Aktuelles, Branche - geschrieben von dp am Dienstag, Dezember 17, 2019 16:51 - noch keine Kommentare
DSGVO: Archive könnten rechtliche Zeitbombe werden
Friedhelm Peplowski geht auf die Problematik erheblicher Datenschutz-Risiken bei der langfristigen Aufbewahrung ein
[datensicherheit.de, 17.12.2019] Da bestehende Archivsysteme in vielen Fällen bewusst gegen das Löschen von Daten geschützt wurden, könnten für Unternehmen angesichts der EU-DSGVO nun große Probleme entstehen. Friedhelm Peplowski, „Area Director DACH“ bei Epiq, geht in seiner aktuellen Stellungnahme auf die Problematik erheblicher Datenschutz-Risiken bei der langfristigen Aufbewahrung ein und nennt drei Schritte, auf die Unternehmen achten sollten:
Friedhelm Peplowski: Datenklassifizierung, Erkennung und Markierung privater Informationen sowie Definition von Vorhaltezeiten empfohlen
Persönliche Daten werden oft zwangsläufig jahrelang aufbewahrt
„Rund 1,5 Jahre sind mittlerweile seit dem Ende der Schonfrist für die Umsetzung der EU-Datenschutzgrundverordnung vergangen – und vor Kurzem hat die DSGVO ihr bislang größtes Opfer gefunden“, so Peplowski:
Denn eine börsennotierte Wohnungsbaugesellschaft solle „eine Rekordstrafe von über 14 Millionen Euro“ zahlen. Der Grund dafür liege schlicht am Archivsystem des Unternehmens, welches demnach keine Löschmöglichkeit vorsieht. Persönliche Daten würden dadurch zwangsläufig über Jahre aufbewahrt.
Kriterium der Vollständigkeit kann nun nachteilige Folgen haben
„Bestehende Archivsysteme sind in vielen Fällen bewusst gegen das Löschen von Daten geschützt, um das Kriterium der Vollständigkeit zu erfüllen. Was als Schutz vor Manipulationen und versehentlichem oder absichtlichem Löschen einst gut gemeint war, kann sich für Firmen vor dem Hintergrund der EU-DSGVO aber als absolut toxisch erweisen”, warnt Peplowski.
Epiq empfiehlt nach eigenen Angaben, für die Umsetzung einer DSGVO-konformen Aufbewahrung sowie beim Aufbau einer künftigen Archivierungs-Umgebung vor allem drei wichtige Aspekte im Auge zu behalten: Das Klassifizieren von Daten, das Erkennen (und Markieren) von privaten Informationen sowie das Definieren von Vorhaltezeiten.
1. Datenklassifizierung
Ohne die vorhandenen Daten wirklich zu kennen, sei DSGVO-Compliance unmöglich. „Ziel der Datenklassifizierung ist es deshalb, sich einen umfassenden Überblick über den gesamten Bestand an strukturierten und unstrukturierten Daten zu verschaffen.“
Dabei werden laut Peplowski die Daten mit einem geeigneten Tool automatisiert analyisiert und kategorisiert – etwa auf Basis von Eigenschaften wie Inhalt oder Dateityp. Auch personenbezogene Daten könnten auf diese Weise zuverlässig identifiziert werden.
2. Erkennung und Markierung privater Informationen
Ein besonderes Problem bei der Archivierung von Daten im Sinne der DSGVO seien in vielen Fällen private, personenbezogene Daten. Ein häufig herangezogenes Beispiel hierfür seien etwa die Unterlagen eines (abgelehnten) Bewerbers.
„Entscheidend ist es, private Daten im Zuge der Analyse-Prozesse entsprechend zu erkennen und anschließend markieren zu können – mit einer geeigneten Lösung gelingt auch dieser Vorgang vollautomatisch.“
3. Definition von Vorhaltezeiten
Dieser folgende Schritt bestehe in der Definition von Vorhaltezeiten – häufig sei hierfür auch der englische Begriff „Retention“ gebräuchlich. Auf Basis der Datenklassifizierung könnten je nach rechtlichen Vorgaben und Aufbewahrungsfristen die jeweiligen Vorhaltezeiten für die Daten definiert werden, nach denen eine automatische Löschung erfolgen kann. Auf diese Weise werde beispielsweise auch sichergestellt, dass entsprechend markierte private Daten rechtzeitig und um Einklang mit den Richtlinien der DSGVO gelöscht werden.
„Auf Basis eines älteren Archivsystems lässt sich der dritte Schritt aufgrund der fehlenden Löschmöglichkeit häufig nicht ohne Weiteres umsetzen”, erläutert Peplowski. Hierzu hätten sie in Kundenprojekten jedoch bereits sehr gute Erfahrungen damit gemacht, „Bestandsarchive rechtskonform im Rahmen einer ,Office 365‘-Migration zu übertragen”.
Weitere Informationen zum Thema:
datensicherheit.de, 21.08.2019
DSGVO vs. CLOUD Act: EU-Unternehmen im Spannungsfeld
Aktuelles, Experten - Nov 22, 2024 18:30 - noch keine Kommentare
Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
weitere Beiträge in Experten
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
Aktuelles, Branche - Nov 23, 2024 11:35 - noch keine Kommentare
Black Friday: 89 Prozent mehr ominöse Shopping-Websites als 2023
weitere Beiträge in Branche
- PyPI-Lieferkette im Visier: Kaspersky deckte Cyber-Angriff auf
- Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle
- Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren