Bera­tung und Sup­port – Tel. 0800 100 400 800

Pres­se­infor­ma­tion: Gefahr, lass nach!

Daten­ma­nage­ment DSGVO-kon­form geht ein­fa­cher als gedacht

Bre­men im Juli 2019. Immer mehr Daten und immer schär­fere Bestim­mun­gen. Die DSGVO hat den Umgang mit Infor­ma­tio­nen und Daten nicht ein­fa­cher gemacht. Das mer­ken Unter­neh­men im All­tag bei der tech­ni­schen Umset­zung immer wie­der. „Noch immer lie­gen viele Daten in Unter­neh­men unstruk­tu­riert vor, was nicht nur die Ver­wal­tung und Wie­der­auf­find­bar­keit erschwert, son­dern eine enorme Sicher­heits­lü­cke dar­stellt“, weiß Tor­ben Belz, Geschäfts­füh­rer der PLUTEX GmbH aus Bre­men. Wo die Gefah­ren lie­gen und wie ein DSGVO-kon­for­mes Daten­ma­nage­ment erfol­gen kann, erklärt der Profi.

Ohne Daten­ma­nage­ment keine Sicher­heit

„Viele fürch­ten das Thema DSGVO wegen schwer umzu­set­zen­der Pro­zesse oder mög­li­cher Buß­gel­der“, erklärt Tor­ben Belz und erläu­tert: „In ers­ter Linie gibt uns die DSGVO aller­dings sinn­volle Regeln und Maß­nah­men in die Hand, um per­sön­li­che Daten zu schüt­zen und selbst zu bestim­men, was mit den eige­nen Daten geschieht.“ Es gilt abzu­wä­gen, wel­che Daten zu wel­chem Zweck erfasst und für wie lange sie gespei­chert wer­den. Hinzu kommt die Ver­pflich­tung, Kun­den zu infor­mie­ren und nach Erfül­lung des Erfas­sungs­zwe­ckes die Daten wie­der zu löschen. Für solch ein umfas­sen­des Daten­ma­nage­ment braucht es eine sichere und zuver­läs­sige Daten­ab­lage sowie ein durch­dach­tes Kon­zept zur Zugangs- und Berech­ti­gungs­kon­trolle. Ser­ver, auf denen per­so­nen­be­zo­gene Daten ver­ar­bei­tet und abge­legt wer­den, benö­ti­gen ent­spre­chende phy­si­sche und digi­tale Absi­che­run­gen. Des Wei­te­ren ist eine red­un­dante Aus­le­gung, bei der die­sel­ben Daten mehr­fach vor­lie­gen, maß­geb­lich und der Stand­ort sollte sich in einem auf Infor­ma­ti­ons­si­cher­heit geprüf­ten, TÜV-zer­ti­fi­zier­ten Rechen­zen­trum in Deutsch­land oder Europa befin­den. Wird die Ser­verin­fra­struk­tur nicht ent­spre­chend auf­ge­baut, kon­fi­gu­riert und gepflegt, stößt sie beim DSGVO-kon­for­men Daten­ma­nage­ment sehr schnell an ihre Gren­zen. In der Folge kommt es zu Kon­flik­ten mit Kun­den und den Daten­schutz­be­hör­den und im schlimms­ten Fall zu einem Buß­geld­ver­fah­ren. Des­halb ist es sinn­voll, beim Daten­ma­nage­ment auf externe IT-Ser­vice-Pro­vi­der zu set­zen, die eigene pro­fes­sio­nelle Rechen­zen­tren betrei­ben.

Zu lange und dafür zu wenig

Gespei­chert wer­den müs­sen steu­er­rele­vante Daten und sol­che, die Kor­re­spon­den­zen und Doku­men­ta­tio­nen ent­hal­ten, die im Zusam­men­hang mit Per­so­nen, Pro­duk­ten oder Dienst­leis­tun­gen ste­hen, also ins­be­son­dere E‑Mails. Einen wei­te­ren Feh­ler, den viele Unter­neh­men in die­sem Zusam­men­hang machen: Sie spei­chern Daten län­ger als für den Ver­wen­dungs­zweck not­wen­dig, dafür aber nur ein­mal. „Effi­zi­en­tes Daten­ma­nage­ment berück­sich­tigt Auf­be­wah­rungs­zeit­räume je nach Art der Daten. So gilt bei­spiels­weise für han­dels- und steu­er­recht­li­che Infor­ma­tio­nen eine Auf­be­wah­rungs­frist bis zu 10 Jah­ren, für medi­zin­recht­li­che Doku­mente kön­nen es dage­gen bis zu 30 Jahre sein“, ver­deut­licht Belz und ergänzt: „Back­ups soll­ten in Tages‑, Wochen‑, Monats- und Jah­res­zy­klen erfol­gen und es ist emp­feh­lens­wert, spe­zi­elle Sto­rage-Hard­ware zu nut­zen. Dabei soll­ten die Back­ups geo­gra­fisch getrennt an meh­re­ren Stand­or­ten erfol­gen, um im Fall eines Ver­lus­tes an einem Ort die Daten trotz­dem wie­der­her­stel­len zu kön­nen.“

