Daten würden dadurch zwangsläufig über Jahre aufbewahrt.

Kriterium der Vollständigkeit kann nun nachteilige Folgen haben

„Bestehende Archivsysteme sind in vielen Fällen bewusst gegen das Löschen von Daten geschützt, um das Kriterium der Vollständigkeit zu erfüllen. Was als Schutz vor Manipulationen und versehentlichem oder absichtlichem Löschen einst gut gemeint war, kann sich für Firmen vor dem Hintergrund der EU-DSGVO aber als absolut toxisch erweisen”, warnt Peplowski.
Epiq empfiehlt nach eigenen Angaben, für die Umsetzung einer DSGVO-konformen Aufbewahrung sowie beim Aufbau einer künftigen Archivierungs-Umgebung vor allem drei wichtige Aspekte im Auge zu behalten: Das Klassifizieren von Daten, das Erkennen (und Markieren) von privaten Informationen sowie das Definieren von Vorhaltezeiten.

1. Datenklassifizierung

Ohne die vorhandenen Daten wirklich zu kennen, sei DSGVO-Compliance unmöglich. „Ziel der Datenklassifizierung ist es deshalb, sich einen umfassenden Überblick über den gesamten Bestand an strukturierten und unstrukturierten Daten zu verschaffen.“
Dabei werden laut Peplowski die Daten mit einem geeigneten Tool automatisiert analyisiert und kategorisiert – etwa auf Basis von Eigenschaften wie Inhalt oder Dateityp. Auch personenbezogene Daten könnten auf diese Weise zuverlässig identifiziert werden.

2. Erkennung und Markierung privater Informationen

Ein besonderes Problem bei der Archivierung von Daten im Sinne der DSGVO seien in vielen Fällen private, personenbezogene Daten. Ein häufig herangezogenes Beispiel hierfür seien etwa die Unterlagen eines (abgelehnten) Bewerbers.
„Entscheidend ist es, private Daten im Zuge der Analyse-Prozesse entsprechend zu erkennen und anschließend markieren zu können – mit einer geeigneten Lösung gelingt auch dieser Vorgang vollautomatisch.“

3. Definition von Vorhaltezeiten

Dieser folgende Schritt bestehe in der Definition von Vorhaltezeiten – häufig sei hierfür auch der englische Begriff „Retention“ gebräuchlich. Auf Basis der Datenklassifizierung könnten je nach rechtlichen Vorgaben und Aufbewahrungsfristen die jeweiligen Vorhaltezeiten für die Daten definiert werden, nach denen eine automatische Löschung erfolgen kann. Auf diese Weise werde beispielsweise auch sichergestellt, dass entsprechend markierte private Daten rechtzeitig und um Einklang mit den Richtlinien der DSGVO gelöscht werden.
„Auf Basis eines älteren Archivsystems lässt sich der dritte Schritt aufgrund der fehlenden Löschmöglichkeit häufig nicht ohne Weiteres umsetzen”, erläutert Peplowski. Hierzu hätten sie in Kundenprojekten jedoch bereits sehr gute Erfahrungen damit gemacht, „Bestandsarchive rechtskonform im Rahmen einer ,Office 365‘-Migration zu übertragen”.

Weitere Informationen zum Thema:

datensicherheit.de, 21.08.2019
DSGVO vs. CLOUD Act: EU-Unternehmen im Spannungsfeld