Einhaltung der DSGVO: Wichtige Strategien für die Sicherung von Daten

Was ist die DSGVO?

Die Datenschutz-Grundverordnung (DSGVO) ist ein komplexes Datenschutzgesetz, das seit dem 25. Mai 2018 in Kraft ist. Sie ist eines der bekanntesten Elemente der Datenschutzgesetzgebung weltweit, obwohl sie nur für die Kundendaten der Einwohner der Europäischen Union und des Europäischen Wirtschaftsraums gilt.

Die DSGVO legt strenge Standards fest, wie Unternehmen mit allen sensiblen Informationen von EU-Bürgern umgehen müssen, auch wenn das betreffende Unternehmen nicht in der EU ansässig ist. Unternehmen, die entweder Waren oder Dienstleistungen für EU-Bürger anbieten, das Verhalten von EU-Bürgern überwachen oder personenbezogene Daten im Auftrag von in der EU ansässigen Organisationen verarbeiten, müssen alle auf die eine oder andere Weise die DSGVO einhalten.

Was die Aufgaben im Zusammenhang mit der sicherung und wiederherstellung betrifft, so enthält die DSGVO eine Reihe entscheidender Anforderungen, die alle Organisationen auf die eine oder andere Weise erfüllen müssten, darunter organisatorische Anforderungen, individuelle Rechte und Datenschutzgrundsätze.

Zu den organisatorischen Anforderungen gehören die folgenden:

• Verfahren zur Meldung von Verstößen;
• Ernennung eines Datenschutzbeauftragten in bestimmten Situationen;
• Umsetzung spezifischer organisatorischer und technischer Maßnahmen;
• Datenschutz-Folgenabschätzungen für risikoreiche Verarbeitungen;
• Aufbewahrung von Aufzeichnungen für alle Verarbeitungsaktivitäten.

Zu den individuellen Rechten eines EU-Bürgers in diesem Zusammenhang gehören:

• Recht auf Löschung, auch als Recht auf Vergessenwerden bezeichnet;
• Recht auf Datenübertragbarkeit;
• Recht auf Zugang zu ihren personenbezogenen Daten;
• Recht auf Widerspruch gegen die Verarbeitung;
• Recht auf Berichtigung unrichtiger Informationen;
• Recht auf Einschränkung der Verarbeitung.

Zu den Datenschutzgrundsätzen, die hier gelten, gehören:

• Die Daten müssen korrekt und aktuell sein;
• Der Datenschutz muss durch geeignete Sicherheitsmaßnahmen gewährleistet werden;
• Personenbezogene Daten müssen transparent, fair und gesetzeskonform verarbeitet werden;
• Die Datenspeicherfrist sollte nur auf den Zeitraum begrenzt werden, der zur Erfüllung des beabsichtigten Zwecks erforderlich ist;
• Die Datenerhebung muss sich auch auf die erforderlichen Informationen beschränken (manchmal auch als „Datenminimierung“ bezeichnet).

Ein klares Verständnis aller grundlegenden Aspekte der DSGVO ist unerlässlich, um Backup-Lösungen mit einem ausreichenden Maß an Compliance implementieren zu können, was sich direkt auf die Art und Weise auswirkt, wie Organisationen ihre Datenschutz-/Speicher-/Aufbewahrungsstrategien angehen.

Welche Anforderungen stellt die DSGVO an die Datensicherung?

Datensicherungen spielen eine sehr wichtige Rolle bei der Gewährleistung der Geschäftskontinuität und der Einhaltung der Datenschutzanforderungen der DSGVO. Das Gleichgewicht zwischen beiden ist etwas heikel, aber Unternehmen müssen es dennoch finden, um alle erforderlichen Datenschutzgrundsätze einzuhalten, ohne die Fähigkeit zu verlieren, eine umfassende Sicherungsumgebung aufrechtzuerhalten.

Verständnis der DSGVO-Konformität bei der Datensicherung

Die Einhaltung der DSGVO in Sicherungsumgebungen geht über das einfache Kopieren von Informationen hinaus. Die betreffende Sicherungsstrategie muss in der Lage sein, Datenschutzregeln durch Design zu integrieren, um sicherzustellen, dass die persönlichen Daten der Kunden während ihres gesamten Lebenszyklus sicher bleiben, ohne den Zugriff darauf für geschäftliche Zwecke einzuschränken.

Zu den häufigsten Maßnahmen, die die DSGVO von Sicherungssystemen verlangt, gehören:

• Klare und präzise Verfahren für die Datenwiederherstellung und Informationsüberprüfung.
• Zugriffskontrollen und Authentifizierungsmechanismen.
• Verschlüsselung für sensible Informationen im Ruhezustand und während der Übertragung.
• Ein detailliertes Protokoll der Zugriffsversuche und Sicherungsvorgänge.

Wichtige Anforderungen der DSGVO an den Datenschutz

Bei Sicherungsaufgaben übt die DSGVO großen Druck auf das Prinzip des Datenschutzes durch Technikgestaltung aus – was bedeutet, dass die Sicherheitsmaßnahmen von Anfang an in bestehende Sicherungsprozesse integriert werden müssen, anstatt erst im Nachhinein hinzugefügt zu werden. Ein solcher Ansatz kann in der Regel ein höheres Maß an Kontrolle und Sicherheit über Informationen bieten, ist jedoch im Vergleich zu Optionen von Drittanbietern möglicherweise schwieriger umzusetzen.

Jedes Unternehmen, das in den Geltungsbereich der DSGVO fällt, muss die Rechte der betroffenen Personen unterstützen und gleichzeitig die Datenintegrität wahren. Zu den Rechten der betroffenen Personen gehören die Möglichkeit, Daten auf Anfrage in portabler Form bereitzustellen, bestimmte personenbezogene Daten in Sicherungen zu lokalisieren und Datensätze auf Anfrage oder bei Bedarf zu ändern oder zu löschen. Die Aufrechterhaltung der Datenintegrität wird durch regelmäßige Tests der Sicherungen, detaillierte Prüfprotokolle und gründliche Verfahren zur Überprüfung der Prüfsummen erreicht.

Aufbewahrungsfristen und -richtlinien für DSGVO-Sicherungen

Auch Aufbewahrungsrichtlinien können sich im Rahmen der DSGVO ändern, da die Verordnung eine Rechtfertigung bestehender Aufbewahrungsfristen auf der Grundlage rechtlicher Anforderungen und geschäftlicher Bedürfnisse verlangt, anstatt Informationen auf unbestimmte Zeit zu speichern, wie es die meisten Unternehmen tun.

Bei der Festlegung von Aufbewahrungsrichtlinien für die Anforderungen der DSGVO müssen eine Reihe wichtiger Faktoren berücksichtigt werden. Rechtliche und regulatorische Anforderungen sind ein offensichtlicher Bestandteil dieser Diskussion. Darüber hinaus müssen wir auch das Risiko der Aufbewahrung unnötiger personenbezogener Daten erwähnen, das in diesem Zusammenhang in der Regel genauso wichtig ist wie die allgemeinen Anforderungen an die Geschäftskontinuität. Darüber hinaus zeigt ein Vergleich der ordnungsgemäß berechneten Speicherkosten mit dem potenziellen zukünftigen Wert der Daten, ob es für das Unternehmen überhaupt von Vorteil ist, Informationen außerhalb der vorgeschriebenen Zeiträume zu speichern.

Anforderungen an die Datenminimierung bei Sicherungen

Datenminimierung ist ein ungewöhnliches Thema im Zusammenhang mit Sicherungsumgebungen. In den meisten Fällen ist die Durchführung vollständiger Sicherungen die einfachere Option, aber die DSGVO verlangt von Organisationen, dass sie bei ihren Sicherungsprozessen viel selektiver vorgehen. Vor diesem Hintergrund können wir zumindest einige Regeln für selektive Sicherungsstrategien aufstellen, die befolgt werden sollten, um die Anforderungen der DSGVO besser zu erfüllen, darunter:

• Anwendung unterschiedlicher Aufbewahrungsfristen für separate Datenkategorien.
• Identifizierung und Kategorisierung von Informationen auf der Grundlage ihrer Sensibilität.
• Regelmäßige Überprüfung und Bereinigung veralteter/unnötiger Sicherungen.
• Ausschluss unnötiger personenbezogener Daten von regelmäßig durchgeführten Sicherungen.

