Paul Fleet - Fotolia
Wo DSGVO und Disaster Recovery sich überschneiden
Verschiedene Artikel der DSGVO gehen näher darauf ein, was besonders zu beachten ist, wenn es um Backup, Schutz persönlicher Daten, Archivierung oder Disaster Recovery geht.
Die meisten Unternehmen konzentrieren sich auf zwei besondere Aspekte der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU): Wie persönliche Daten gesammelt und wie sie anschließend verarbeitet werden. Diese beiden Punkte haben Marketing-Teams wegen der Rechtmäßigkeit von Newslettern und IT-Teams wegen der Sicherheitsaspekte beunruhigt.
Aber die DSGVO betrifft auch Recovery-Anstrengungen: Es gibt einige sehr spezifische Textpassagen, in denen dargelegt wird, wie das Regulierungswerk die Disaster-Recovery-Pläne von Unternehmen tangiert. Um nicht das ganze Werk durchwühlen zu mūssen, folgen hier vier Absätze, die sich auf die DSGVO und Disaster Recovery beziehen. Wir zitieren jeweils den DSGVO-Text und was er von den Unternehmen verlangt, anschließend erklären wir die Konsequenzen für die DR-Pläne.
Man muss Backups von persönlichen Daten haben
Artikel 5(1)(f) führt aus, dass persönliche Daten „in einer Art und Weise bearbeitet“ werden sollen, „die eine angemessene Sicherheit der persönlichen Daten gewährleistet, einschließlich des Schutzes … vor zufälligem Verlust, Zerstörung oder Beschädigung, wobei angemessene technische oder organisatorische Maßnahmen angewendet werden“.
Während sich der Gebrauch des Ausdrucks „Schutz“ in der Regel auf Erlaubnisse und Privilegien bezieht, wird hier ausdrücklich von einem „zufälligen Verlust“ gesprochen.
In diesem Fall geht die „Sicherheit der persönlichen Daten“ davon aus, dass die Daten nicht verloren gingen, zerstört oder beschädigt wurden. Und da man die Daten vor Verlust schützen muss, muss man ganz offensichtlich Backups von ihnen anfertigen.
Recovery der persönlichen Daten muss Priorität haben
Artikel 17(1) besagt, dass der Eigentümer von persönlichen Daten „das Recht besitzt, von der kontrollierenden Instanz das Löschen persönlicher Daten, die ihn oder sie betreffen, ohne übermäßige Verzögerung zu verlangen, und dass die kontrollierende Instanz die Verpflichtung besitzt, persönliche Daten ohne übermäßige Verzögerung zu löschen“.
Es gibt einen ähnlichen Text, der sich auf die Anforderungen an die Rechte eines Dateneigentümers bezieht, eine Kopie oder Korrektur persönlicher Daten von einem Unternehmen zu verlangen. Die Formulierung „ohne übermäßige Verzögerung“ ist von besonderer Bedeutung bei der DSGVO und den Disaster-Recovery-Plänen.
Systeme oder Anwendungen, die persönliche Daten enthalten, wie zum Beispiel Marketing-Programme, werden in einem DR-Plan wohl eher nicht als besondere Tier-1-Workloads betrachtet. Sie haben keine Anforderungen hinsichtlich kurzfristiger Recovery-Ziele und stehen deshalb nur an zweiter oder dritter Stelle im Fokus, wenn ein wirkliches Desaster im Rechenzentrum passiert. Aber wenn in einem Schadensfall, in dem es um die Fortführung des Tagesgeschäfts geht, eine Anfrage zur Löschung von Daten hereinkommt, könnte die Einschätzung „in etwa einer Woche“ durchaus als „übermäßige Verzögerung“ betrachtet werden.
Recovery muß Security umfassen
Artikel 25(1) geht davon aus, dass eine kontrollierende Instanz „zweimal, zum Zeitpunkt der Festlegung der Prozessschritte und zum Zeitpunkt der Durchführung selbst, angemessene technische und organisatorische Maßnahmen durchführt, … um in einer effektiven Art und Weise die notwendigen Sicherheitsmaßnahmen in die Prozesse der Datenverarbeitung einzufügen und so die Anforderungen der DSGVO zu erfüllen und die Rechte der Datensubjekte zu schützen“.
Immer wenn der Ausdruck „Sicherheitsmaßnahmen“ in diesen Vorschriften auftaucht, schließt er angemessene Verfahren ein, die die persönlichen Daten vor Missbrauch schützen. Das bedeutet, dass diese Sicherheitsmaßnahmen zum „Zeitpunkt der Durchführung“ greifen müssen, was auch nach einem DR-Szenario geschehen kann. Unternehmen und Organisationen müssen deshalb dafür sorgen, dass ihre Recovery-Anstrengungen alle Sicherheitskonfigurationen umfassen, die persönliche Daten betreffen. Diese Prozesse auf DSGVO- und Disaster-Recovery-Ebene schließen geeignete Schritte bei Datenbanken, Dateien, Servern und Verzeichnissen ein.
Persönliche Daten kann man nicht archivieren
Artikel 5(1)(e) besagt, dass „Daten nicht länger als notwendig in einer Form aufbewahrt werden dürfen, die die Identifizierung der Datensubjekte zur Durchführung der ursprünglichen Aufgaben erfordert. Persönliche Daten können für längere Zeiträume gespeichert werden, wenn sie ausschließlich zum Zweck der Archivierung im öffentlichen Interesse, für wissenschaftliche oder historische Untersuchungen oder für statistische Zwecke benutzt werden“.
Dieser Teil des Regelwerks der DSGVO knüpft an das Recht des Dateneigentümers an, vergessen zu werden – was in der Praxis das Recht einschließt, Unternehmen oder Organisationen nach der Entfernung der Daten zu fragen. Die EU ist lediglich daran interessiert, bei den Unternehmen Backups der persönlichen Daten für eventuelle Recovery-Maßnahmen der Systeme und Datensätze vorzuhalten. (Man beachte: „nicht länger als notwendig zur Durchführung der ursprünglichen Aufgaben“.)
Es könnte so aussehen, als ob die DSGVO der EU die Archivierung persönlicher Daten „für längere Zeiträume“ erlaubt. Dem ist aber nicht so. Es gelten nur die angegebenen Zwecke zur Archivierung persönlicher Daten – und die Beibehaltung der einmal angelegten Archive gehört explizit nicht dazu.
Es ist sicher nicht unmöglich, die DSGVO und die jeweiligen Disaster-Recovery-Pläne in Übereinstimmung zu bringen. Es läuft kurz gesagt darauf hinaus, Systeme, die persönliche Daten aufbewahren, funktionsfähig zu erhalten und die Sicherheit dieser persönlichen Daten zu garantieren – also lediglich genügend Backups zu erzeugen, um eines dieser beiden Ziele zu erreichen.
Folgen Sie SearchStorage.de auch auf Twitter, Google+, Xing und Facebook!
