Business Continuity als Nebenprodukt der DSGVO Alles eine Frage der Umsetzung
20. September 2017Mit dem Inkrafttreten der Datenschutzgrundverordnung müssen Unternehmen die Vorgaben umgesetzt haben. Technisch gesehen gibt es zwar noch Zeit für die Vorbereitung, aber das Warten bis zum letzten Moment ist das Schlimmste, was man tun kann. Die vorausschauende Einführung eines soliden Backup– und Recovery-Konzepts ist deshalb ein wichtiger Schritt in die richtige Richtung – nicht nur hinsichtlich der DSGVO, sondern auch in Bezug auf die Forderung nach „Business Continuity“.
Compliance gefordert
Die europäischen Unternehmen beschäftigen sich verstärkt mit der neuen Datenschutzgrundverordnung (DSGVO), die im Mai 2018 in Kraft treten wird. Die neue Regel wird sodann die seit 1995 bestehende Datenschutzrichtlinie ersetzen. Diese Umstellung erfordert neue Maßnahmen bei der Verwaltung der Daten. Nicht zuletzt spielt die Datenabsicherung mittels Backup und Recovery-Lösungen eine immer wichtigere Rolle, denn die Einhaltung der DSGVO ist nicht nur für Unternehmen in der EU bindend, sondern betrifft auch Organisationen anderer Länder, die personenbezogene Daten von EU-Bürgern sammeln.
Im Zuge der neuen Verordnung erwartet die EU von den Unternehmen zahlreiche Anpassungen und Verbesserungen hinsichtlich ihrer Datenverarbeitungspraktiken. Dabei gilt es die folgenden Punkte zu beachten:
Datenzugriff: Alle EU-Bürger haben einen Rechtsanspruch, auf die Daten, die ein Unternehmen über sie gesammelt hat. Unternehmen sind dafür verantwortlich, bei Anfragen die korrekten Daten über entsprechende Person bereitzustellen.
Transparenz: Unternehmen müssen weitere Details darüber bereitstellen, wie sie die Verbraucherdaten verwenden und diese detaillierten Angaben in einer für Verbraucher verständlichen Sprache vermitteln.
Übertragbarkeit: Verbraucher können von Unternehmen verlangen, dass diese ihre Daten an Dritte weitergeben – was allerdings sehr umstritten ist, denn damit können Unternehmen Neukunden von anderen Unternehmen gewinnen oder aber auch Kunden an die Konkurrenz verlieren.
Entfernung und Löschung: Eine der wichtigsten Komponenten der DSGVO betrifft die Entfernung und Löschung. Verbraucher haben das Recht, ihre Daten aus dem Datenbestand von Unternehmen entfernen zu lassen, auch wenn sie diesen zuvor die Datensammlung und -Speicherung gestattet haben. Unternehmen müssen sicherstellen, dass bei Bedarf alle Spuren personenbezogener Daten von ihren Systemen gelöscht werden können.
Meldepflicht für Verstöße: Unternehmen müssen sowohl betroffene Personen als auch die nationale Aufsichtsbehörde für Datenschutzverstöße innerhalb von 72 Stunden nach dem Verstoß benachrichtigen.
Vorbereitung auf die DSGVO
Die DSGVO hat für Unternehmen innerhalb und außerhalb Europas wesentliche Auswirkungen. Einige Unternehmen müssen ihre bestehenden Datenschutzrichtlinien und -praktiken umfassend überarbeiten, damit sie die Grundverordnung erfüllen. Dieser Leitfaden führt einige kritische Schritte, die Unternehmen umsetzen müssen, damit sie den neuen Anforderungen der Datenschutzgrundverordnung gerecht werden, detailliert auf.