Um die Einhaltung der DSGVO zu gewährleisten, ohne die Effektivität der Sicherungsumgebung zu beeinträchtigen, muss der Datenschutz als Chance zur Verbesserung der bestehenden Umgebung betrachtet werden, anstatt die DSGVO als Hindernis zu betrachten. Eine sorgfältige Planung und Umsetzung sind unerlässlich, um dieses empfindliche Gleichgewicht zwischen Compliance und Sicherungsleistung zu erreichen.

Wie werden Datenschutzmaßnahmen für personenbezogene Daten umgesetzt?

Best Practices für Datensicherung und -sicherheit

Um aus Compliance-Gründen robuste Datenschutzmaßnahmen umzusetzen, ist ein umfassender Ansatz erforderlich. Nur eine nahtlose Integration zwischen organisatorischen Verfahren und technischen Kontrollen kann alle Anforderungen erfüllen, ohne bestehende oder zukünftige Arbeitsabläufe bei Sicherungsvorgängen zu beeinträchtigen.

Die Umsetzung selbst besteht in der Regel aus zwei Hauptschritten: Datenerfassung und Datenschutz. Die Datenerfassung umfasst einen gründlichen Datenzuordnungsprozess, bei dem alle personenbezogenen Daten in der Umgebung identifiziert werden, sowie einen Datenkategorisierungsprozess auf der Grundlage von Vertraulichkeits- und Schutzanforderungen und eine gründliche Dokumentation aller Verarbeitungsaktivitäten und Datenflüsse.

Der Datenschutzprozess hingegen besteht aus der Implementierung starker Zugriffskontrollen und einer End-to-End-Verschlüsselung sowie, wenn möglich, aus Netzwerksegmentierungsbemühungen und regelmäßigen Sicherheits-Patches.

Die Rolle des Datenschutzbeauftragten bei der Einhaltung der DSGVO

Ein Datenschutzbeauftragter (DSB) ist eine wichtige Position mit dem Ziel, verschiedene Backup-Sicherheitsmaßnahmen zu überwachen. Die Einhaltung der Vorschriften ist nur einer von mehreren Fachbereichen, in denen ein DSB Experte sein sollte, darunter:

• Schulung der Mitarbeiter zum Thema bewährte Datenschutzverfahren
• Beratung bei der angemessenen Umsetzung von Sicherheitsmaßnahmen in Backup-Workflows
• Wahrnehmung der Rolle eines Verbindungsmanns bei der Kontaktaufnahme mit Aufsichtsbehörden
• Überwachung der vollständigen Einhaltung der DSGVO und anderer Anforderungen, falls zutreffend
• Durchführung regelmäßiger Audits der Sicherungsverfahren

Anforderungen an die Klassifizierung und Speicherung von Daten

Ein ordnungsgemäßer Datenklassifizierungsprozess ist die Grundlage jeder wirksamen Datenschutzmaßnahme. In den meisten Fällen wird ein mehrstufiger Speicheransatz empfohlen, bei dem mehrere Speicherstufen je nach Wichtigkeit der Daten festgelegt werden. Zu den vier am häufigsten akzeptierten Speicherstufen gehören „kritisch“ (hochsensible personenbezogene Daten), „Standard“ (routinemäßige personenbezogene Daten), „Archiv“ (Informationen, auf die selten zugegriffen wird) und „Temporär“ (vorübergehende Daten).

Für jede einzelne Ebene im Klassifizierungsrahmen sollten eine Reihe von Empfehlungen und Arbeitsabläufen definiert werden. Dazu gehören detaillierte Sicherheitskontrollen, eine festgelegte Häufigkeit der sicherungen, spezifische Aufbewahrungsfristen für Daten und ausführlich erläuterte Zugriffsverfahren.

