07. September 2020
Langzeit-Datenspeicherung im Lichte der DSGVO – Rückblick, Herausforderungen und Trends
Für die meisten Unternehmen war der Datenschutz lange Zeit eher ein lästiges Randthema. Dann trat 2018 die europäische Datenschutz-Grundverordnung (DSGVO) in Kraft, und die Frage der rechtskonformen Aufbewahrung und Sicherung persönlicher Daten geriet augenblicklich in den Fokus der Privatwirtschaft.
Im Interview mit OPTIMAL SYSTEMS berichtet Felix Glaser, Channel Account Manager des Freiburger IT-Unternehmens und Datenarchivierungs-Anbieters iTernity GmbH, über DSGVO-Fallstricke, Compliance-Versäumnisse und die Zukunft des Datenschutzes.
Inwiefern hat die DSGVO das Bewusstsein für das Thema Langzeit-Datenspeicherung bei den Unternehmen verändert?
Das Inkrafttreten der Regeln, welche in der DSGVO festgehalten sind, kam für viele unerwartet, und die wenigsten Unternehmen hatten sich auf neue Regeln umfassend vorbereitet. Während einige der Meinung waren, man könne zunächst erst einmal abwarten, ob die Nichteinhaltung negative Auswirkungen hervorruft, versuchten andere in Erfahrung zu bringen, was der genaue Inhalt der DSGVO ist und wie damit umgegangen werden muss.
Für uns als Anbieter von Lösungen für die Langzeit-Datenspeicherung beeinflussten die neuen Regelungen zunächst unser Geschäft nur in geringem Maße. Im Vorfeld zur „Scharfschaltung“ der DSGVO haben wir unsere Lösungen auf den Prüfstand gestellt und fit gemacht. Neben Schlüsselfunktionen wie „Special Delete“, welche sich auf das Recht auf das Vergessenwerden personenbezogener Daten bezieht, sind in unseren Lösungen umfangreiche Maßnahmen integriert, die unterschiedliche rechtliche und branchenspezifische Anforderungen abdecken.
Inzwischen hat sich die Lage gewandelt. Seit Mitte 2019 ist die Anfrage nach Archivlösungen merklich gestiegen, und auch die Fragen nach DSGVO-konformem Umgang mit Daten wurden zunehmend wichtiger. Ob das an den vielen Urteilen aufgrund von DSGVO-Verstößen liegt oder der Tatsache geschuldet ist, dass viele sich zunächst mit dem Thema auseinandersetzen mussten, darüber kann ich nur spekulieren. Vermutlich trifft in vielen Fällen beides zu.
Was sind die größten Fallstricke bei der DSGVO-konformen Archivierung?
Man muss die DSGVO und deren Regeln immer im Kontext betrachten. Auch wenn der Auslöser für neue Gespräche im Archivumfeld oft die Einhaltung der Regeln der DSGVO sind, werden schnell Zusammenhänge zwischen Datenmanagement, Prozessen und gelebtem Umgang mit Daten klar. Lösungen von iTernity stellen bei der Einhaltung der DSGVO nur einen Teil der nötigen Maßnahmen in einem größeren Prozess dar. Man kann unsere Lösungen als Fundament rechtskonformer Archivierung betrachten. Wie bei allen Archivlösungen am Markt ist das Zusammenspiel mit den Datenlieferanten entscheidend.
Die Gründe für Datenarchivierung sind vielfältig. iTernity-Lösungen helfen bei der Speicherung von Archivdaten durch hohe Flexibilität und einfache Erweiterbarkeit bei niedrigen Kosten.
Als einer der am stärksten mit anderen Softwareherstellern validierten Partner im Markt profitieren unsere Kunden von einer breiten Auswahl an DMS- und ECM-Lösungen, welche einfach an iTernity-Lösungen angebunden werden können. Dabei sticht für mich besonders unsere über 15-jährige Zusammenarbeit mit OPTIMAL SYSTEMS heraus. enaio® von OPTIMAL SYSTEMS ist ein sehr gutes Beispiel für die hervorragende Integration von Schutzmechanismen – noch vor der eigentlichen Archivierung. Dabei geht es um Zugriffsregelungen, Kategorisierung von Objekttypen, Management von Aufbewahrungsfristen und vieles mehr, was grundlegende Funktionen zur Einhaltung geltenden Rechts sind.
Entscheidend ist in der DSGVO, dass Lösungen wie unser iTernity iCAS nach den Vorgaben der EU kreiert wurden und das Thema Datenschutz bereits in der Software-Architektur verankert ist. In die Programmierung einfließende Grundsätze sind zum Beispiel „Security-by-design“, „Privacy-by-design” und die Sicherstellung, dass auch die firmeninternen Prozesse bei iTernity DSGVO-konform sind. Letztlich wird in unseren Lösungen sichergestellt, dass etwa das Recht auf Vergessenwerden so umgesetzt wird, dass entsprechende Daten tatsächlich bis in die Speicherebene gelöscht werden. Das wurde auch durch die KPMG geprüft und bestätigt.
Was sind die größten Versäumnisse der Unternehmen beim Thema Archivierung? Was wird unterschätzt und mit welchen Problemen werden Sie konfrontiert?
