Viele Verantwortliche haben das Gefühl, dass die Komplexität der Datenspeicherung durch die DSGVO steigt. Doch ist es oft nicht die Speicherung an sich, sondern die Verwaltung der gespeicherten Daten, die komplexer geworden ist. Das ist nicht unbedingt der DSGVO geschuldet, sondern der davon unabhängigen Mass Data Fragmentation.
Letztlich bietet die DSGVO eine Vorlage dafür, wie Unternehmen nach einheitlichen Standards mit persönlichen Daten umgehen und diese bearbeiten sollen. Offensichtlich war eine Regelung erforderlich und so ermöglicht die DSGVO den Unternehmen eine bessere Kontrolle, Bearbeitung und Transparenz der Daten, die sie nutzen.
Unternehmen, die den Anforderungen der DSGVO nicht gerecht werden, mangelt es voraussichtlich an ausreichenden Prozessen für die Datenverwaltung. Dabei sollte die DSGVO nicht als Gefahr angesehen werden, sondern vielmehr als Möglichkeit, um mit der Komplexität der Datenspeicherung umzugehen und damit auch langfristig erfolgreich zu sein. Größere Vorfälle oder Angriffe können zu einer erheblichen Marken- und Rufschädigung führen, weshalb Unternehmen eine zuverlässige Datenverwaltung und -speicherung gewährleisten müssen.
Eine regelmäßige Überprüfung der DSGVO-Compliance ist notwendig, da sich Prozesse bei der Bearbeitung und Speicherung von Daten ständig verändern. Dabei lohnt es sich zum Beispiel, in eine umfassende Disaster-Recovery-Lösung zu investieren und Daten vorhersehbar wiederherstellen zu können. Für die Compliance und Geschäftskontinuität ist eine schnelle, skalierbare und konsistente Wiederherstellung wichtig. Daher sind folgende Schritte regelmäßig umzusetzen:
Konsolidieren des Sekundärspeichers: Zielspeicher, Back-up-Software, Dateien, Test- und Dev-Kopien sowie Analysedaten sollten auf einer webbasierten Plattform vereint werden. Dadurch kopieren Unternehmen Daten nicht mehrfach zwischen einzelnen Appliances. Data Governance, Sicherheit, Suche und Analyse werden somit wesentlich einfacher.
Schutz vor unbefugtem Zugriff: Die Verschlüsselung von Daten und die Speicherung der Schlüssel an einem separaten Ort ist gleichbedeutend mit der Pseudonymisierung persönlicher Daten. Eine Plattform sollte die Pseudonymisierung mit Verschlüsselung bieten. Eine detaillierte rollenbasierte Zugriffskontrolle (RBAC) stellt sicher, dass nur autorisierte Nutzer Zugriff auf die Daten erhalten.
Schutz vor Datenverlust und Lösegeldforderungen: Löschcodierung und Replikation gewährleisten die Datenstabilität innerhalb eines Clusters. Daten werden in unveränderlichen, automatisierten Snapshots geschützt, um Datenverlust und Lösegeldforderungen zu vermeiden. Daten lassen sich auch auf Bänder oder in der Cloud replizieren und archivieren, um einen ortsunabhängigen Datenschutz zu gewährleisten.
Automatisierung von Datenaufbewahrungszeiten: Für die Datenminimierung können Datenaufbewahrungszeiten mit automatisierten Richtlinien festgelegt werden. Daten lassen sich auf der Grundlage dieser Richtlinien automatisch aufbewahren und löschen oder sie verfallen.
Identifikation persönlicher Daten mit Such- und Analysefunktionen: Unternehmen müssen alle Instanzen persönlicher Daten im Sekundärspeicher identifizieren. Alle Datei- und VM-Metadaten werden bei der Aufnahme in das System erkannt und ermöglichen so eine Google-ähnliche Suche zur schnellen Identifizierung einzelner Dateien.
Verwalten und Sichern der Daten in Multi-Cloud-Umgebungen: Die DSGVO reduziert die Liste der Standorte und Anbieter, an die personenbezogene Daten übertragen werden dürfen. Verschiedene Plattformen ermöglicht es, Daten über Cluster hinweg und in die Cloud zu replizieren sowie Daten in der Cloud oder einem beliebigen NFS- und S3-kompatiblen Speicher zu archivieren. Die Daten in der Cloud können verschlüsselt, indexiert und analysiert werden, um die DSGVO-Konformität unabhängig vom Standort zu gewährleisten.