Überlegungen zum grenzüberschreitenden Datentransfer

Der grenzüberschreitende Datentransfer ist ein beliebtes Thema im Bereich der Compliance, da eine große Anzahl moderner Unternehmen in mehreren Gerichtsbarkeiten auf der ganzen Welt tätig ist. Es ist ein sehr wichtiges Thema, wenn es um die DSGVO und andere regionalspezifische Vorschriften geht, die eine Reihe zusätzlicher Maßnahmen erfordern, um deren Einhaltung sicherzustellen:

• Bewerten Sie die Rechtsgrundlage für jede Zielregion des Datentransfers
• Analysieren Sie die Angemessenheitsentscheidungen für Zielländer
• Dokumentieren Sie gegebenenfalls Standardvertragsklauseln
• Ermitteln Sie, welche technischen Sicherheitsvorkehrungen für Daten während der Übertragung getroffen werden sollten
• Ergänzen Sie gegebenenfalls geografische Beschränkungen für die Datenspeicherung
• Führen Sie nach der Übertragung Konformitätsprüfungen zur Datenresidenz durch
• Überwachen Sie internationale Datenflüsse

Anforderungen an Dokumentation und Prüfpfade

Dokumentation und Prüfpfade sind wesentliche Elemente praktisch jeder Compliance-Vorschrift, nicht nur der DSGVO. Eine umfassende Dokumentation deckt in der Regel viele verschiedene Aspekte und Elemente der internen Prozesse und Maßnahmen einer Organisation ab, darunter:

1. Systemkonfigurationsfunktionen – Sicherheitskontrollen, Verschlüsselungsstandards, Schlüsselverwaltungsverfahren, Sicherungsarchitekturen, Zugriffskontrollmatrizen, Datenflüsse, Sicherheitskonfigurationen.
2. Operative Verfahren – Reaktionen auf Sicherheitsvorfälle, Verfahren zur Sicherungsplanung, Schritte zur Überprüfung der Einhaltung, Detaillierung der Sicherungsplanung.

Auf die gleiche Weise sollten auch Prüfpfade geführt werden, wobei jede Prüfung die Genauigkeit und Effizienz von Sicherheitsmaßnahmen sowie die Einhaltung dieser Maßnahmen durch das Personal, die Einhaltung dokumentierter Verfahren usw. überprüfen kann.

Was ist das Recht auf Löschung im Rahmen der DSGVO-Konformität?

Das Recht auf Löschung, auch bekannt als Recht auf Vergessenwerden, ist ein direktes Recht eines EU-Bürgers, die Entfernung seiner privaten Informationen aus den Suchergebnissen im Internet und anderen Quellen zu verlangen, wenn möglich. Es mag wie eine einfache Anfrage erscheinen, aber es wird auch überraschend schwierig, wenn es im Zusammenhang mit verteilten Speichersystemen und Sicherungsarchiven angewendet wird.

Das Recht auf Löschung kann von den betroffenen Personen unter bestimmten Umständen beantragt werden, darunter:

• Unrechtmäßig verarbeitete Daten
• Widerruf der Einwilligung zur Verarbeitung
• Die Daten sind für den ursprünglichen Zweck nicht mehr erforderlich
• Widerspruch gegen die Verarbeitung (ohne zwingende legitime Gründe)
• Rechtliche Verpflichtung zur Löschung von Daten

Das Recht auf Löschung ist jedoch nicht absolut. In einigen Situationen können Organisationen Daten weiterhin speichern, z. B. wenn dies für wissenschaftliche, historische oder statistische Zwecke erforderlich ist. Darüber hinaus sind die Daten, die zur Erfüllung gesetzlicher Verpflichtungen und zur Bearbeitung von Rechtsansprüchen erforderlich sind, ebenfalls vom Recht auf Löschung ausgenommen. Gleiches gilt für Aufgaben, die im öffentlichen Interesse oder zur Ausübung der Meinungsfreiheit durchgeführt werden.

