München, Starnberg, 02. März 2018 - Auch wenn Storage-Admins nicht primär für Compliance-Themen verantwortlich sind, spielen sie laut Suse dabei eine wichtige Rolle...
Zum Hintergrund: Zur Erfüllung der Anforderungen aus der neuen Datenschutz-Verordnung ab dem 25. Mai 2018 spielt die Storage-Administration eine wichtige Rolle. Jeder, der personenbezogene Daten erhebt, ist betroffen. Dies sind alle Daten, die auf eine bestimmte Person hinweisen und seine Identifikation ermöglichen. Neben Namen, Orten und Email-Adressen also auch z.B. Cookies und IP-Adressen. Storage-Admins sollten deshalb eng mit den Datenschutz-Verantwortlichen in ihrem Unternehmen kooperieren – zudem können sie, wie von Suse hier nachfolgend in vier Schritten kurz zusammengefasst - ihren Teil dazu beitragen, das Unternehmen vor möglichen Problemen zu schützen:
1. Daten-Audit durchführen
"Big Data Werkzeuge sammeln Daten meist auf verschiedenen Systemen, die Datensätze in Kopien an mehreren Orten ablegen. Früher galt die Annahme, dass es im Zweifel besser ist, Daten auf Anfrage vorzeigen zu können; heute wird dagegen gesetzlich verlangt, Daten zu löschen, außer es gibt eine explizite rechtliche Grundlage für die Datenspeicherung und -verarbeitung.
Im ersten Schritt sollte man daher herausfinden, welche der Daten, die man gespeichert hat, personenbezogen sind. Dann ist es wichtig, zu dokumentieren, was man gespeichert hat, woher die Daten kommen und welche Systeme auf sie zugreifen. Alle relevanten Personen im Unternehmen müssen darüber informiert werden.
2. Zugriff und Verarbeitung aufzeichnen
Wenn ein Unternehmen personenbezogene Daten verarbeitet, muss im Zweifel auch der Storage-Admin sicherstellen, dass dies regelkonform geschieht. Die EU-DSGVO nennt sechs Fälle, in denen Daten legal verarbeitet werden können:
a) Die betroffene Person hat eingewilligt, dass ihre Daten für einen bestimmten Zweck – und nur diesen Zweck – verarbeitet werden dürfen. Die Entscheidung muss informiert und freiwillig erfolgen. Hinweise im Kleingedruckten reichen nicht aus. Oder die Datenverarbeitung ist nötig, um
b) ...einen Vertrag zu erfüllen, dessen Vertragspartei die betroffene Person ist oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen – etwa eine Kreditprüfung bei jemandem, der einen Kauf abschließen möchte,
c) ...eine andere rechtliche Verpflichtung des Verantwortlichen (Compliance) zu erfüllen,
d) ...lebenswichtige Interessen des Betroffenen oder einer anderen natürlichen Person zu schützen – man denke an eine Patientenakte,
e) …Staatspflichten zu erfüllen.
f) Der letzte Fall tritt ein, wenn die Datenverarbeitung ein Kerngeschäft des Unternehmens ist – allerdings nur so lange, wie die Grundrechte der betroffenen Person nicht verletzt werden.
Diese letzte Passage ist problematisch, denn das „legitime Interesse“ kollidiert mit den Grundrechten der Bürger, etwa dem Recht, dass ohne Einverständnis keine Datenverarbeitung stattfindet, oder dem Recht auf Vergessen – wer es verlangt, kann Unternehmen dazu zwingen, alle Daten über ihn zu löschen. Wer Marketingsysteme betreibt, muss seine Einverständnisprozesse daher in jedem Fall prüfen. Ohne ein umfängliches Audit wird es nicht gehen, was weit über die Aufgaben eines bescheidenen Storage-Admins hinausgeht – das ist ein Job für die Rechtsabteilungen. Admins müssen dem Marketing jedoch klarmachen, welche Daten sie haben, wo diese Daten liegen und wie die verschiedenen Systeme diese Daten verarbeiten.
3. Zugänge prüfen
Die EU-DSGVO zwingt Unternehmen nicht nur dazu, die Daten korrekt zu erheben, sondern auch, diese vor unautorisiertem Zugriff zu schützen. Die dazu getroffenen Vorkehrungen sind besonders zu dokumentieren – für den Fall eines Audits. Storage-Admins sollten herausfinden, wer auf gespeicherte Daten zugreifen und sie extrahieren kann – und natürlich Zugriffskontrollen einrichten, die sich auf Nutzung und Extraktion der Daten erstrecken.
4. Der Speicher muss "das abkönnen"
Die EU-DSGVO ist auch ein willkommener Anlass, um die eigenen Storage-Prozesse und die Strategie gründlich zu prüfen. Eine seltene Gelegenheit, um Änderungen und Erneuerungen mit der Kraft der gesamten EU im Rücken durchzusetzen. Schließlich will kein Unternehmen in langwierige und teure Rechtsstreitigkeiten geraten, nur weil die eigenen Speichersysteme nicht up-to-date waren."
Ein Fazit : Diese vier Tipps klingen einfach, doch sie sind nach Ansicht von Suse grundlegend, um bis Ende Mai 2018 auf der sicheren Seite zu sein. Auch wenn Storage-Admins nicht alleine für die Compliance verantwortlich sind, spielen sie eine wichtige Rolle.