Sind Sie bereit für die EU-Datenschutz-Grundverordnung?

Die Herausforderung

Die EU-DSGVO hat 87 Seiten mit detaillierten Anforderungen und 99 Artikel mit Spezifikationen. Die Anforderungen und Verpflichtungen vollumfänglich zu erfüllen, ist schwierig – in einigen Fällen wird das sogar außerordentlich schwierig sein. Während IT-Profis grundsätzlich mit allen Anforderungen vertraut sein sollten, sind einige davon wichtiger, da sie möglicherweise Prozesse und Systeme hinzufügen oder anpassen müssen.

Hier die DSGVO-Artikel, um die sich IT-Profis besonders kümmern sollten:

Artikel 6: Rechtmäßigkeit der Verarbeitung. Alle personenbezogenen Daten müssen auf rechtmäßige Weise verarbeitet werden. Bevor eine Organisation personenbezogene Daten über einen EU-Bürger sammelt, muss der Bürger dieser Datenerhebung zustimmen. Die Einwilligung muss dokumentiert, gespeichert, geschützt und leicht produzierbar sein. Darüber hinaus muss die Erhebung personenbezogener Daten einen definierten Anwendungsfall haben. Die Einwilligungsunterlagen sind den EU-Regulierungsbehörden auf Verlangen vorzulegen.

Artikel 15: Auskunftsrecht. EU-Bürger haben das Recht, auf Nachfrage zu erfahren, welche ihrer persönlichen Daten ein Unternehmen für welche Zwecke nutzt.

Artikel 20: Recht auf Datenübertragbarkeit. Die Bürger der Europäischen Union können auf Verlangen den Transfer ihrer persönlichen Daten veranlassen.

Artikel 25: Datenschutz durch Technikgestaltung und Voreinstellung. Der Datenschutz muss in Prozesse und Tools zur Erfassung personenbezogener Daten integriert werden.

Artikel 25: Datenminimierung. Der Umfang der erhobenen und gespeicherten personenbezogenen Daten sowie die Fristen für die Aufbewahrung dieser Daten müssen minimiert werden. Die Speicherung sollte mit anderen Vorschriften zur Speicherung von Aufzeichnungen – zum Beispiel für Gesundheits- und Strafregister, die längere Aufbewahrungsfristen erfordern – in Einklang gebracht werden.

Artikel 25 und 32: Stand der Technik. Unternehmen müssen geeignete technische Maßnahmen treffen, um den Anforderungen der EU-DSGVO zu genügen. Dazu müssen die neuesten Technologien eingesetzt werden, oder es muss begründet werden, warum diese aufgrund von Kosten, Risiko und Kontext nicht eingesetzt wurden. Die Einhaltung muss regelmäßig überprüft werden. Was genau „angemessen“ im Sinne der EU-DSGVO bedeutet, ist in Artikel 32 näher ausgeführt.

Artikel 32: Sicherheit der Verarbeitung. Die Sicherheitsmaßnahmen müssen zum Risiko-Level passen. Sie sollten die Verwendung von Pseudonymen, Aliasen und Verschlüsselung einschließen und die laufende Vertraulichkeit, Integrität, Verfügbarkeit und Ausfallsicherheit der Verarbeitungssysteme und -dienste gewährleisten. Dies erfordert auch die Fähigkeit, die Verfügbarkeit und den Zugriff auf persönliche Daten zeitnah (wieder)herstellen zu können. Das heißt, nach einem Ausfall müssen die Daten Stunden bis Tage, nicht Wochen bis Monate, wieder verfügbar sein. Dazu ist ein dokumentierter Prozess zur regelmäßigen Überprüfung und Beurteilung der Wirksamkeit der Maßnahmen erforderlich.

Artikel 33 und 34: Meldepflicht. Unternehmen müssen Sicherheitsvorfälle innerhalb von 72 Stunden nach Bekanntwerden an die zuständigen Behörden und auch die betroffenen Personen melden.