Umsetzung des Rechts auf Löschung in der Datensicherung

Der eigentliche Umsetzungsprozess für das Recht auf Löschung erfordert insbesondere ein ausgewogenes Verhältnis zwischen Compliance-Fragen und praktischen Einschränkungen. Die Entwicklung ausgefeilter Prozesse, die Löschanfragen verarbeiten können, ohne die Integrität und Leistung von Sicherungen zu beeinträchtigen, ist keine leichte Aufgabe.

Für den Implementierungsprozess können wir eine Reihe kleinerer Strategien vorstellen, die den Benutzern bei der Schaffung eines besseren Rahmens für die Einhaltung des Rechts auf Löschung helfen könnten. Die Entscheidung für ein Sicherungssystem, das eine granulare Datenlöschung unterstützt, wäre ein guter Anfang, und Verschlüsselungsfunktionen mit separater Schlüsselverwaltung sind hier ebenfalls willkommen.

Weitere Elemente der technischen Seite der Umsetzung sind die Metadaten-Kennzeichnung für eine bessere Nachverfolgung von Löschanfragen und die Erstellung von Indizes der Speicherorte personenbezogener Daten innerhalb von Sicherungen. Dies ist jedoch nur die technische Seite des Themas, während wir auch den verfahrenstechnischen Ansatz für die Umsetzung durchgehen möchten, den man verwenden könnte. Dieser Ansatz kann in vier Hauptschritte unterteilt werden:

• Dokumentation aller Löschanfragen und ergriffenen Maßnahmen
• Festlegung eines klaren Arbeitsablaufs für die Bearbeitung zukünftiger Löschanfragen
• Festlegung von Kriterien, ob die Löschanfrage technisch durchführbar ist
• Erstellung von Prozessen, die eine teilweise Wiederherstellung unter Ausschluss gelöschter Daten ermöglichen

Wie bereits erwähnt, gibt es auch viele Situationen, in denen eine vollständige Löschung aus dem einen oder anderen Grund nicht sofort möglich ist. In diesem Zusammenhang gibt es mehrere Möglichkeiten, das Problem anzugehen:

• Führen eines Löschprotokolls, um sicherzustellen, dass die gelöschten Informationen auch nach Wiederherstellungssequenzen gelöscht bleiben
• Herausfinden, wie neue sicherungen ohne bereits gelöschte Informationen erstellt werden können
• Experimentieren mit virtueller Löschung, die Zugriffskontrollen und Verschlüsselung verwendet
• Festlegen von Zeitplänen, wann die Daten vollständig aus sicherungen gelöscht werden

Es ist nicht ungewöhnlich, dass Unternehmen das Recht auf Löschung mit anderen Anforderungen aus demselben Rahmen in Einklang bringen müssen – sei es Datensicherheit, Notfallwiederherstellung usw. Das Ziel der Einhaltung des Rechts auf Löschung aus Sicht der DSGVO besteht darin, einen klaren und definierten Ansatz für die Bearbeitung von Löschanfragen zu bieten, ohne die Gesamtsystemintegrität zu beeinträchtigen.

Welche Sicherungslösungen gewährleisten die Einhaltung der DSGVO?

Bewertung von Lösungen zur Datensicherung im Hinblick auf den Datenschutz

Die einfache Fähigkeit einer Sicherungslösung, die DSGVO zu unterstützen, reicht an sich nicht aus, da die Art und Weise, wie sie implementiert und genutzt wird, weitaus wichtiger ist. Unternehmen müssen auch die Governance- und Managementfunktionen einer solchen Software sowie ihre technischen Fähigkeiten bewerten. Im Idealfall sind bei einer Sicherungslösung mit DSGVO-Unterstützung alle Datenschutzanforderungen in den Kern der Lösung integriert, wodurch sie nahtlos und effizient ist.

