Überlegungen zur Einhaltung der EU-Datenschutz-Grundverordnung (GDPR) in Bezug auf Backup- und Storage-Infrastrukturen

In der Europäischen Union (EU) ansässige Unternehmen und öffentliche Einrichtungen dürften mittlerweile zweifellos von der EU-Datenschutz-Grundverordnung (EU-DSGVO) gehört haben – auch bekannt unter der nachfolgend verwendeten Abkürzung GDPR (General Data Protection Regulation).

• Die GDPR aus Sicht des US-Bundesgesetzes „SOX“ besser verstehen
• Allgemeine GDPR-Terminologie
• Wo steht mein Unternehmen in der GDPR-Hierarchie?
• Mögliche Ausfälle des Datenschutzes
• Anforderungen von betroffenen Personen zur Kontrolle ihrer personenbezogenen Daten erfüllen
• Weitergehende GDPR-Anforderungen an Datenschutz und -speicherung
• Fazit

Dabei handelt es sich um ein neues gesetzliches Regelwerk zum Schutz der Privatsphäre, welches am 25. Mai 2018 in Kraft treten wird. Was für Parteien mit einem Sitz außerhalb der EU vielleicht nicht sofort offensichtlich ist: das neue Regulierungssystem gilt weltweit für alle Unternehmen, die Handel in der EU betreiben und/oder mit EU-Kunden online Geschäfte tätigen. Wenn auch Sie Kunden oder Partner haben, die innerhalb des Europäischen Binnemarktes agieren, sollten Sie sich möglichst noch heute über die GDPR informieren und schnell alle notwendigen Schritte einleiten, um Ihr Unternehmen in Einklang mit dieser Richtlinie zu bringen. Anderenfalls drohen Ihnen schwere wirtschaftliche Strafmaßnahmen, welche die Fähigkeit Ihres Unternehmens, in der EU Geschäfte zu tätigen, beeinträchtigen könnten.

Der Schwerpunkt der GDPR liegt auf dem Schutz der individuellen Datenschutzrechte der EU-Bürger. Im Vergleich zu früheren EU-Datenschutzgesetzen wird die Definition von personenbezogenen Daten deutlich erweitert, weil nun nicht nur Finanz-, Behörden- und Krankenunterlagen, sondern auch genetische, kulturelle und soziale Informationen mit einbezogen werden. Unternehmen müssen nun vor der Verwendung personenbezogener Daten die ausdrückliche Einwilligung der betroffenen Person einholen und dabei auch deren „Recht auf Vergessenwerden“ respektieren. Damit ist das Recht eines Kunden/Nutzers gemeint, die Löschung aller Daten zu fordern, die diese Person betreffen und von einem Unternehmen vorgehalten werden.

Unternehmen müssen eine Reihe neuer Anforderungen erfüllen, um die kontinuierliche Einhaltung der GDPR nachzuweisen. Dazu gehören: die Bestellung eines Datenschutzbeauftragten, der für die GDPR-Belange des Unternehmens verantwortlich ist, eine Verpflichtung zur Meldung aller Datenschutzverletzungen und die physische Speicherung der personenbezogenen Daten innerhalb der EU-Grenzen. Der letztgenannte Punkt spiegelt die Bedenken der EU wider, dass Länder außerhalb der EU keine ähnlich hohen Datenschutzstandards für einzelne Bürger haben und dass personenbezogene Daten, die außerhalb der EU gespeichert werden, einem größeren Risiko des Zugriffs durch staatliche Nachrichtendienste oder kriminelle Akteure ausgesetzt sind.

IT-Fachleute ab einem gewissen Alter fühlen sich bei den Herausforderungen der GDPR vielleicht an den sogenannten „Sarbanes-Oxley Act“ (SOX) der USA aus den frühen 2000er Jahren erinnert. Wie GDPR war SOX ein neues, strenges Regelwerk, welches allen Unternehmen (unabhängig von Art und Größe) auferlegt wurde. Obwohl die USA es einseitig für Unternehmen, die innerhalb der US-Grenzen tätig sind, bestimmt haben, ist der US-Markt so groß, dass es Unternehmen auf der ganzen Welt betraf. Wie die EU mit GDPR haben auch die USA ihre Vorgaben mit einem aggressiven Zeitplan und der Androhung heftiger Geldstrafen durchgesetzt. Und ebenso wie bei GDPR hat SOX bei den betroffenen Unternehmen für einige Verwirrung und Unruhe gesorgt, insbesondere in Bezug auf die Kosten zur Einhaltung des Gesetzes.