Artikel 44 bis 50: Datenübermittlung. Diese Artikel richten sich in erster Linie an die Anbieter von Cloud-Diensten. Sie schreiben vor, dass personenbezogene Daten, die bei Datentransfers erfasst werden, in EU-Ländern oder Ländern wie Kanada, die ähnliche Datenschutz-Richtlinien haben, gespeichert werden müssen. Wenn personenbezogene Daten in Länder wie die USA übertragen oder gespeichert werden, müssen verbindliche Unternehmensregeln gelten, die den DSGVO-Anforderungen entsprechen.

Artikel 17: Das Recht auf Löschung. Allgemein bekannt als das „Recht auf Vergessen“ dürfte diese Anforderung der IT wahrscheinlich die meisten Kopfschmerzen verursachen. Der Artikel fordert, dass Unternehmen auf Verlangen des EU-Bürgers dessen persönliche Daten vollständig löschen müssen. Die Pflicht, Daten zu löschen, betrifft insbesondere folgende Fälle:

• Der EU-Bürger beantragt die Löschung seiner Daten;
• der Zweck der Erhebung personenbezogener Daten ist nicht mehr erforderlich; und
• der EU-Bürger entzieht seine Einwilligung zur Speicherung seiner Daten.

Das Recht auf Löschung verlangt eine rechtzeitige Löschung. Das bedeutet wiederum, dass die Daten innerhalb von Stunden bis spätestens Tagen, nicht aber innerhalb von Wochen oder Monate entfernt werden müssen. Alle Kopien von Daten, einschließlich Backups, Archive, DevOps, Testumgebungen, Mirrors und Snapshots, müssen gelöscht werden.

Artikel 17 wird große technologische und verfahrenstechnische Probleme aufwerfen. Dies betrifft insbesondere IT-Bereiche wie die Speicherung unstrukturierter Daten, Datenbanken, Datenschutzprozesse, Archive, Mobility und Cloud Service Provider. Die Analyse dieser IT-Segmente zeigt, warum das so ist.

Unstrukturierte Daten

Unstrukturierte Daten werden in der Regel in verschiedenen Storage-Silos wie Dateiservern, NAS, Objekt-Storage, Endpoints und Cloud-Storage gespeichert. Aus Sicht des Datenschutzes ist dies insofern ein Problem, als die meisten Unternehmen nur einen begrenzten Einblick in diese unstrukturierten Daten haben. Unter anderem wissen sie beispielsweise nicht, welche Daten in den Silos genau enthalten sind, wann sie erstellt wurden, wer sie erstellt hat, wann sie zuletzt geöffnet wurden oder wer sie wohin kopiert hat.

Auch die Suchmöglichkeiten sind eingeschränkt. Die Metadaten zeigen wahrscheinlich nicht, welche persönlichen Daten in der Datei enthalten sind. Einige Speichersysteme ermöglichen Usern das Hinzufügen von kundenbezogenen Metadaten – was zu einer DSGVO-Anforderung wird, um persönliche Daten in Dateien oder Objekten zu finden. Darüber hinaus muss in jedem Storage-Silo gesucht werden, was ein arbeits- und zeitintensiver Prozess ist.

Um dieses Problem zu lösen, müssen Sie einen globalen Namespace und eine Übersicht über den gesamten unstrukturierten Speicher erstellen. Dazu gehört auch die Möglichkeit, benutzerdefinierte Metadaten für jede Datei und jedes Objekt, das persönliche Daten enthält, zu implementieren. Dateien und Objekte mit persönlichen Daten können markiert, durchsucht, verändert und gelöscht werden.

Alternativ können unstrukturierte Speichersilos in einem einzigen Speichersystem mit einem globalen Namespace konsolidiert werden, der die Einführung benutzerdefinierter Metadaten erlaubt. Diese Ansätze werden allerdings wenig zur Lösung von Endpoint-Problemen beitragen, wie zum Beispiel die Implementierung von Dateisynchronisation und -freigabe in der Cloud.

Datenbanken

Personenbezogene Daten sind häufig Teil einer Datenbank wie zum Beispiel einer CRM- oder E-Commerce-Datenbank. Das Suchen und Löschen von Daten aus einer Datenbank ist in der Regel einfach. Nicht so einfach ist es, wenn personenbezogene Daten über mehrere Datenbanken verteilt sind. Und das kommt nicht selten vor.