Im Hinblick auf die Funktionen, auf die Unternehmen bei ihren Lösungen für die Datensicherung achten sollten, um die Vorschriften einzuhalten, können wir eine Reihe wichtiger Beispiele nennen:

• Umfangreiche Datenverschlüsselungsfunktionen
• Flexible Such- und Erkennungswerkzeuge, die nach personenbezogenen Daten suchen können
• Umfassende Audit-Protokollierung
• Granulare Zugriffskontrolle und deren Verwaltung
• Automatisierung der Compliance-Berichterstattung

Merkmale von DSGVO-konformen Lösungen zur Datensicherung

Wenn es um spezifischere, DSGVO-bezogene Merkmale geht, auf die man bei einer Sicherungslösung achten sollte, gibt es noch mindestens zwei weitere Kategorien, die es abzudecken gilt: Datenverwaltungsfunktionen und Funktionen zur Verbesserung des Datenschutzes.

Die Datenverwaltungsfunktionen, die bei der Einhaltung der Vorschriften am meisten helfen, sind Datenklassifizierungsfunktionen, die Möglichkeit, Aufbewahrungsrichtlinien zu automatisieren, eine Vielzahl selektiver Sicherungs- und Wiederherstellungsoptionen sowie eine sichere Methode zur Datenlöschung.

Was die Funktionen zur Verbesserung des Datenschutzes betrifft, empfehlen wir, nach Möglichkeit in Datenmaskierungswerkzeuge, die Bearbeitung von Anträgen auf Zugang zu personenbezogenen Daten, Pseudonymisierungsfunktionen und Unterstützung bei der Datenschutzfolgenabschätzung zu investieren.

Cloud- vs. lokale Sicherungslösungen

Sicherungssoftware gibt es in der Regel in zwei Formen, wenn es um ihre Bereitstellung geht – Cloud und vor Ort. Einige Softwareprogramme bieten nur einen einzigen Ansatz, während andere beide bereitstellen können. Es ist wichtig zu wissen, dass beide Ansätze ihre eigenen Vorteile haben, die es zu berücksichtigen gilt.

So können Cloud-Backup-Lösungen Folgendes bieten:

• Geografische Verteilungsoptionen
• Automatisierung von Sicherheitsupdates
• Compliance-Zertifizierungen
• Skalierbare Speicherkapazität
• Integrierte Redundanzoptionen

Alternativ bieten lokale Sicherungsoptionen:

• Ein gewisses Maß an Unabhängigkeit von der Internetverbindung
• Anpassbare Sicherheitskontrollen
• Direkte Kontrolle über die Infrastruktur der Lösung
• Vollständige Datenhoheit
• Möglicherweise schnellere Wiederherstellungszeiten im Vergleich zu Cloud-Optionen

In manchen Situationen ist auch ein hybrider Ansatz eine Option, der ein Gleichgewicht zwischen den beiden Optionen und die höchste Flexibilität bietet. Er umfasst eine kostengünstige Skalierbarkeit, Cloud-Backup für die Notfallwiederherstellung, lokale Kopien für eine schnelle Wiederherstellung, Flexibilität bei der Datenresilienz usw.

Verschlüsselungsanforderungen für sicherungsdaten

Die Verschlüsselung ist eines der grundlegendsten Elemente moderner Datensicherheitsrahmen, und die Einhaltung der DSGVO verstärkt diese Aussage noch weiter, indem sie bestimmte Anforderungen sowohl für die Verschlüsselung ruhender Daten als auch für die Sicherheit während der Übertragung festlegt.

Die Verschlüsselung im Ruhezustand soll starke Algorithmen (AES-256 oder besser), sichere Schlüsselverwaltungssysteme, regelmäßige Schlüsselrotation und die Integration mit Hardware-Sicherheitsmodulen verwenden.

Die Verschlüsselung während der Übertragung sollte bei Datenübertragungen mindestens TLS 1.3 entsprechen und gleichzeitig sichere Tunnelkonfigurationen, Zertifikatsverwaltung und Schutz des Netzwerkpfads bieten.

