Die wichtigsten Datenschutzpunkte für Storage-Admins

Storage im Zentrum des Datenschutzes

Unter den Grundsätzen für die Verarbeitung personenbezogener Daten findet man in der DSGVO auch die Speicherbegrenzung: Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.

Auch weitere Grundsätze des Datenschutzes nach DSGVO betreffen den Storage-Bereich, darunter die Integrität und Vertraulichkeit: personenbezogene Daten müssen in einer Weise verarbeitet (also auch gespeichert) werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen.

Worauf Storage-Admins im Datenschutz besonders achten müssen

Wer für die Administration der Storage-Lösungen verantwortlich ist, muss sich deshalb ausgiebig mit dem Datenschutz befassen. Die folgenden Punkte sollten dabei besonders beachtet werden, da sie teils neue oder anspruchsvolle Anforderungen darstellen.

Aufbewahrungsfristen und Löschvorgaben umsetzen: Die fristgerechte und vollständige Löschung gespeicherter Daten ist ein Klassiker im Datenschutz bei Storage-Systemen. Als Storage-Admin muss man sowohl dabei unterstützen, dass der zur Aufbewahrungsfrist passende Storage genutzt wird, als auch dabei, dass die Löschung nach der Aufbewahrung auch vollständig ist, also alle Datenkopien im Storage erreicht.

Zusätzliche Sicherheitslösungen nutzen, die das Storage absichern: Die Vertraulichkeit der Daten muss auch während der Speicherung sichergestellt sein. Wenn das Storage-System keine integrierten Verschlüsselungsfunktionen besitzt, müssen zusätzliche Security-Lösungen eingesetzt werden. Dabei müssen die Sicherheitslösungen so gewählt werden, dass sie das zu verschlüsselnde Speichervolumen auch in vertretbarer Zeit bewältigen.

Verfügbarkeit der Daten sicherstellen: Backups als Schutz vor einem ungewollten Datenverlust sind für den Datenschutz elementar, wenn es um die Verfügbarkeit geht. Storage-Admins sollten deshalb auf vollständige Backup-Konzepte achten und an den Schutz für die Backup-Medien denken.

Belastbarkeit nicht vergessen: Wenn Daten aus dem Storage geholt werden sollen oder dort gespeichert werden, muss das Storage-System funktionstüchtig sein. Auch bei einer stärkeren Belastung durch Storage-Zugriffe, seien sie legitim oder als Angriff zu verstehen, müssen die Funktionen bereitstehen. Auch diese Belastbarkeit gehört zu den Datenschutzforderungen aus der DSGVO.

Integritätsschutz gewährleisten: Gespeicherte Daten müssen auch gegen Manipulation geschützt sein, ein wichtiges Ziel im Datenschutz. Deshalb braucht man auch Lösungen zum Integritätsschutz im Storage-Bereich. Gibt es keine integrierten Funktionen, müssen zusätzliche Tools dafür eingesetzt werden.

Datenmigration mit Storage-Systemen überwachen: Auch durch das Recht auf Datenübertragbarkeit nach DSGVO wird die Zahl der Datenmigrationen steigen. Dabei kommen auch (mobile) Storage-Systeme für den Datentransport zum Einsatz. Es versteht sich, dass die Daten auch während dieses Datentransports geschützt sein müssen. Steht eine Datenmigration an, müssen also entsprechende Sicherheitsmaßnahmen für Storage ergriffen werden.

Dokumentationspflichten beachten: Da die Speicherung von Daten eine Form der Datenverarbeitung nach DSGVO ist, müssen Verfahren zur Datenspeicherung auch dokumentiert werden, als Teil des Verzeichnisses von Verarbeitungstätigkeiten. Dabei sollten auch mögliche Speicherdienste (wie Cloud-Storage) nicht vergessen werden.

Speicherdienste berücksichtigen: Werden Dienstleister für Storage-Aufgaben genutzt, müssen die Vorgaben für eine Auftragsverarbeitung beachtet und eingehalten werden. Storage-Admins sollten sich zum Beispiel fragen: Setzen die Storage-Provider Maßnahmen um, die für eine angemessene Datensicherheit sorgen? Können zum Beispiel geeignete Zertifizierungen durch den Storage-Provider vorgelegt werden? Gibt es Vereinbarungen mit den Storage-Providern, die die Vorgaben an eine Auftragsverarbeitung nach Artikel 28 DSGVO erfüllen? Teilen sich mehrere Mandanten den Storage-Dienst? Wenn ja, wie sieht die Mandantentrennung aus?

Es zeigt sich: Der Datenschutz ist keine Nebensache bei der Storage-Administration, sondern muss bei allen Prozessen im Storage-Management berücksichtigt werden.