Auf der anderen Seite haben es die IT-Fachleute der Jahre 2017/2018 in vielen Punkten einfacher als ihre Kollegen der frühen 2000er Jahre. Beispielsweise stehen den Unternehmen heutzutage bessere Technologien zur Verfügung, um die Berichtsanforderungen zu erfüllen, mit denen die Unternehmen den Behörden belegen können, dass sie die erforderlichen Richtlinien, Kontrollen und Verfahren zur Einhaltung der GDPR etabliert haben. Die Kontrollrahmen für „GRC“ (Governance, Risk (Management), Compliance, etwa: Unternehmensführung, Risikomanagement, Vorgabeneinhaltung) haben sich in den letzten zehn Jahren erheblich weiterentwickelt; ebenso wie die Disziplin des „Richtlinien-Lebenszyklus-Managements“ (PLM, Policy Lifecycle Managements). Unternehmen können mittlerweile, unter anderem dank Verordnungen wie SOX und der EU-Datenschutz-Richtlinie von 1995, Datenschutzfolgenabschätzungen und Datenzugriffsregelungen besser handhaben. Und es sind deutlich verbesserte, stark automatisierbare Werkzeuge zur Überwachung, Berichterstellung und Eindämmung von Datenschutzverletzungen verfügbar.

Seit den Tagen des SOX-Gesetzes hat sich die Welt aber auch dahingehend verändert, dass die Einhaltung der GDPR komplexer geworden ist. Im Bereich Datenspeicherung ist es in puncto Geschwindigkeit, Datenmengen, Medienvielfalt (inkl. Cloud Storage) und Komplexität zu massiven Steigerungen gekommen.

Die Einhaltung der GDPR hat darüber hinaus Folgen für die Bereiche Datenschutzfolgenabschätzungen, Datenzugriffsregelungen und Meldungen sowie Behebungen von Datenschutzverletzungen – Themen, die wir hier aber nicht weiter behandeln werden. Stattdessen konzentrieren wir uns auf die sichere Speicherung und den Schutz von personenbezogenen Daten (inkl. Datenarchivierung und -löschung) zur Einhaltung der GDPR.

Um die Beziehung zwischen GDPR, Datenspeicherung und Datenschutz besser zu verstehen, ist es hilfreich, folgende grundsätzliche Begriffe zu erläutern:

• Betroffene Person: Ein EU-Bürger, der mithilfe personenbezogener Daten identifiziert werden kann. Dabei kann es sich um Verbraucher, die einen Online-Kauf tätigen, Patienten eines Gesundheitsdienstleisters, Bürger, die auf Online-Behördendienste zugreifen, oder Nutzer sozialer Medien handeln – kurz: alle Personen, die personenbezogene Informationen zur Verfügung stellen, um einen Dienst zu verwenden.
• Verantwortlicher: Unternehmen (unabhängig vom Firmensitz), das mit EU-Bürgern Geschäfte tätigt und im Rahmen seiner Aktivität personenbezogene Daten von diesen EU-Bürgern erfasst. Beispiele: Unternehmen, die Online-Bestellungen, Adressen oder Kreditkartendaten erhalten – oder Gesundheitsanbieter, die Patientenakten verwalten. (Sie können weiter unten ermitteln, ob Ihr Unternehmen als Auftragsverarbeiter oder Verantwortlicher fungiert.)
• Auftragsverarbeiter: Ein kommerzielles Unternehmen (z.B. Cloud Service Provider), das als Vertragspartner für einen Verantwortlichen fungiert, indem es beispielsweise Dienste für EU-Bürger bereitstellt und hierfür personenbezogene Daten von Einzelpersonen erfasst. Beispiele: Applikationshoster, Storage Provider und Cloud Service Provider für bestimmte Dienstleistungen wie Backup.
• Personenbezogene Daten: „Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.“ Das ist von der EU weiter als von anderen Regierungen gefasst und beinhaltet Daten über den betroffenen EU-Bürger wie: Name, E-Mail-Adresse, Social Media-Beiträge, Informationen zu physischen, physiologischen oder genetischen Eigenschaften, medizinische Informationen, Standort, Bankverbindungen, IP-Adresse, Cookies, kulturelle Identität usw.
• Recht auf Vergessenwerden: Betroffene EU-Bürger haben „Anspruch darauf, dass ihre personenbezogenen Daten gelöscht und nicht mehr verarbeitet werden.“ Betroffene Personen können also verlangen, dass alle über sie gespeicherten personenbezogenen Daten von den Servern des jeweiligen Verantwortlichen gelöscht werden. Zu diesem speziellen Punkt gibt es derzeit jedoch noch einige Unklarheiten. Beispiel: Beinhaltet das Recht auf Vergessenwerden, dass die betreffenden Daten auch aus Backups gelöscht werden? Dies kann bei seriellen Backup-Medien (wie Bändern) technisch problematisch werden. Oder was passiert, wenn das Recht auf Vergessenwerden mit Datenaufbewahrungsrichtlinien des Unternehmens (zu Archivierungs- und Rechtszwecken) kollidiert?
• Verletzung des Schutzes personenbezogener Daten: „Eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.“ Unternehmen müssen solche Vorfälle der jeweiligen Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden der Verletzung melden.

Um Ihre Verpflichtungen in Bezug auf die GDPR besser zu verstehen, müssen Sie zuerst ermitteln, ob Ihr Unternehmen als Verantwortlicher oder als Auftragsverarbeiter fungiert. Dabei helfen diese drei Fragen:

1. 1 Speichern oder verarbeiten Sie personenbezogene Daten von EU-Bürgern?
2. 2 Bestimmen Sie, welche speziellen personenbezogenen Datenelemente gespeichert werden sollen?
3. 3 Bestimmen Sie, wie die personenbezogenen Daten verwendet werden sollen, die unter Ihrer Kontrolle gespeichert werden?

Wenn Sie nur die Frage 1 mit „Ja“ beantworten, fungieren Sie innerhalb des GDPR-Frameworks nur als Auftragsverarbeiter. Wenn Sie die Fragen 1, 2 und 3 mit „Ja“ beantworten, sind Sie ein Verantwortlicher.

Als Verantwortlicher oder Auftragsverarbeiter, dessen Speicherung und Schutz der erhobenen personenbezogenen Daten GDPR-konform sein muss, müssen Sie zudem noch folgende Fragen berücksichtigen:

1. Können Sie den physischen Speicherort der von Ihnen verwalteten personenbezogenen Daten bestimmen, spezifizieren und kontrollieren? Dies ist besonders wichtig, wenn Sie eine Cloud-basierte Data Protection- und/oder Storage-Lösung verwenden oder bereitstellen, bei der die personenbezogenen Daten über mehrere physische Standorte hinweg auf Datenzentren in der ganzen Welt (also auch außerhalb der EU) verteilt werden können.
2. Wie strukturieren Sie die von Ihnen gespeicherten personenbezogenen Daten? Die Wahl des Datenformats hat Auswirkungen darauf, ob und wie Sie bei Anforderung einer betroffenen Person die personenbezogenen Datenelemente lesen, ändern oder löschen können. Datenstrukturen, die schnelle und effiziente Suchmöglichkeiten bieten, sind besonders wertvoll, um solche Anfragen auch im größeren Umfang durchführen zu können.

Ihre Fähigkeit, die Sicherheit, Integrität, Zugänglichkeit und Löschung personenbezogener Daten nachweisen zu können, hängt auch davon ab, ob Sie sich gegen Ausfälle bei der Speicherung, Sicherung und Wiederherstellung der Daten absichern können und (sofern doch auftretend) derartige Ausfälle wieder beheben können. Solche Ausfälle lassen sich in drei Kategorien einteilen:

• Gerätefehler: Physische Fehler bei Storage-Hardware-Komponenten wie Festplatten, Speicher-Controllern und Datenzentren. Beispiele: Festplatten, die versehentlich magnetischen Feldern ausgesetzt und dadurch (teilweise) gelöscht wurden.
• Logische oder Software-Fehler: Durch Menschen verursachte Fehler. Beispiele: Versehentliches Löschen oder Überschreiben von Dateien (z.B. im Verlauf einer Backup-Prozedur), unbeabsichtigte Datendateibeschädigungen (z.B. durch einen Bug/Fehler in einem Skript oder einer Geschäftsapplikation) oder versehentliches Löschen des MBRs (Master Boot Record) einer Festplatte.
• Sicherheitsverletzungen: Ausfälle aufgrund gewaltsamer, schädlicher Angriffe auf die IT-Infrastruktur (Netzwerke, Server, Applikationen, Endgeräte usw.), wie sie böswillige Insider, Online-Kriminelle oder feindliche staatliche Akteure durchführen. Beispiele: Ein Ransomware-Angriff, bei dem der Festplatteninhalt unknackbar verschlüsselt und dann eine Online-Geldüberweisung für den Decodierungsschlüssel verlangt wird.

