DSGVO: Forderungen an die Sicherheit der Verarbeitung (1)[Gesponsert]

So hilft die Open Telekom Cloud bei der Wiederherstellbarkeit

| Autor: Oliver Schonschek

Datenverlust gehört zu den größten Unternehmensrisiken.
Datenverlust gehört zu den größten Unternehmensrisiken. (Bild: © Sikov - stock.adobe.com)

Die Datenschutz-Grundverordnung (DSGVO / GDPR) enthält mehrere Forderungen an die Sicherheit der Verarbeitung personenbezogener Daten. Dazu gehört die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen. Hierbei können spezielle Cloud-Backups helfen.

Wie das Allianz Risk Barometer 2018 zeigt, ist die Angst deutscher Unternehmen vor Betriebsunterbrechung und Cybervorfällen weiter gestiegen: Cybervorfälle, zu denen die Umfrage unter anderem Systemausfälle und Datenschutzverletzungen zählt, liegen bereits auf dem zweiten Platz der wichtigsten Geschäftsrisiken in Deutschland. Platz 1 nimmt das Risiko einer Betriebsunterbrechung ein.

Bedenkt man die Bedeutung von IT-Systemen und Daten in Zeiten der Digitalisierung der Wirtschaft, wird schnell deutlich, dass Systemausfälle und Datenverlust auch zu dem Risiko der Betriebsunterbrechung wesentlich beitragen. Tatsächlich fürchten 42 Prozent der befragten Unternehmen insbesondere die Cybervorfälle als Ursache einer Betriebsunterbrechung. Man kann deshalb sagen, dass der Datenverlust eindeutig zu den größten Gefahren für die deutsche Wirtschaft gerechnet werden muss.

DSGVO: Datenverlust kann Meldepflicht und Sanktionen auslösen

Kommt es zu einem Datenverlust, droht nicht nur die gefürchtete Betriebsunterbrechung. Da die Verfügbarkeit personenbezogener Daten ebenso eine Forderung der Datenschutz-Grundverordnung ist wie die rasche Wiederherstellbarkeit bei einem Zwischenfall, kann für Unternehmen eine Meldepflicht an die Aufsichtsbehörde für den Datenschutz und womöglich auch an die Betroffenen eintreten. Datenverlust wird also als Datenschutzverletzung gewertet, für die die DSGVO unter definierten Bedingungen Meldepflichten und mögliche Sanktionen vorsieht.

Das Ziel ist die vollständige Wiederherstellbarkeit

Es stellt sich die Frage, was genau die Datenschutz-Grundverordnung von der Fähigkeit zur Wiederherstellung bei einem Zwischenfall erwartet. Der Artikel 32 zur Sicherheit der Verarbeitung besagt, dass die Verfügbarkeit der personenbezogenen Daten und der Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederhergestellt sein muss. Genaue Zeitvorgaben oder technische Kriterien sucht man vergeblich.

Dafür gibt es eine Reihe von Grundsätzen der Verarbeitung personenbezogener Daten nach Artikel 5 DSGVO, die durch das Verfahren zur Wiederherstellbarkeit beachtet und umgesetzt werden müssen. Personenbezogene Daten müssen demnach in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).

Erfahrungsgemäß machen viele Unternehmen Fehler bei der Planung ihrer Wiederherstellbarkeit:

  • Sie unterschätzen die Bedeutung einer raschen Wiederherstellung und geben den Maßnahmen eine zu niedrige Priorität.
  • Ihre Datensicherung und die entsprechenden Verfahren zur Wiederherstellung umfassen nicht alle Daten, deren Verfügbarkeit für das Unternehmen und die Compliance entscheidend sind.
  • Gerade dezentral vorgehaltene Daten werden schnell dabei übersehen.

Hilfreich bei der Planung von Maßnahmen zur Sicherstellung der Wiederherstellbarkeit sind zudem die Hinweise des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zum Datensicherungskonzept und zur Überprüfung auf Wiederherstellbarkeit von Datensicherungen.

Das leistet Cloud Server Backup der Open Telekom Cloud

Eine lückenhafte Datensicherung und eine entsprechend nur teilweise Wiederherstellung von Daten und dem Zugang zu ihnen entsprechen offensichtlich nicht den Anforderungen der Datenschutz-Grundverordnung. Kann nach einem Datenverlust nur ein Teil der Daten wiederhergestellt werden, bleibt es ein Datenverlust, vielleicht von kleinerem Umfang, doch dies sagt nichts über das damit verbundene Risiko und den Grad der Datenschutzverletzung aus.

Die Open Telekom Cloud unterstützt Unternehmen dabei, die Datensicherung und Wiederherstellbarkeit auch dann vollständig zu implementieren, wenn mehrere Cloud-Dienste parallel genutzt werden. Zudem bietet die Open Telekom Cloud einen Backup-Service, der es ermöglicht, komplette Anwendungslandschaften zentral zu sichern:

  • Mit dem Cloud Server Backup Service können Nutzer das Backup-Prinzip auf ganze System-Landschaften übertragen. Das heißt, mehrere Server und Speicher-Volumes, die für eine Applikation zusammenarbeiten, können in einem einzigen Backup zusammengefasst werden. Damit kann diese komplette Landschaft dann wieder in den Status eines beliebigen vorigen Speicherpunktes versetzt werden. Für den Wiederherstellungsfall sind somit alle erforderlichen Informationen an einer Stelle zusammengefasst.
  • Der Anbieter von Daten-Backup-Lösungen Veritas hat die Open Telekom Cloud zertifiziert. Damit steht Nutzern von NetBackup, einer Lösung für Daten-Backup und -Wiederherstellung von Veritas, die Open Telekom Cloud als Speicher-Ort zur Verfügung. Nutzer mehrerer Clouds (Multi-Cloud-Anwender) können die Datensicherung dadurch einheitlich und zentral lösen. Dies ermöglicht auch ein zentrales, einheitliches Vorgehen für die Wiederherstellbarkeit.
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45105198 / DSGVO - Datenschutz Grundverordnung)