Datenbanken werden aus verschiedenen Gründen repliziert. Skalierbarkeit, schreibgeschützte Anwendungen, Partner-Datenbanken, DevOps, Test-Dev, Datensicherung, Disaster Recovery und Business Continuity sind alles Gründe, warum Nutzerdaten in mehreren Datenbanken vorhanden sein können. Damit schafft die DSGVO allerdings ein nicht unerhebliches Problem: Denn bei Verlangen der Datenlöschung muss jede Kopie der personenbezogenen Daten eines EU-Bürgers gelöscht werden. Das bedeutet, dass jede Datenbank einen separaten Bereinigungsprozess durchlaufen muss – was kein trivialer Aufwand ist. Systeme, die seit Jahrzehnten für die bloße Datensicherung gebaut wurden, müssen nun in der Lage sein, diese Daten ausfindig zu machen und zu löschen.

Weiter verschärft wird das Problem durch Datenbank-Backups. Die meisten Datenbanken verfügen über individuelle Methoden zur Datensicherung. Sie müssen in der Regel stillgelegt werden, um sicherzustellen, dass die Datenbank ohne Beschädigung oder verlorene Daten wiederherstellbar ist.

In der Regel wird dabei eine Variante des Image-Backups mit Changed Block Tracking (CBT) verwendet. Dieser Prozess erstellt eine Sicherungsdatei, die nicht direkt gemountet werden kann. Sie muss wiederhergestellt werden, damit die Datenbank die Daten in der Backup-Kopie suchen oder löschen kann. Das Recovery und Restoring von Datenbank-Backups ist zeitaufwendig und dauert je nach Größe der Datenbank und Vollständigkeit des Backups Minuten bis Stunden.

Nach Recovery und Restoring werden die personenbezogenen Daten des EU-Bürgers gelöscht, die Löschung dokumentiert und die Datenbank wird wieder in einen gesicherten Zustand gebracht.

Für viele dürfte sich die Frage stellen, warum dieser Löschvorgang nicht auf dem Master-Backup durchgeführt und auf jede virtuelle Kopie übertragen werden kann. Es gibt zwei Gründe, warum das nicht funktioniert. Der erste Grund: Jedes CBT- oder inkrementelle Backup erstellt ein virtuelles Vollvolumen-Image, das auf früheren Images basiert. Das Löschen von Daten aus dem Master- oder Golden Image würde eine Lücke im virtuellen Image erzeugen, da es auf Daten verweist, die nicht mehr existieren. Dies würde folglich zu einem beschädigten Backup führen.

Der andere Grund ist, dass sich die persönlichen Daten im Laufe der Zeit ändern. Das Löschen der Daten in einem frühen Backup löscht nicht die geänderten Daten in neueren Backups. Beide Situationen erfordern ein Recovery und Restoring jeder Datenbank-Backup-Generierung – und das Löschen von persönlichen Daten aus jeder einzelnen.

Das Löschen von persönlichen Daten in einer einzigen Backup-Kopie ist ärgerlich, aber machbar. Leider gibt es viele Sicherungskopien und wahrscheinlich gibt es weit mehr als ein einzelnes Datenbank-Backup, weil Datenbank-Backups mindestens täglich erstellt werden und 30 Tage bis Jahre aufbewahrt werden. Das sind viele Backups, die ein Recovery und Restoring erfordern, um die persönlichen Daten einer einzigen Person zu entfernen. Diesen Vorgang für jede Löschaufforderung zu wiederholen ist eine kaum zu bewältigende Aufgabe.

Die Lösung dieses Problems erfordert Disziplin sowie neue Prozesse und Systeme. Praktisch bedeutet dies wahrscheinlich, dass weniger Generationen von Datenbank-Backups aufbewahrt und ältere Generationen häufiger in ein durchsuchbares, konsolidiertes Archiv überführt werden. Es kann auch bedeuten, persönliche Datenbestände zu konsolidieren, um das Löschen zu vereinfachen. Auch die Implementierung eines Content-Daten-Management-Systems kann hilfreich sein, um Datenbanken mit unstrukturierter Datei- oder Objektspeicherung in Band, Out-of-Band – oder in Kombination – zu verbinden. Content Data Management repliziert kontinuierlich jeden Schreibzugriff und löscht Daten über alle Generationen hinweg.

Schutz der Daten

Image-basierte Datensicherung, wie zum Beispiel Storage-Snapshots, ist die beliebteste Art, Daten zu sichern. Sie eignet sich hervorragend für schnelle Wiederherstellungen, insbesondere für virtuelle Maschinen. Das Problem mit den DSGVO-Anforderungen ist ähnlich wie bei datenbankspezifischen Backups. Jedes inkrementelle Backup oder CBT erstellt ein virtuelles Backup-Image, das auf eindeutige Daten im Master oder Golden Image zeigt. Das Löschen von Daten vom Master kann die Pointer in allen nachfolgenden virtuellen Voll-Backups beschädigen. Daher müssen die persönlichen Daten in jeder Backup-Generation gelöscht werden.

Das Löschen persönlicher Daten erfordert je nach Technologie das Mounten oder Wiederherstellen jeder Backup-Generation. Das Mounten von Backups ist schneller und nicht so mühsam, aber Löschungen sind immer noch mühsam und erhöhen sich mit der Anzahl der vorgehaltenen Backup-Generationen. Die Daten müssen in jedem Mount gefunden, gelöscht und das Backup wieder in den Ruhezustand versetzt werden. Diese mühsame Aufgabe nimmt viel Zeit in Anspruch – besonders dann, wenn es sich um mehrere Löschvorgänge handelt.

Replikationen sind ein weiteres Anliegen von Artikel 17. Es ist üblich, Daten für Disaster Recovery (DR) und Business Continuity (BC) zu replizieren. Das Löschen von der Primary Site entfernt sie jedoch nicht unbedingt von der DR/BC-Site.

Um dieses Problem zu lösen, sollten weniger Generationen aufbewahrt und frühere Backups zu einem durchsuchbaren, konsolidierten Archiv zusammengeführt werden. Einige Backup-Systeme verwenden File-Backup statt Image-Backup. File-Backup ermöglicht es, Dateien und Daten zu finden, einmalig zu löschen und diese dann an alle Generationen weiterzugeben, ohne jede Backup-Generation wiederherstellen zu müssen. Einige Content-Daten-Management-Systeme sind in der Lage, dies zu tun.

Die Verwendung von Bändern ist ein weiteres Datenschutzproblem, weil das Löschen von persönlichen Daten von Bändern viel Zeit in Anspruch nimmt. Die Nutzung von Linear Tape File System (LTFS) Tape Libraries mit einem NAS oder einem Object Storage Frontend kann dieses Problem lösen. Das Frontend fungiert bei diesem Verfahren als Cache, und die aus dem Cache entfernten Daten werden gelöscht, wenn die Bänder komprimiert werden.

Archiv

Archive werden üblicherweise auf kostengünstigeren Speichermedien angelegt wie Objekt-, Scale-Out Software-defined und Cloud-Storage sowie auf Cold Storage wie Bändern und optischen Speichermedien. Gemäß Artikel 17 muss das Speichersystem durchsuchbar sein. Das System muss auch anpassbare Metadaten akzeptieren, damit persönliche Daten markiert und leicht gefunden werden können. Aber viele Archive erlauben keine anpassbaren Metadaten.

Um die Daten im Archiv zu lesen oder zu ändern, kann es erforderlich sein, sie in das Speichersystem zurückzubringen, von dem sie stammen. Das Verschieben in das Archiv über die hierarchische Speicherverwaltung erfordert das Belassen eines Stubs im Originalspeicher. Das Löschen des Stubs löscht nicht die Daten. Sie existieren immer noch im Archiv, und der Prozess erfüllt nicht die Anforderungen von Artikel 17. Auch hier kann durch Tapes das Problem der Löschung personenbezogener Daten noch verschärft werden.

