Datenmanagement gemäß DSGVO – So einfach geht es tatsächlich

Die DSGVO hat den Umgang mit Informationen und Daten nicht einfacher gemacht. Das merken Unternehmen im Alltag bei der technischen Umsetzung von Datenmanagement immer wieder. Denn immer noch liegen viele Daten in Unternehmen unstrukturiert vor, was nicht nur die Verwaltung und Wiederauffindbarkeit erschwert, sondern auch eine Sicherheitslücke darstellt. Wo die Gefahren liegen und wie ein DSGVO-konformes Datenmanagement erfolgen kann, erklärt Torben Belz, Geschäftsführer der Plutex GmbH in Bremen.

Viele fürchten das Thema DSGVO wegen schwer umzusetzender Prozesse oder möglicher Bußgelder. In erster Linie gibt uns die DSGVO allerdings sinnvolle Regeln und Maßnahmen in die Hand, um persönliche Daten zu schützen und selbst zu bestimmen, was mit den eigenen Daten geschieht. Daher gilt es abzuwägen, welche Daten zu welchem Zweck erfasst und für wie lange sie gespeichert werden.

Hinzu kommt die Verpflichtung, Kunden zu informieren und nach Erfüllung des Erfassungszweckes die Daten wieder zu löschen. Für solch ein umfassendes Datenmanagement braucht es eine sichere und zuverlässige Datenablage sowie ein durchdachtes Konzept zur Zugangs- und Berechtigungskontrolle. Server, auf denen personenbezogene Daten verarbeitet und abgelegt werden, benötigen entsprechende physische und digitale Absicherungen.

DSGVO-konformes Datenmanagement umsetzen

Des Weiteren ist eine redundante Auslegung, bei der dieselben Daten mehrfach vorliegen, maßgeblich und der Standort sollte sich in einem auf Informationssicherheit geprüften, TÜV-zertifizierten Rechenzentrum in Deutschland oder Europa befinden. Wird die Serverinfrastruktur nicht entsprechend aufgebaut, konfiguriert und gepflegt, stößt sie beim DSGVO-konformen Datenmanagement sehr schnell an ihre Grenzen. In der Folge kommt es zu Konflikten mit Kunden und den Datenschutzbehörden und im schlimmsten Fall zu einem Bußgeldverfahren. Deshalb ist es sinnvoll, beim Datenmanagement auf externe IT-Service-Provider zu setzen, die eigene professionelle Rechenzentren betreiben.

Daten werden häufig zu lange gespeichert

Gespeichert werden müssen steuerrelevante Daten und solche, die Korrespondenzen und Dokumentationen enthalten, die im Zusammenhang mit Personen, Produkten oder Dienstleistungen stehen, also insbesondere E-Mails. Einen weiteren Fehler, den viele Unternehmen in diesem Zusammenhang machen: Sie speichern Daten länger als für den Verwendungszweck notwendig, dafür aber nur einmal.

Effizientes Datenmanagement berücksichtigt Aufbewahrungszeiträume je nach Art der Daten. So gilt beispielsweise für handels- und steuerrechtliche Informationen eine Aufbewahrungsfrist bis zu zehn Jahren, für medizinrechtliche Dokumente können es dagegen bis zu 30 Jahre sein. Backups sollten in Tages-, Wochen-, Monats- und Jahreszyklen erfolgen und es ist empfehlenswert, spezielle Storage-Hardware zu nutzen. Dabei sollten die Backups geografisch getrennt an mehreren Standorten erfolgen, um im Fall eines Verlustes an einem Ort die Daten trotzdem wiederherstellen zu können.

Revisionssichere Datenarchivierung in der Cloud

Für DSGVO-konforme Datenarchivierung müssen die Daten nicht nur vorliegen, sondern auch strukturiert, protokolliert und wiederauffindbar sein. Ohne eine Kennzeichnung durch Meta-Informationen ist dies kaum möglich. Sie definieren Daten, indem sie Hinweise auf den Datentyp, Autor oder das Erstelldatum geben. Um Daten software- und medienunabhängig auch nach Jahren noch öffnen zu können, empfiehlt es sich, Serversysteme, wie Content-Adressed-Storage-Systeme, kurz CAS-Systeme, oder Cloud-Umgebungen zu nutzen. Diese Systeme bieten den Vorteil der Datenmigration und archivieren trotzdem revisionssicher.

Auch bei der Datenübertragung gibt es einiges zu beachten. So stellen die oft genutzten Filesharing-Plattformen ein erhebliches Sicherheitsrisiko dar, denn es ist nie klar, wo die Daten physisch liegen. Hier besteht ein Problem mit der Compliance, denn die DSGVO fordert bei der Übertragung von Daten Protokolle zum Nachweis. Sicherer sind hier File-Transfer-Dienste.

Service-Provider unterstützen beim Datenmanagement

Spezialisierte Service-Provider unterstützen maßgeblich bei der Umsetzung datenschutzkonformer Archivierung. Sie haben sich auf die verschlüsselte Übertragung und Ablage von Daten, auf Dokumentationsanforderungen sowie auf Informations- und Protokollpflichten spezialisiert und kümmern sich von der Datenerhebung und Speicherung über Zugriff und Verarbeitung bis zur Löschung darum. Doch Unternehmen scheuen noch immer die Inanspruchnahme solcher Profis. Viele fürchten eine große Veränderung im Datenmanagement und hohe Kosten für neue Systemlandschaften und Serviceleistungen. Dies geht einher mit der zusätzlichen Angst, dass das neue System dann im schlimmsten Fall nicht richtig funktioniert und noch mehr Kosten entstehen.

Gute Service Provider zeichnen sich dadurch aus, dass sie einen persönlichen Ansprechpartner bieten, der Kunden individuell berät, sowie einen eigenen Datenschutzbeauftragten. Ihre Rechenzentren verfügen über TÜV-Zertifizierungen für Qualitätsmanagement und Informationssicherheit und die Server stehen in Deutschland oder Europa. Außerdem leisten diese Anbieter Dokumentationen und Standards in den Serverkonfigurationen und im Aufbau des Netzwerkes.

Über den Autor: Torben Belz ist Geschäftsführer der Plutex GmbH in Bremen. Die Plutex GmbH ist ein auf Servermanagement, Netzwerke, Hosting und Colocation spezialisierter Managed Service Provider (MSP) mit eigenen zertifizierten Rechenzentren in Bremen und Bielefeld. Das Angebot umfasst Managed IT-Services, Cloud- und Storage-Lösungen, (Web-)Hosting, Server-Housing, A/SDSL- und Richtfunk-Verbindungen, Back-up- sowie Archivierungsdienstleistungen. (sg)