Ver­lo­ren im Daten­raum

Für DSGVO-kon­forme Daten­ar­chi­vie­rung müs­sen die Daten nicht nur vor­lie­gen, son­dern auch struk­tu­riert, pro­to­kol­liert und wie­der­auf­find­bar sein. Ohne eine Kenn­zeich­nung durch Meta­in­for­ma­tio­nen ist dies kaum mög­lich. Sie defi­nie­ren Daten, indem sie Hin­weise auf den Daten­typ, Autor oder das Erstell­da­tum geben. Tor­ben Belz führt wei­ter aus: „Um Daten soft­ware- und medi­en­un­ab­hän­gig auch nach Jah­ren noch öff­nen zu kön­nen, emp­fiehlt es sich, Ser­ver­sys­teme, wie Con­tent-Adres­sed-Sto­rage-Sys­teme, kurz CAS-Sys­teme, oder Cloud-Umge­bun­gen zu nut­zen. Diese Sys­teme bie­ten den Vor­teil der Daten­mi­gra­tion und archi­vie­ren trotz­dem revi­si­ons­si­cher.“ Auch bei der Daten­über­tra­gung gibt es eini­ges zu beach­ten. So stel­len die oft genutz­ten File­sha­ring-Platt­for­men ein erheb­li­ches Sicher­heits­ri­siko dar, denn es ist nie klar, wo die Daten phy­sisch lie­gen. Hier besteht ein Com­pli­an­ce­pro­blem, denn die DSGVO for­dert bei der Über­tra­gung von Daten Pro­to­kolle zum Nach­weis. Siche­rer sind hier File-Trans­fer-Dienste.

Angst vor Ver­än­de­rung und hohen Kos­ten

Spe­zia­li­sierte Ser­vice Pro­vi­der unter­stüt­zen maß­geb­lich bei der Umset­zung daten­schutz­kon­for­mer Archi­vie­rung. Sie haben sich auf die ver­schlüs­selte Über­tra­gung und Ablage von Daten, auf Doku­men­ta­ti­ons­an­for­de­run­gen sowie auf Infor­ma­ti­ons- und Pro­to­koll­pflich­ten spe­zia­li­siert und küm­mern sich von der Daten­er­he­bung und Spei­che­rung über Zugriff und Ver­ar­bei­tung bis zur Löschung darum. Doch Unter­neh­men scheuen noch immer die Inan­spruch­nahme sol­cher Pro­fis. Viele fürch­ten eine große Ver­än­de­rung im Daten­ma­nage­ment und hohe Kos­ten für neue Sys­tem­land­schaf­ten und Ser­vice­leis­tun­gen. Dies geht ein­her mit der zusätz­li­chen Angst, dass das neue Sys­tem dann im schlimms­ten Fall nicht rich­tig funk­tio­niert und noch mehr Kos­ten ent­ste­hen. „Gute Ser­vice Pro­vi­der zeich­nen sich dadurch aus, dass sie einen per­sön­li­chen Ansprech­part­ner bie­ten, der Kun­den indi­vi­du­ell berät, sowie einen eige­nen Daten­schutz­be­auf­trag­ten. Ihre Rechen­zen­tren ver­fü­gen über TÜV-Zer­ti­fi­zie­run­gen für Qua­li­täts­ma­nage­ment und Infor­ma­ti­ons­si­cher­heit und die Ser­ver ste­hen in Deutsch­land oder Europa. Außer­dem leis­ten diese Anbie­ter Doku­men­ta­tio­nen und Stan­dards in den Ser­ver­kon­fi­gu­ra­tio­nen und im Auf­bau des Netz­wer­kes.“

Wei­tere Infor­ma­tio­nen unter www.plutex.de

Text­länge: 5.413 Zei­chen mit Leer­zei­chen

PLUTEX GmbH
Die PLUTEX GmbH ist ein auf Ser­ver­ma­nage­ment, Netz­werke, Hos­ting und Colo­ca­tion spe­zia­li­sier­ter Mana­ged Ser­vice Pro­vi­der (MSP) mit eige­nen zer­ti­fi­zier­ten Rechen­zen­tren in Bre­men und Bie­le­feld. Das Ange­bot umfasst Mana­ged IT-Ser­vices, Cloud- und Sto­rage-Lösun­gen, (Web-)Hosting, Ser­ver-Housing, A/SDSL- und Richt­funk-Ver­bin­dun­gen, Back-up- sowie Archi­vie­rungs­dienst­leis­tun­gen. Alle Lösun­gen wer­den fle­xi­bel und indi­vi­du­ell nach Anfor­de­run­gen der Kun­den auf­ge­baut. Die Rechen­zen­tren arbei­ten mit maxi­ma­ler Ener­gie­ef­fi­zi­enz und bie­ten ein leis­tungs­fä­hi­ges und schnel­les Back­bone-Netz mit Kno­ten­punk­ten und direk­tem Zugang zu allen wich­ti­gen Car­ri­ern. Ein mehr­stu­fi­ges Sicher­heits­kon­zept, jähr­li­che TÜV-Süd-Audits sowie ein Daten­schutz­be­auf­trag­ter sor­gen für umfas­sende Sicher­heit und Kon­trolle von Daten und Ser­vern. Die Rechen­zen­tren tra­gen sowohl für die IT- und Infor­ma­ti­ons­si­cher­heit (ISO/IEC 27001) als auch für das Qua­li­täts­ma­nage­ment (ISO/IEC 9001) den offi­zi­el­len TÜV-Süd-Stem­pel.

Pres­se­kon­takt: Borg­meier Public Rela­ti­ons, Lilian Lehr-Kück / Vera Kem­me­sies, Am Saat­moor 2, 28865 Lili­en­thal, Tel.: 04298–4683-26/-25, Fax: 04298–4683-33, E‑Mail: lehr@​borgmeier.​de / kemmesies@​borgmeier.​de

Immer auf dem Laufenden!

Bestellen Sie unseren Newsletter! Mit Technik, Neuheiten und Informationen rund ums Rechenzentrum, einmal im Quartal ins Postfach.