Als Unternehmen ist man auf das Vertrauen der Endkunden angewiesen. Nur so kann man eine langfristige und erfolgreiche Geschäftsbeziehung und Partnerschaft etablieren. Der Endkunde, dessen personenbezogene Daten gespeichert werden, vertraut seinem Geschäftspartner seine Informationen an, was auch personenbezogene Daten einschließt: Geburtsdaten, Telefonnummern, Adressen oder Daten zur Kreditwürdigkeit oder Krankheitsgeschichte. Die Art der ausgetauschten und gespeicherten Daten ist je nach verarbeitendem Gewerbe unterschiedlich. Gleich ist das Recht einer Person hinsichtlich der eigenen personenbezogenen Daten und das Recht auf Löschung, wenn der Grund für die Erhebung oder Verarbeitung wegfällt oder die Einwilligung auf Nutzung widerrufen wird.
Die Herausforderung für unsere Kunden besteht somit auch darin, Prozesse zu etablieren, welche die Wahrung des Rechts sicherstellen. Die Bewertung und Aufarbeitung entsprechender Prozesse werden oft versäumt oder vernachlässigt – was im Zweifelsfall teuer werden kann. Der einfachste Weg diese Risiken auszuschließen ist, sich an Partner zu wenden, die auf den Umgang mit entsprechenden Daten spezialisiert sind. Als Archivlösungsanbieter werden wir häufig mit unterschiedlichen Herausforderungen konfrontiert: Datenwachstum, Flexibilität bei der Datenspeicherung, Auflösung von Herstellerabhängigkeiten und Datensilos sowie dem Thema Kostendruck.
OPTIMAL SYSTEMS als Quelle für besonders zu schützende Archivdaten, in einem Schichtmodell vor iCAS. Das in Grün dargestellte iCAS nimmt lange Zeit zu schützende Daten entgegen und schreibt diese synchron in zwei Speicherbereiche. Während der Aufbewahrung werden die Daten überwacht und im Fehlerfall automatisch wiederhergestellt.
Seit wann ist das Compliance-Thema für Unternehmen relevant geworden?
Das Thema Compliance hat seinen Ursprung nicht nur in Gesetzen, sondern auch in branchenspezifischen Vorgaben. Wirft man etwa einen genaueren Blick auf das produzierende Gewerbe, so steigen die Anforderungen an das Qualitätsmanagement und nachweisbar einwandfreie Produkte seit einigen Jahren stark an. Wer bestimmte Qualitätsstandards und entsprechende Nachweise einwandfreier Waren nicht erbringen kann, wird oft als Lieferant nicht berücksichtigt.
Somit stieg in den letzten Jahren auch die Nachfrage nach rechtlich konformer Datenaufbewahrung, nicht nur aufgrund gesetzlicher Vorgaben, sondern auch aus Gründen der Absicherung vor Haftungsansprüchen. Viele Produktions- und Prüfdaten werden so heute auf Archivsystemen von iTernity gespeichert. Unsere Lösungen dienen dann als Zentralarchiv für die verschiedensten Anforderungen und Abteilungen im Unternehmen, z. B. Archivierung von Entwicklungs- und Prüfdaten (Produkthaftung), von Personal- und Kundendaten (DSGVO), von steuerrechtlichen Dokumenten (GoBD) usw.
Wie wird sich in Zukunft das Thema Langzeitarchivierung entwickeln? Wie werden sich Technologie, Gesetzgebung und Services wandeln?
Bei der Diskussion über die Nutzung technologisch neuer Wege (z. B. Cloud-Services) geht es häufig darum, den wachsenden Fachkräftemangel zu umgehen, Kosten einzusparen und die Komplexität in der IT zu verringen. Während wir in den vergangenen Jahren erlebt haben, wie die hohe Leistungsfähigkeit heutiger Systeme dazu geführt hat, dass ein Betrieb von Silo-Lösungen durch zentrale Virtualisierung abgelöst wurde, so erleben wir jetzt, wie versucht wird, vorhandene Systeme möglichst effizient zu nutzen. Im Umfeld von Speicherlösungen bedeutet das, neben schnellen Speichersystemen vermehrt auf Archivierung zu setzen.
Nicht oft benötigte Daten werden gezielt auf günstigere Speicherlösungen ausgelagert. Um mit möglichst geringen Kosten sowohl sensible Daten als auch kalte File-Daten aufzubewahren, setzen wir mit iCAS FS auf eine Scale-out-Lösung. Durch die Nutzung von Standard x86-Hardware in Verbindung mit großen Festplattenkapazitäten erreichen wir einen sehr niedrigen Preis pro GB und schaffen ein Cloud on Premise-Erlebnis mit geringsten Aufwänden.
Der Speicherbedarf wird laut IDC bis in das Jahr 2023 auf über 11,7 Zettabyte (ZB) steigen. Daneben verschärfen sich auch die Anforderungen an eine rechtskonforme Aufbewahrung von Daten. Aus unserer Sicht sind daher flexible, intelligente und zentrale Systeme gefragt, die den Bedarf an Sicherheit und Speichervolumen zu möglichst niedrigen Preisen und mit möglichst niedrigem Aufwand decken.
Gelenkte Dokumente: Der Routenplaner für Ihre Daten
ISO-zertifizierte Unternehmen müssen die Kontrolle über ihre Dokumente haben.
Von der Erstellung über die Versionierung bis zur Freigabe – erfüllen Sie gesetzliche Vorgaben und Kundenanforderungen mit gelenkten Dokumenten und ECM.
Haben Sie noch Fragen?
Nehmen Sie Kontakt mit uns auf!
OPTIMAL SYSTEMS is a
Group company of
Kyocera Document Solutions.