Verantwortliche Unternehmen müssen nicht nur Datenschutzausfälle verhindern und Datenschutzverstöße an die zuständige Behörde melden, sondern auch eine Reihe von Verpflichtungen gegenüber den Personen einhalten, deren personenbezogene Daten sie speichern. Ein verantwortliches Unternehmen muss jeder betroffenen Person folgende Möglichkeiten bereitstellen:

• Personenbezogene Daten müssen bei Anforderung verfügbar, lesbar und bearbeitbar sein
• Personenbezogene Daten müssen leicht löschbar sein (entweder von der betroffenen Person selbst oder bei Anforderung vom Unternehmen)
• Personenbezogene Daten müssen bei Anforderung in einem leicht lesbaren Format exportierbar sein

Die Erfüllung solcher Benutzeranforderungen ist möglicherweise nicht immer einfach. Beispiel: Klare Anforderungen wie „Löschen Sie mein Postfach und dessen Inhalte komplett!“ sind normalerweise leicht zu erfüllen. Komplexere oder mehrdeutige Anforderungen wie „Löschen Sie meine gesamten Kommentare in diesem Online-Forum!“ können dagegen schwieriger umzusetzen sein.

Auftragsverarbeitende Unternehmen müssen noch weitere Anforderungen erfüllen. Dazu gehören:

• Ausreichende Garantien anzubieten, dass die angebotenen Dienstleistungen die technischen und organisatorischen Anforderungen der GDPR erfüllen
• Ohne ausdrückliche Zustimmung des Verantwortlichen keine Subunternehmen zu nutzen, die die Dienstleistungsvereinbarung zwischen dem Auftragsverarbeiter und seinem Kunden (dem Verantwortlichen) unterstützen sollen
• Bei Beendigung eines Dienstleistungsvertrages alle entsprechenden personenbezogenen Daten aus ihrer Cloud/ihrer Datenzentrumsinfrastruktur zu entfernen und diese Aktion ausreichend belegen zu können
• Datenschutzverstöße an die entsprechende Aufsichtsbehörde zu melden

Die EU will die Einhaltung der Vorschriften ernsthaft durchsetzen und droht allen Unternehmen, die die Umsetzung nicht belegen können oder die klar gegen die GDPR-Regeln verstoßen, mit empfindlichen Geldstrafen. Beispiele: Wenn schriftliche Aufzeichnungen fehlen, keine notwendigen technischen oder organisatorischen Maßnahmen implementiert wurden und/oder kein Datenschutzbeauftragter bestimmt wurde, kann das betreffende Unternehmen mit einer Geldbuße von 10 Millionen Euro oder 2% seines globalen Jahresumsatzes (je nachdem, welcher Betrag größer ist) belegt werden. Bei tatsächlichen Datenschutzverstößen oder wenn die Rechte einer betroffenen Person verletzt wurden (z.B. bei Datenverlust oder unberechtigter Löschung), drohen noch höhere Bußgelder – nämlich 20 Millionen Euro oder 4 % des globalen Jahresumsatzes (je nachdem, welcher Betrag höher ist).

Um die GDPR in den Bereichen Datenspeicherung und Datensicherung (Backup) zu erfüllen, sollten Auftragsverarbeiter und Verantwortliche nach Infrastruktur- und Dienstleistungslösungen suchen, die folgende technische Anforderungen erfüllen:

• Kontrolle durch die betroffene Person über den Speicherort ihrer personenbezogenen Daten. Sie müssen die Wünsche der betroffenen Personen zum Speicherort ihrer personenbezogenen Daten (die Sie kontrollieren oder verarbeiten) erfüllen können: beispielsweise, ob diese in Ihrer Infrastruktur vor Ort und/oder in einem spezifischen EU-basierten Datenzentrum gespeichert werden.
• Datenverschlüsselung. Sie müssen alle personenbezogenen Daten bei Speicherung und Übertragung (z.B. auf Endgeräten/Speichersystemen, im LAN/Internet, in die/aus der Cloud), zuverlässig verschlüsseln können. Der Verschlüsselung sollte komplett automatisiert erfolgen und die betroffene Person der einzige Besitzer des Codierungsschlüssels sein.
• Suche nach Daten in Backups. Backups sollten granular nach Datenelementen durchsuchbar sein, um von betroffenen Personen angeforderte Informationen schnell finden zu können.
• Bearbeitung von personenbezogenen Daten. Personenbezogene Daten müssen auf Anfrage einer betroffenen Person leicht kopiert, geändert und gelöscht werden können.
• Datenexport in einem gängigen Format. Personenbezogene Daten müssen in einem leicht nutzbaren Format (z.B. als ZIP-Archiv) exportiert werden können.
• Schnelle Datenwiederherstellung. Personenbezogene Daten sollten bei Bedarf (z.B. wegen Festplattenausfall, Software- oder Bedienungsfehler, Sicherheitsverletzung, Ransomware-Angriff) schnell aus Backups wiederherstellbar sein.