Diese Probleme können durch die Implementierung eines Archivs mit den oben genannten Such- und Metadatenmerkmalen mittels Stub-freier Archivdatenbewegung gelöst werden. Wenn die Daten auf Band archiviert werden sollen, dann verwenden Sie LTFS-Bandbibliotheken, die entweder mit NAS- oder Objektspeicher ausgestattet sind.

Mobility

Viele mobile Business-Apps sammeln persönliche Daten, zum Beispiel für Versicherungssachbearbeiter, Finanzplaner, Vermarkter und CRM-Anwendungen. Die Apps laden normalerweise Dateien in die Cloud, in Rechenzentren und Archive hoch. Das Löschen von persönlichen Daten in diesen Apps erfordert programmatische Anpassungen der Apps. Diese Anpassungen müssen sicherstellen, dass die Löschung persönlicher Daten auf allen Kopien erfolgt.

Cloud-Dienstleister

Die Nutzung eines Cloud-Service-Providers ändert nichts an den DSGVO-Verantwortlichkeiten und -Verbindlichkeiten eines Unternehmens. Es liegt letztlich in der Verantwortung der Organisation, die personenbezogene Daten von EU-Bürgern sammelt, ob ihre IT nun On-Premises oder in der Cloud liegt.

Diese Verpflichtung kann vertraglich nicht aufgehoben oder geändert werden, man kann sich also nicht durch Verträge mit Kunden oder mit Serviceanbietern von Datenschutzanforderungen „freikaufen“. Das bedeutet, dass der Kunde eines Cloud-Services – also Sie – haftet und sicherstellen muss, dass der Provider alle DSGVO-Anforderungen erfüllt.

Nichteinhaltung der DSGVO

Die Nichteinhaltung der DSGVO hat schwerwiegende finanzielle Folgen. Es gibt zwei Strafstufen: Für kleinere Verstöße ist eine monetäre Strafzahlung von bis zu zehn Millionen Euro zu leisten oder zwei Prozent des weltweiten Umsatzes im vergangenen Geschäftsjahr. Welcher der beiden Fälle relevant ist, hängt davon ab, welcher Betrag höher ist. Ein Beispiel für einen geringfügigen Verstoß ist die Nichteinhaltung der Forderung, die Daten eines EU-Bürgers zu dokumentieren und nachzuweisen, dass sie gelöscht wurden.

Bei schweren Verstößen beträgt die Strafe bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes im abgelaufenen Geschäftsjahr – welcher Modus relevant ist, hängt auch wieder davon ab, welcher Betrag höher ist. Ein Beispiel für einen schweren Verstoß ist das nicht durchgeführte Löschen der Daten eines EU-Bürgers (siehe „DSGVO-Bußgelder und -Strafen“).

Die Geldbußen sind so hoch, dass sie ein Unternehmen leicht in den Ruin treiben können. Eine Nichteinhaltung der DSGVO-Anforderungen ist also keine finanziell vernünftige Option.

DSGVO einhalten oder nicht – es gibt kein Zwischending

Der 25. Mai 2018 ist zum Zeitpunkt, an dem Sie diesen Artikel lesen, schon vorbei. Umso dringlicher müssen Sie jetzt aktiv werden – sollten Sie es noch nicht getan haben. Um es noch einmal mit aller Deutlichkeit zu sagen: Die Erfüllung der DSGVO-Anforderungen ist für Organisationen, die personenbezogene Daten über EU-Bürger sammeln, nicht optional. Die Nichteinhaltung kann finanziell ruinös sein.

Jeder IT-Prozess, der personenbezogene Daten für die DSGVO-Compliance verarbeitet, muss bewertet werden. Wenn ein Prozess nicht konform ist, müssen Sie ihn modifizieren oder ersetzen, um konform zu sein – dies gilt auch für Prozesse, die zwar technisch konform, aber nicht praktisch konform sind. Wenn es zum Beispiel Monate dauert, bis alle Kopien der persönlichen Daten eines EU-Bürgers gelöscht sind, hält die DSGVO dies für nicht konform, weil es nicht rechtzeitig geschieht.

Folgen Sie SearchStorage.de auch auf Twitter, Google+, Xing und Facebook!