ARCHIV6. Januar 2020

Daten-Archivierung als Compliance-Risiko im Hinblick auf die DSGVO

Friedhelm Peplowski, Epiq
Epiq

Eine langfristige und zuverlässige Daten-Archivierung im Unternehmen ist einerseits eine wichtige Geschäftsanforderung. Andererseits warnt die Firma Epiq als Anbieter in den Bereichen eDiscovery, regulatorische Anforderungen, Compliance und Information Governance vor erheblichen Datenschutz-Risiken bei der langfristigen Archivierung. Beim Aufbau moderner Archivierungs-Lösungen sollten daher drei Aspekte berücksichtigt werden.

Die seit reichlich anderthalb Jahren verbindlich umzusetzende EU-Datenschutzgrundverordnung (DSGVO) hat kürzlich ihr bislang größtes Opfer gefunden. Eine börsennotierte Wohnungsbaugesellschaft soll eine Rekordstrafe von mehr als 14 Millionen Euro zahlen. Der Grund dafür liegt schlicht am Archivsystem des Unternehmens, welches keine Löschmöglichkeit vorsieht. Persönliche Daten wurden dadurch zwangsläufig über Jahre aufbewahrt.

Als Anbieter in den Segmenten Legal Services, eDiscovery und Information Governance rät Epiq den Unternehmen in diesem Zusammenhang dringend dazu, ihre eigenen Prozesse bei der langfristigen Archivierung von Daten kritisch zu hinterfragen.

Bestehende Archivsysteme sind in vielen Fällen bewusst gegen das Löschen von Daten geschützt, um das Kriterium der Vollständigkeit zu erfüllen. Was als Schutz vor Manipulationen und versehentlichem oder absichtlichem Löschen einst gut gemeint war, kann sich für Firmen vor dem Hintergrund der EU-DSGVO aber als absolut toxisch erweisen.”

Friedhelm Peplowski, Area Director DACH bei Epiq

Epiq

Epiq (Webseite) empfiehlt nun, für die Umsetzung einer DSGVO-konformen Aufbewahrung sowie beim Aufbau einer Umgebung für die Archivierung vor allem drei wichtige Aspekte im Auge zu behalten: Das Klassifizieren von Daten, das Erkennen (und Markieren) von privaten Informationen sowie das Definieren von Vorhaltezeiten.

Daten klassifizieren

Ohne die vorhandenen Daten wirklich zu kennen, ist DSGVO-Compliance unmöglich. Ziel der Datenklassifizierung sollte es deshalb, sich einen umfassenden Überblick über den gesamten Bestand an strukturierten und unstrukturierten Daten zu verschaffen. Dabei werden die Daten mit einem geeigneten Tool analysiert und kategorisiert – etwa auf Basis von Eigenschaften wie Inhalt oder Dateityp. Auch hinsichtlich der DSGVO relevante personenbezogene Daten können auf diese Weise zuverlässig identifiziert werden.

Private Informationen erkennen

Ein besonderes Problem bei der Archivierung von Daten im Sinne der DSGVO sind in vielen Fällen private, personenbezogene Daten. Ein häufig herangezogenes Beispiel hierfür sind etwa die Unterlagen eines Bewerbers. Wichtig ist es, private Daten bei der Analyse entsprechend zu erkennen und anschließend markieren zu können – mit einer geeigneten Lösung gelingt auch dieser Vorgang vollautomatisch.

Vorhaltezeiten festlegen

Der folgende Schritt besteht in der Definition von Vorhaltezeiten (oft auch englisch “Retention” bezeichnet). Auf Basis der Datenklassifizierung können je nach rechtlichen Vorgaben und Aufbewahrungsfristen die jeweiligen Vorhaltezeiten für die Daten definiert werden, nach denen eine automatische Löschung erfolgen kann. Auf diese Weise kann auch sichergestellt werden, dass entsprechend markierte private Daten rechtzeitig und um Einklang mit den Richtlinien der DSGVO gelöscht werden.pp

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert