DSGVO ist angekommen – auch beim Backup?
28. September 2018Wenn es um die Datenschutz-Grundverordnung (DSGVO) geht, haben die meisten Firmen noch nicht alle Unternehmensbereiche in trockene Tücher gebracht. Nichtsdestotrotz ist die aktuelle EU-Datenschutzrichtlinie in den Firmen angekommen. Wie sich bei diesem Thema noch Details optimieren lassen, zeigen die MTI-Experten „Peter Bilicki“ und „Sebastian Paul“. Aber auch Bereiche, die mit der DSGVO nur zu leicht kollidieren – etwa Backup- und Archiv-Systeme – müssen in den Fokus der Verantwortlichen rücken. Nicht immer lässt sich dabei eine zufriedenstellende Lösung oder ein Kompromiss finden.
NT4ADMINS: Gab es beim Endspurt zu Einführung der Datenschutz-Grundverordnung in den Unternehmen größere Probleme?
Paul: Derartige Anpassungen stellen eine organisatorische Herausforderung dar, aber die DSGVO ist bei vielen Unternehmen zumindest entsprechend angekommen. Ob die Umsetzung auch korrekt vorgenommen wurde, steht dabei leider auf einem anderen Blatt. Setzt man beispielsweise die DSGVO nach den „schärfsten“ Kriterien um, werden im europäischen Raum wohl kaum noch Unternehmen „übrigbleiben“. Denn um die DSGVO Eins-zu-Eins umzusetzen, müssten die Firmen wohl im ersten Schritt alle personenbezogenen Datensätze entfernen und dann quasi bei „Null“ wieder anfangen. Das ist nicht praktikabel.
NT4ADMINS: Wie weit ist man mit der DSGVO bei MTI?
Paul: Im nationalen Umfeld wird oftmals die Meinung vertreten: Besser 100 Prozent genau arbeiten, anstatt „irgendetwas“ halbherzig umzusetzen. Auch wir von MTI sind momentan bestrebt, die gesetzlichen Regelungen konsequent umzusetzen. Beispielsweise verfügen wir über eine externe Datenschutzbeauftrage, die uns bei Kundenanfragen mit Rat und Tat zur Seite steht.
NT4ADMINS: Wie gehen die Unternehmen nun mit Datensätzen, Adressen und Kontaktinformationen ihrer Kunden und Partner um? Müssen diese Kontakte alle einzeln ihr „Double-Opt-In“ geben, damit diese weiterhin in der Datenbank verbleiben können? Ist ein derartiges Anschreiben vielleicht bereits ein Verstoß gegen die DSGVO, schließlich nimmt man ja Kontakt zu Kunden auf, die bisher nicht ausdrücklich erklärt haben, dass sie gerne kontaktiert werden möchten?
Paul: Nachdem die Formulierungen in der DSGVO nicht für jeden Fall genauestens beschrieben wurden, lässt sich an dieser Stelle durchaus ein gewisser Interpretationsspielraum feststellen. Daher schreiben wir Kunden beispielsweise gezielt an, und nur wenn diese über ein Double-Opt-In das „OK“ geben, wird diese Person in unserer Datenbank entsprechend gekennzeichnet. Der Vorgang wird zudem schriftlich dokumentiert, auf diese Weise sollten die Vorgaben der DSGVO einwandfrei eingehalten werden.
NT4ADMINS: Wie sieht es bei den personenbezogenen Daten im Backup-, Archivierungs-, und Restore-Bereich aus? Denn bei Anfragen bezüglich der Auskunftspflicht müssten die Unternehmen ja genaue Angaben machen, wann wo welche Daten des Kunden verarbeitet und gespeichert wurden. Somit fallen auch die Backup-Datensätze unter diesen Passus. Gibt es da technische Lösungen?
Bilicki: Uns sind hier keine Lösungen bekannt. Weder bei uns im Haus noch von den Herstellern, mit denen wir zusammenarbeiten. Das ist allerdings auch kein neues Problem. Bei MTI haben wir beispielsweise um das Jahr 2009 herum einige Projekte im Bereich Archivierung durchgeführt. An dieser Stelle ging es primär um die Trennung von privaten Daten und Firmendaten – eine Analogie zur DSGVO ist vorhanden. Das Problem an dieser Stelle war folgendes: Während der Arbeitszeit landeten sowohl private Daten als auch geschäftliche Daten auf den Systemen der Mitarbeiter. Falls ein Angestellter beispielsweise eine E-Mail-Adresse mit seinem geschäftlichen Konto empfängt, diese aber (teilweise) privaten Content beinhaltet. Diese wurden ganz „klassisch“ in mehreren Backup-Datensätzen gesichert oder archiviert.
