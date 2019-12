Rund 1,5 Jahre sind mittlerweile seit dem Ende der Schonfrist für die Umsetzung der EU-Datenschutz-Grundverordnung vergangen. Vor Kurzem hat die DSGVO ihr bislang größtes „Opfer“ gefunden: Eine börsennotierte Wohnungsbaugesellschaft soll eine Rekordstrafe von über 14 Millionen Euro zahlen. Der Grund dafür liegt schlicht am Archivsystem des Unternehmens, das keine Löschmöglichkeit vorsieht. Persönliche Daten wurden dadurch zwangsläufig über Jahre aufbewahrt. Epiq, Anbieter in den Segmenten Legal Services, eDiscovery und Information Governance, rät Unternehmen in diesem Zusammenhang dringend dazu, ihre eigenen Prozesse bei der langfristigen Aufbewahrung von Daten kritisch zu hinterfragen.

„Bestehende Archivsysteme sind in vielen Fällen bewusst gegen das Löschen von Daten geschützt, um das Kriterium der Vollständigkeit zu erfüllen. Was als Schutz vor Manipulationen und versehentlichem oder absichtlichem Löschen einst gut gemeint war, kann sich für Firmen vor dem Hintergrund der DSGVO aber als absolut toxisch erweisen“, so Friedhelm Peplowski, Area Director DACH bei Epiq.

Der Spezialist empfiehlt, für die Umsetzung einer DSGVO-konformen Aufbewahrung sowie beim Aufbau einer künftigen Archivierungsumgebung vor allem drei wichtige Aspekte im Auge zu behalten: das Klassifizieren von Daten, das Erkennen (und Markieren) von privaten Informationen sowie das Definieren von Vorhaltezeiten.

Ohne die vorhandenen Daten wirklich zu kennen, ist DSGVO-Compliance unmöglich, so Epiq. Ziel der Datenklassifizierung sei es daher, sich einen umfassenden Überblick über den gesamten Bestand an strukturierten und unstrukturierten Daten zu verschaffen. Dabei werden die Daten mit einem geeigneten Tool automatisiert analysiert und kategorisiert – etwa auf Basis von Eigenschaften wie Inhalt oder Dateityp. Auch personenbezogene Daten lassen sich auf diese Weise zuverlässig identifizieren.

Ein besonderes Problem bei der Archivierung von Daten im Sinne der DSGVO sind in vielen Fällen private, personenbezogene Daten. Ein häufig herangezogenes Beispiel dafür sind etwa die Unterlagen eines (abgelehnten) Bewerbers. Entscheidend ist es, private Daten im Zuge der Analyseprozesse entsprechend zu erkennen und anschließend markieren zu können – mit einer geeigneten Lösung gelinge auch dieser Vorgang vollautomatisch.

Der folgende Schritt besteht in der Definition von Vorhaltezeiten – häufig ist hier auch der englische Begriff „Retention“ gebräuchlich. Auf Basis der Datenklassifizierung können je nach rechtlichen Vorgaben und Aufbewahrungsfristen die jeweiligen Vorhaltezeiten für die Daten definiert sein, nach denen eine automatische Löschung erfolgt. Auf diese Weise ist beispielsweise auch sichergestellt, dass entsprechend markierte private Daten rechtzeitig und um Einklang mit den Richtlinien der DSGVO gelöscht werden.

„Auf Basis eines älteren Archivsystems lässt sich der dritte Schritt aufgrund der fehlenden Löschmöglichkeit häufig nicht ohne Weiteres umsetzen”, ergänzt Peplowski. „Hier haben wir in Kundenprojekten jedoch bereits sehr gute Erfahrungen damit gemacht, Bestandsarchive rechtskonform im Rahmen einer Office-365-Migration zu übertragen.”