Als Fazit dieses Abschnitts können wir vermuten, dass eine perfekte Version einer Sicherungslösung für die Einhaltung der DSGVO über End-to-End-Verschlüsselungsfunktionen, die Einhaltung von Industriestandards, eine integrierte Schlüsselverwaltung und Optionen für die Verschlüsselung an der Quelle verfügen sollte. Umfassende Sicherheitsfunktionen sollten für Unternehmen oberste Priorität haben, auch wenn es nach wie vor im Interesse des Unternehmens selbst liegt, eine Lösung zu finden, die ein Gleichgewicht zwischen betrieblicher Effizienz und leistungsstarkem Datenschutz schafft.

Wie geht man mit der Datenwiederherstellung im Rahmen der DSGVO um?

Die Datenwiederherstellung im Rahmen der DSGVO ist ebenso streng und vielschichtig wie die Prozesse zur Datensicherung und erfordert ein Gleichgewicht zwischen Compliance, Geschwindigkeit und Genauigkeit. Keiner der Wiederherstellungsprozesse sollte von Natur aus die Rechte der betroffenen Personen verletzen oder zuvor gelöschte Informationen irgendwie wiederherstellen.

Eine kompetente Wiederherstellungsstrategie, die die Einhaltung der DSGVO im Auge behält, sollte regelmäßig Verifizierungssequenzen vor der Wiederherstellung durchführen und gleichzeitig ein Rahmenwerk zur Priorisierung der Wiederherstellung nutzen, um den Wert und die Bedeutung bestimmter Informationen zu verstehen

Der Prozess der Vorab-Verifizierung bestätigt den Umfang der Daten, die wiederhergestellt werden sollen, und überprüft den aktuellen Einwilligungsstatus der betroffenen Personen. Wenn es hier keine Beschwerden gibt, müssen Organisationen auch die Berechtigungsstufen für die Wiederherstellung validieren und anhand von Protokollen zu Löschanfragen überprüfen, um sicherzustellen, dass keine der Löschanfragen übersehen wird.

Das Recovery Prioritization Framework verwendet in den meisten Fällen vier Hauptkategorien von Daten:

• Historische oder archivierte Informationen
• Standardbetriebsdaten
• Zeitkritische personenbezogene Daten
• Kritische Daten zu Geschäftsvorgängen

Umgang mit Datenschutzverletzungen und Einhaltung der DSGVO

Jedes Unternehmen, das unter die DSGVO fällt, ist im Rahmen seiner Compliance-Regeln verpflichtet, Datenschutzverletzungen zu melden. Die Nichtbeachtung dieser Pflicht gilt als Verstoß gegen die Vorschriften und wird entsprechend geahndet. Wenn aufgrund einer Datenschutzverletzung eine Datenwiederherstellung in Betracht gezogen wird, ist das Unternehmen dafür verantwortlich,

• Die betroffenen Systeme zu isolieren
• Den Umfang und die Auswirkungen der Datenschutzverletzung zu bewerten
• Einleitung des Wiederherstellungsprozesses unter Verwendung sauberer Sicherungen als Grundlage
• Dokumentation jeder einzelnen Maßnahme im Zusammenhang mit dem Wiederherstellungsprozess

Die DSGVO legt auch Fristen für die Meldepflicht fest und gibt einen bestimmten Zeitrahmen vor, in dem Behörden und Benutzer über eine Datenschutzverletzung informiert werden müssen, sowie die Mitteilung des Wiederherstellungsstatus und andere Notwendigkeiten.

Testen und Validieren von Wiederherstellungsverfahren

Regelmäßige Tests von sicherungen sind unerlässlich, um sicherzustellen, dass ein Unternehmen über ordnungsgemäß funktionierende sicherungen verfügt, mit denen es arbeiten kann, wenn es zu einer Art Datenpanne kommt. Ein typischer Testprozess umfasst die Überprüfung der Datenintegrität, die Einschätzung der Genauigkeit für die Wiederherstellung zu einem bestimmten Zeitpunkt und die vollständigen Testprozesse für vollständige und teilweise Wiederherstellungsverfahren.

Die Anforderungen an die Validierung von Daten unterscheiden sich dagegen geringfügig: Sie sollen die Integrität von Metadaten bestätigen und die Aufrechterhaltung der Zugriffskontrolle testen, während sie gleichzeitig die Vollständigkeit der Daten nach der Wiederherstellung überprüfen und auf nicht autorisierte Dateneinschlüsse in den Sicherungen prüfen.