Auftragsverarbeiter und Verantwortliche sollten zudem bestimmte GDPR-Regeln berücksichtigen, wenn sie Storage- und Data Protection-Infrastrukturen/-Dienstleistungen auswählen:

• Grenzüberschreitende Datenübertragung. Die Übertragung von personenbezogenen Daten außerhalb der Grenzen der EU muss transparent und sicher sein. Service Provider müssen die Speicherorte der personenbezogenen Daten den Wünschen der betroffenen Personen gemäß festlegen können.
• Recht auf Benachrichtigung. Ein Auftragsverarbeiter muss im Fall einer Datenschutzverletzung die betroffenen Verantwortlichen und Kunden innerhalb von 72 Stunden über mögliche Risiken informieren.
• Recht auf Zugriff. Die verwendeten Backup- und Storage-Infrastrukturen müssen das Recht der betroffenen Personen unterstützen, von den Verantwortlichen Informationen abrufen zu können, ob ihre personenbezogenen Daten verarbeitet werden. Ein verantwortliches Unternehmen muss entsprechende Datenkopien kostenfrei zur Verfügung stellen können. Backup-Dateien müssen für die betroffenen Personen rund um die Uhr verfügbar sein. Personenbezogene Daten in einem Backup- oder Storage-Konto müssen durch die betroffene Person oder auf deren Anforderung hin löschbar sein.
• Recht auf Vergessenwerden. Wenn Daten für ihren ursprünglichen Zweck nicht mehr relevant sind, müssen betroffene Personen vom verantwortlichen Unternehmen die Löschung ihrer personenbezogenen Daten einfordern können.
• Recht auf Datenübertragbarkeit. Betroffene Personen müssen ihre personenbezogenen Daten für eigene Zwecke abrufen und weiterverwenden können (z.B. durch Übertragung zu anderen Unternehmen/IT-Umgebungen). Personenbezogene Daten müssen daher in einem leicht übertragbaren Format heruntergeladen werden können.
• Datenschutzbeauftragter. Der Datenschutzbeauftragte ist ein Mitarbeiter, der die oberste Verantwortung für die Einhaltung der GDPR trägt. Er muss in jeder Behörde und in großen Unternehmen (ab 250 Mitarbeitern) benannt werden.
• Eingebauter Datenschutz. Verantwortliche und Auftragsverarbeiter müssen ihre technischen und organisatorischen Maßnahmen (wie Pseudonymisierung) so implementieren, dass diese schon grundsätzlich auf die Umsetzung des Datenschutzes ausgelegt sind.

Der 25. Mai 2018 als Einführungstermin für die GDPR rückt näher – und damit auch die beträchtlichen Strafen bei Nichteinhaltung. Alle Unternehmen, Institutionen und Service Provider, die Dienste für EU-Bürger bereitstellen, können und sollten jetzt alle Schritte unternehmen, um sich darauf vorzubereiten. Dabei gilt es zuerst zu erkennen, wie die GDPR die Definition individueller Datenschutzrechte gegenüber früheren Datenschutzregelungen (wie der Datenschutzrichtlinie von 1995) stärkt und erweitert. Machen Sie sich mit der neuen, durch die GDPR eingeführte Terminologie vertraut, um Ihre Position in diesem Framework zu verstehen. Setzen Sie die Compliance-Herausforderungen zuerst so um, dass Sie Ihre Datenschutz- und Datensicherungsmaßnahmen in Ihrem Kontrollbereich genau überprüfen. Am Ende muss Ihre Data Protection- und Storage-Infrastruktur sowie Ihre Dienstleistung den neuen GDPR-Anforderungen gerecht werden können.

Weitere Informationen finden Sie unter:

• Link zum IDC-Bericht
• Backup- und Storage-Management-Lösungen für alle Unternehmensumgebungen