Artikel 32(1a-d) der Datenschutzgrundverordnung bestimmt, dass Unternehmen einen funktionierenden Disaster Recovery-Plan haben müssen. Sie sind verpflichtet, die Verfügbarkeit der personenbezogenen Daten zu gewährleisten und müssen in der Lage sein, deren Zugang bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen. Des Weiteren verfügt die Datenschutzgrundverordnung die Pseudoanonymisierung und Verschlüsselung personenbezogener Daten sowie die Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Ausfallsicherheit der Verarbeitungssysteme und -dienstleistungen zu gewährleisten.
Deshalb sollten die Verantwortlichen darauf achten, mit einem vertrauenswürdigen BDR-Anbieter mit solider Erfolgsbilanz zusammenzuarbeiten, denn die Backup- und Recovery-Lösung ist von entscheidender Bedeutung für die Compliance.
Recovery-Aspekte
Aufgrund dieser Vorgaben, sollten Unternehmen im Zusammenhang mit dem Thema Backup-Recovery die folgenden Aspekte berücksichtigen:
Spezialisten für Datensicherung ernennen: Die Einhaltung der DSGVO erfordert eine ernsthafte Beschäftigung mit der Netzsicherheit, so dass es ratsam ist, einen Datensicherungsexperten einzubinden – wahlweise aus dem Unternehmen oder die Fachkraft eines externen Anbieters. In jedem Fall sollte es einen Spezialisten geben, der sich explizit mit der Datensicherheit befasst.
Datenzugriffskontrollen implementieren: Mitarbeiter und Zulieferer dürfen nur auf die für ihre Aufgaben erforderlichen Ressourcen zugreifen können. Unternehmen müssen darüber hinaus in Technologien investieren, mit deren Hilfe der Datenzugriff besser verwaltet werden kann. So können beispielsweise bei der Zugriffskontrolle detaillierte Kennwortrichtlinien, mehrstufige Authentifizierungsverfahren oder rollenbasierte Berechtigungen helfen.
Zugriffs-Governance überprüfen: Mängel in der Einhaltung der DSGVO werden mit heftigen Sanktionen geahndet, so dass die grundlegende Zugriffsverwaltung allein nicht ausreichen wird. Die Governance verlangt, dass IT-Manager Zugriffsrechte regelmäßig überprüfen und sicherstellen, dass die Berechtigungen der Benutzer mit ihren Rollen übereinstimmen – sprich Unternehmen müssen sich also vergewissern, dass die Mitarbeiter den erforderlichen Zugriff haben, ohne dass die Datensicherheit gefährdet wird.
Perimeter sichern: Datensicherheit beginnt mit der Sicherung der Außengrenzen der Infrastruktur; integrierten Sicherheitsfunktionen, etwa von Windows, reichen nicht aus. Investitionen in Firewalls, Systeme zur Erkennung/Vorbeugung von Eindringlingen, Inhaltsfilter und virtuelle private Netzwerke können das Risiko signifikant reduzieren. Effektive Perimeter-Sicherheit erfordert eine Kombination komplexer Technologien, die jeweils eine Rolle bei der Bekämpfung von Netzbedrohungen übernehmen.
Forensische Untersuchungen vorbereiten: Falls ein Verstoß aufgetreten ist, muss die IT-Sicherheit nicht nur unverzüglich reagieren, um die Meldepflicht für Verstöße gegen die DSGVO einzuhalten, sondern auch Erkenntnisse über Nachweise für die Compliance liefern und eine Lösung finden. Die Protokollanalyse kann integraler Bestandteil des Behebungsverfahrens sein. Die von den Datenverarbeitungsanwendungen in den Protokollen generierte Aktivität ist im Grunde ein digitaler Fingerabdruck, der bei den Ermittlungen über Ablauf und Zeitpunkt des Geschehens hilft, so dass eine ordnungsgemäße Verwaltung der Protokollaktivitäten unerlässlich ist. Mithilfe dieser Protokolle lässt sich die Ursache eines Verstoßes weitgehend identifizieren und Nachweise für juristische Schritte sammeln.
Helmut Eder
arbeitet bei StorageCraft.