Suchen

Compliance einhalten In drei Schritten zum DSGVO-konformen Archiv

| Redakteur: Dr. Jürgen Ehneß

Am 24. Mai 2016 trat die Datenschutz-Grundverordnung der EU in Kraft, seit dem 25. Mai 2018 – also seit bald zwei Jahren – ist sie anzuwenden. Noch immer tun sich Unternehmen schwer, die DSGVO bezüglich ihrer Archivdaten umzusetzen, auch wenn drastische Strafen drohen. Epiq empfiehlt drei Schritte, mit deren Hilfe Unternehmen ihr Archiv DSGVO-sicher machen können.

Firmen zum Thema

Archivdaten sind oft vor dem Löschen geschützt – was die DSGVO-Konformität verhindern kann.
Archivdaten sind oft vor dem Löschen geschützt – was die DSGVO-Konformität verhindern kann.
(Bild: © HNFOTO - stock.adobe.com)

Keine Löschfunktion im Archivsystem – die Strafe für die „Deutsche Wohnen“: 14,5 Millionen Euro. Friedhelm Peplowski, Area Director DACH bei Epiq, einem Anbieter in den Segmenten Legal Services, eDiscovery und Information Governance, erläutert, wie es dazu kommen konnte: „Bestehende Archivsysteme sind in vielen Fällen bewusst gegen das Löschen von Daten geschützt, um das Kriterium der Vollständigkeit zu erfüllen. Was als Schutz vor Manipulationen und versehentlichem oder absichtlichem Löschen einst gut gemeint war, kann sich für Firmen vor dem Hintergrund der EU-DSGVO aber als absolut toxisch erweisen.“

Auch wenn die Strafen nicht immer so drastisch ausfallen mögen, bleibt die Gretchenfrage: Wie macht man ein Archiv DSGVO-konform? Hier die drei Schritte, die Epiq empfiehlt:

1. Daten klassifizieren

Ohne die vorhandenen Daten wirklich zu kennen, ist DSGVO-Compliance unmöglich. Ziel der Datenklassifizierung ist es deshalb, sich einen umfassenden Überblick über den gesamten Bestand an strukturierten und unstrukturierten Daten zu verschaffen. Dabei werden die Daten mit einem geeigneten Tool automatisiert analyisiert und kategorisiert – etwa auf Basis von Eigenschaften wie Inhalt oder Dateityp. Auch personenbezogene Daten können auf diese Weise zuverlässig identifiziert werden.

2. Private Informationen erkennen (und markieren)

Ein besonderes Problem bei der Archivierung von Daten im Sinne der DSGVO sind in vielen Fällen private, personenbezogene Daten. Ein häufig herangezogenes Beispiel hierfür sind etwa die Unterlagen eines (abgelehnten) Bewerbers. Entscheidend ist es, private Daten im Zuge der Analyse-Prozesse entsprechend zu erkennen und anschließend markieren zu können – mit einer geeigneten Lösung gelingt auch dieser Vorgang vollautomatisch.

3. Vorhaltezeiten definieren

Der folgende Schritt besteht in der Definition von Vorhaltezeiten – häufig ist hier auch der englische Begriff „Retention“ gebräuchlich. Auf Basis der Datenklassifizierung können je nach rechtlichen Vorgaben und Aufbewahrungsfristen die jeweiligen Vorhaltezeiten für die Daten definiert werden, nach denen eine automatische Löschung erfolgen kann. Auf diese Weise wird beispielsweise auch sichergestellt, dass entsprechend markierte private Daten rechtzeitig und im Einklang mit den Richtlinien der DSGVO gelöscht werden.

Friedhelm Peplowski, Area Director DACH bei Epiq.
Friedhelm Peplowski, Area Director DACH bei Epiq.
(Bild: Epiq)

Peplowski ergänzt das Vorgehen: „Auf Basis eines älteren Archivsystems lässt sich der dritte Schritt aufgrund der fehlenden Löschmöglichkeit häufig nicht ohne weiteres umsetzen. Hier haben wir in Kundenprojekten jedoch bereits sehr gute Erfahrungen damit gemacht, Bestandsarchive rechtskonform im Rahmen einer Office-365-Migration zu übertragen.“

(ID:46294927)