Die Europäische Datenschutz-Grundverordnung (EU-DSGVO) regelt seit 2018 die Speicherung von personenbezogenen Daten. Einige Unternehmen haben die Richtlinien schon umgesetzt. Andere, vorwiegend kleinere und mittlere Unternehmen (KMU), haben Probleme, gleichzeitig den gesetzlichen Vorschriften zur Datenspeicherung als auch der EU-DSGVO gerecht zu werden.
Viele dieser kleinen Unternehmen archivieren ihre Daten in Cold Storage-Systemen, die lange Zugriffszeiten erfordern, wirtschaftlich aber die beste Wahl sind, da sie große Datenmengen beheimaten können. Diese Systeme helfen besonders KMU dabei, die geforderten Daten für Überprüfungen und Audits vorhalten zu können.
Gleichzeitig hadern Unternehmen des Öfteren, wenn es darum geht, die Daten im Rahmen einer Forderung auf Basis der EU-DSGVO zu löschen.
Daten müssen archiviert werden
Angemerkt werden sollte, dass die jeweiligen Anforderungen und die vorgeschriebene Aufbewahrungszeit nicht nur von der Natur der Daten abhängen, sondern von dem jeweiligen Industriesektor – sei es nun das Gesundheitswesen, Behörden oder das Finanzwesen. Handelt es sich bei den Daten allerdings um solche Inhalte, die auf Anfrage gelöscht werden müssen, wie personenbezogene Daten, wird die Sache in Bezug auf die Datensicherung kompliziert.
In der Theorie ist es zwar möglich, spezielle Daten innerhalb eines Backups zu löschen, falls diese bei der Erstellung der Sicherungskopie höchstens pseudonymisiert wurde, denn anders als bei der Anonymisierung lassen sich die Ursprünge der Daten bei einer Pseudonymisierung doch herausfinden.
In der Praxis muss man diese Backups jedoch nicht vollständig löschen oder wenigstens die einzelnen Daten darin, solange man eine moderne Datensicherungsstrategie im Einsatz hat, die schlicht in der Lage ist, diese Daten zu erkennen und sie bei einer Wiederherstellung isoliert nicht wiederherzustellen.
Daten schrittweise wiederherstellen
Der zweite Punkt ist das Einspielen von Sicherungen, die nicht mehr den aktuellen Anforderungen entsprechen, da seit der Erstellung des Backups bereits Daten vom laufenden System gelöscht wurden.
Unternehmer fürchten oftmals, dass die Wiederherstellung dieser veralteten Sicherungskopien den Produktionsablauf beeinträchtigen könnte – oder eben den Datenschutz unangenehm berührt, wenn personenbezogene Daten in diesen Backups noch vorhanden sind, die bereits gelöscht werden mussten.
Diese Herausforderung lässt sich mit einem sogenannten ‚Staged Restore‘ als Konzept umgehen – also einer schrittweisen Wiederherstellung. Die Backups werden hierbei zunächst in einer Sandbox-Umgebung aufgerufen, in welcher ein Lösch-Skript all die Daten entfernt, die seit der Erstellung des Backups aussortiert wurden. Wenn die Daten dann wiederum in den Produktionsablauf eingespielt werden, sind sie auf dem richtigen Stand.
Datenschutz schafft Vertrauen
Moderne Datensicherung hilft, wichtige Hürden im Zusammenhang mit der EU-DSGVO zu überwinden. Daher gilt es, sich dieser Herausforderung mutig zu nähern und die eigene Backup-Strategie entsprechend anzupassen. Wem das gelingt, der verwandelt den Datenschutz von der Hürde in eine Stärke, die das Vertrauen der Mitarbeiter, Partner und Kunden gewinnt – der wichtigste Vermögenswert jeder Firma oder Behörde.