Wobei die Archivierung aus dieser Sicht „noch schlimmer“ ist, denn etwa aufgrund von Steuergesetzten müssen bestimmte Daten, Dokumente oder auch E-Mail-Korrespondenzen für längere Zeiträume (etwa zehn Jahre, zwanzig Jahre, dreißig Jahre) aufbewahrt werden. Verlässt nun ein Mitarbeiter die Firma, hat er ein Recht darauf, dass sämtliche persönliche beziehungsweise privaten Daten umgehend gelöscht werden. Doch dem lässt sich nicht nachkommen: Etwa wenn Backup- und Archivdaten „angefasst werden müssen“, die beispielsweise unveränderlich abgespeichert werden müssen. Dies kann aus den bereits genannten gesetzlichen Regelungen notwendig werden.
Mir ist kein Hersteller bekannt, der dieses Thema „angefasst hat“, denn dieses Thema kann den „Tod“ für das Unternehmen bedeuten. Die aktuell verfügbaren Archivierungsprogramme, Backup-Tools und Sicherungskonzepte bieten leider keine Möglichkeit einzelne Daten aus den Images zu extrahieren – etwa um bestimmte „private“ Teileinträge aus einer bereits archivierten E-Mail zu entfernen. Das ist aus meiner Sicht auch eine momentan unlösbare Aufgabe. Und alles löschen ist auch keine Lösung, wie gesagt handelt es sich dabei teilweise um Unternehmensdaten, die unter Umständen Jahrzehnte lang aufbewahrt werden müssen.
Die einzige Möglichkeit derartige Funktionen in Backup- und Archiv-Programmen zu implementieren ist meiner Meinung nach, wenn man das Konzept grundliegend verändert – sprich weg vom „Backup-Datensatz“ auf einem Medium hin zu einem datenbankbasierenden Ansatz, bei dem sich auch kleinere Daten identifizieren und gegebenenfalls löschen lassen. Das ist momentan wohl noch Zukunftsmusik.
Paul: Bestimmte Ansätze sind allerdings schon vorhanden, beispielsweise ist es möglich, Daten eine Art Halbwertszeit mitzugeben, sprich eine Art von Verfallsdatum beim Erstellen eines Textes (Beispiel Snapchat) festzulegen. Auf diese Weise könnte man auch Daten vom System selbstständig löschen lassen, wenn „die Zeit gekommen ist“. Das wäre beispielsweise bei Bewerbungen sinnvoll. Nach einer gewissen Zeit werden die digitalen Akten, Adressen, Kontaktnummern automatisch in der Personalabteilung gelöscht.
Bilicki: Falls man diese gesetzlichen Anforderungen zu genau auslegt, wird es technisch unmöglich eine passende Lösung zu schaffen. In der Vergangenheit haben sich die Unternehmen beispielsweise von den Mitarbeitern bestätigen lassen, dass die Richtlinie es verbietet, private Daten auf den Arbeits-Systemen abzulegen. So wollte man sich quasi der Verantwortung entziehen. Allerdings wird eine solche Richtlinie ungültig, wenn die Mitarbeiter trotzdem private Daten ablegen, und von der Unternehmensseite nichts dagegen unternommen wird. Das ist für die Unternehmen auch nicht einfach durchzusetzen, denn „einfach mal“ in den Datenbestand des Mitarbeiters darf ich als Unternehmen nicht zugreifen, wenn dort private Daten gespeichert sind. Wie soll ich als Unternehmen dann rechtlich einwandfrei feststellen können, ob jemand gegen das „Verbot der privaten Datenablage“ verstößt? Schließlich kann man nicht einfach sagen „Ich habe zwar nicht in deine Daten geschaut, aber Du hast private Daten auf deinem Firmen-PC abgelegt, und das ist bei uns nicht erlaubt.“ Unternimmt man nun etwa für einen längeren Zeitraum (etwa sechs Monate) nichts, können die Mitarbeiter von einer stillschweigenden Duldung ausgehen.