Firmen sollten wissen, welche Daten wie lange gespeichert werden müssen. Manche Daten unterliegen gesetzlichen Aufbewahrungsfristen, so dass interne Richtlinien essentiell sind.
Paul Crocetti und Brien Posey
Bei der Entwicklung einer Richtlinie zur Datenspeicherung ist es wichtig, den Grund zu berücksichtigen, warum das Unternehmen Daten überhaupt archiviert.
Bevor wir zu den Best Practices für die Datenspeicherung kommen, sollten Sie diese beiden Fragen im Hinterkopf behalten: Muss die IT-Abteilung Platz auf einigen der Server freigeben? Werden die Inhalte der Server so überladen, dass es immer schwieriger wird, Daten zu finden? Diese beiden Fragen haben einen großen Einfluss auf die Art und Weise, wie die Datenspeicherungsrichtlinie gestaltet werden sollte.
Die Richtlinien zur Datenspeicherung sind ein wichtiges internes Tool, und es ist wichtig, die langfristigen Folgen ihrer Umsetzung zu berücksichtigen.
Welche Daten zu speichern sind
Einige Daten sind gesetzlich vorgeschrieben und müssen für einen bestimmten Zeitraum aufbewahrt werden. Andere Daten müssen in den internen Regeln eines Unternehmens aufbewahrt werden. Wiederum gibt es Daten, die gespeichert werden, eine langfristige Sicherung aber nicht benötigen. Häufig vorkommende Arten von gespeicherten Daten sind Dateien, E-Mail-Nachrichten und Datenbankeinträge.
Eine der ersten Best Practices, die Sie beachten sollten, ist zu wissen, welche Daten verfügbar bleiben sollten (oder müssen) und welche Daten archiviert werden sollten. Typischerweise wird diese Bestimmung auf der Grundlage des Datenalters vorgenommen, aber nicht immer. In einigen Fällen ist es wichtig, auch weitere Kriterien zu prüfen, wie zum Beispiel wann auf die Daten zuletzt zugegriffen wurde und den Datentyp.
Angenommen, ein Unternehmen hat zum Beispiel viel freien Speicherplatz auf dem Dateiserver, möchte aber etwas von dem Datenchaos reduzieren. Mit diesem Ziel der Datenlöschung beschließt sie, eine Archivrichtlinie zu erstellen, die alles, was älter als fünf Jahre ist, in die Archive verschiebt und dann alles, was älter als zehn Jahre ist, löscht.
Auch wenn dies nach einem vernünftigen Ansatz zur Erstellung einer Datenhaltungsrichtlinie klingt, kann dies unerwünschte Folgen haben. Was passiert zum Beispiel, wenn eine Kalkulationstabelle vor sechs Jahren erstellt wurde, aber regelmäßig aktualisiert wird? Wenn die Datenvorhaltungsrichtlinie nur das Erstellungsdatum berücksichtigt, wird die Kalkulationstabelle archiviert, obwohl sie regelmäßig verwendet wird. Es ist in der Regel viel effektiver, eine Aufbewahrungsrichtlinie auf das Datum des letzten Zugriffs und nicht auf das Erstellungsdatum zu stützen.
Datenvorhaltungsrichtlinien können auch auf andere Weise nach hinten losgehen. Zum Beispiel, was die Aufbewahrung von Dokumenten betrifft, sagen wir, vor 11 Jahren, hat Ihr Unternehmen einen 15-jährigen Mietvertrag für sein Bürogebäude unterzeichnet. Wahrscheinlich hat sich in den letzten 10 Jahren niemand das Dokument angesehen, aber Sie wollen es wahrscheinlich behalten. Die Richtlinie sollte solche Fälle berücksichtigen.
Eine Datenspeicherungsrichtlinie muss umfassend sein, aber auch eine, die ein Unternehmen leicht verwalten und durchsetzen kann. Deshalb ist es auch wichtig, prägnant und klar zu sein.
Compliance
Compliance ist einer der Hauptgründe für ein Unternehmen, Daten langfristig zu speichern. Zusätzlich zu den internen Compliance-Regeln eines Unternehmens gibt es mehrere Gesetze und Vorschriften, die ein Unternehmen bei der Gestaltung seiner Datenspeicherungspolitik berücksichtigen muss. Es ist wichtig, die geltenden Gesetze herauszufinden; ein externer Auditor kann helfen.
So enthält beispielsweise die im Mai 2018 in Kraft getretene DSGVO der Europäischen Union Vorgaben für personenbezogene Daten, die von EU-Bürgern produziert werden, unabhängig davon, wo sie gespeichert sind. Ein datenerhebendes Unternehmen sollte über eine Datenspeicherungsrichtlinie verfügen, die speziell die GDPR-Konformität beschreibt.
Weitere Vorschriften, die Anforderungen an die Datenspeicherung stellen, sind der Sarbanes-Oxley Act und der Payment Card Industry Data Security Standard. Insbesondere in Bezug auf diese Vorschriften sollte ein Unternehmen nur die erforderlichen personenbezogenen Daten aufbewahren.
Ein datenerhebendes Unternehmen sollte über eine Datenspeicherungs-Richtlinie verfügen, die speziell die GDPR-Konformität beschreibt.
Die Einhaltung der Vorschriften ist ein häufiges Geschäftsproblem. Zu den Folgen der Verstöße gehören Geldstrafen und Reputationsverluste. Die Verfügbarkeit eines Datenhaltungsplans kann ein hilfreiches Instrument zur Einhaltung der Vorschriften sein. Es ist jedoch wichtig, ihn auf dem neuesten Stand zu halten, da sich Daten und Gesetze häufig ändern und ein alter Zeitplan nicht viel Wert bietet.
Aufbewahrungsfrist und Art und Weise der Datenspeicherung
Eine Aufbewahrungsfrist wird oft durch Regeln und Vorschriften bestimmt. Da die Aufbewahrungsfristen von Minuten bis zu Jahren reichen, kann ein Unternehmen verschiedene Arten von Medien zur Speicherung von Daten benötigen.
Die Public Cloud ist ein beliebter Speicherort für die Langzeitarchivierung. Amazon Glacier, Microsoft Azure Blob Storage und Google Nearline gehören zu den Optionen für kostengünstige Archivierungsspeicher in der Cloud. Die Speicherung erfolgt außerhalb des Unternehmens, was dem Datenschutz dient. Wiederherstellungszeiten und -kosten können jedoch hoch sein, je nachdem, wie viel ein Unternehmen aus der Cloud herausholen muss.
Tape ist ein weiterer Medientyp für die Langzeitspeicherung, der billiger ist als andere Optionen, wie zum Beispiel die Festplatte. Die Lebensdauer wird für die neuesten LTO-Bandkassetten typischerweise auf bis zu 30 Jahre angegeben. LTO-8 bietet 30 TByte komprimierte Speicherkapazität. Die Wiederherstellungsgeschwindigkeit ist jedoch langsam, daher sollte ein Unternehmen nicht nur Band verwenden, um Daten zu speichern, die eine schnelle Wiederherstellung erfordern.
Die Festplatte ist teurer, aber schneller als das Band. Es ist kein kostengünstiger Ort, um viele Daten zu speichern, die eine langfristige Aufbewahrung erfordern und wahrscheinlich nicht zugänglich sind.
In Ihrer Richtlinie zur Datenspeicherung sollten Sie darlegen, welche Medientypen Sie für bestimmte Datensätze verwenden.