Wenn möglich, sollten Wiederherstellungstestprozesse verschiedene Szenarien simulieren – einschließlich der Korrektur menschlicher Fehler, der Wiederherstellung nach einem Hardwareausfall, der Wiederherstellung nach Ransomware-Angriffen und sogar der Notfallwiederherstellung. Diese Testverfahren sollten auch eine gewisse Menge an Dokumentation hervorbringen, einschließlich der Testergebnisse für Wiederherstellungsprozesse, allgemeiner Leistungskennzahlen für die Wiederherstellung, identifizierter Verbesserungen und definierter Schritte zur Überprüfung der Einhaltung von Vorschriften, die befolgt wurden.

Es wird dringend empfohlen, dass eine Organisation eine Art Wiederherstellungsleitfaden führt – ein Dokument, das Kontrollpunkte für die Einhaltung von Vorschriften, Validierungsprozesse, Schritt-für-Schritt-Anleitungen für Wiederherstellungsprozesse und gegebenenfalls Autorisierungsanforderungen abdeckt.

Eine erfolgreiche Datenwiederherstellung für DSGVO-konforme Sicherungen hängt von der Vorbereitung und dem Testen sowie von einem gründlichen Dokumentationsprozess ab. Regelmäßige Überprüfungen aller Elemente in der Abfolge sowie regelmäßige Aktualisierungen sollten die Effektivität des Prozesses aufrechterhalten und gleichzeitig sicherstellen, dass das Unternehmen die DSGVO oder andere gesetzliche Rahmenbedingungen einhält.

Wie kann die Sicherheit personenbezogener Daten in Sicherungen gewährleistet werden?

Schutzmaßnahmen gegen Ransomware-Angriffe

Die Bedrohung durch Ransomware ist etwas, das die moderne Sicherungssicherheit getrennt von den übrigen Datenschutzfunktionen angehen muss, wenn man bedenkt, wie beliebt Ransomware-Angriffe in den letzten Jahren geworden sind. Unternehmen müssen eine Vielzahl von Schutzstrategien in einem einzigen Sicherheitsnetzwerk implementieren, um ihre Umgebungen und Sicherungen vor Angriffen zu schützen, die auf Verschlüsselungstechnologien basieren.

Zu den wichtigsten Elementen des Ransomware-Schutzes für sensible Informationen gehören:

• Implementierung von „Write-Once-Read-Many“-Speicher
• Versionskontrolle mit mehreren Wiederherstellungspunkten
• Sicherungskopien mit Air-Gap-Optionen
• Schreibgeschützte Optionen für Snapshots
• Automatisierte Warnmeldungen bei verdächtigen Aktivitäten
• Echtzeitüberwachung von Sicherungsmustern
• Rahmenwerke zur Erkennung von Anomalien
• Vordefinierte Verfahren für bestimmte Angriffstypen, um schnelle Reaktionszeiten zu gewährleisten

Zugriffskontrolle für Sicherungsdaten

Robuste Zugriffskontrollmaßnahmen sind eine bekannte Datensicherheitsmaßnahme, die in vielen Situationen als Schutzfunktion eingesetzt wird. Die beliebteste Version davon ist die rollenbasierte Zugriffskontrolle (Role-Based Access Control, RBAC). Sie nutzt das Prinzip der geringsten Privilegien, um zu vermeiden, dass die Berechtigungen der einzelnen Benutzer über das hinausgehen, was sie für ihre Arbeit benötigen. Darüber hinaus kann sie in der Regel zeitlich begrenzte Zugriffsberechtigungen bereitstellen und bietet einen einfachen Rahmen für die Durchführung regelmäßiger Zugriffsüberprüfungen.

Zu den Authentifizierungsmethoden, die zur Überprüfung der Identität jedes Benutzers verwendet werden, gehören nicht nur strenge Passwortrichtlinien und Sitzungsverwaltungskontrollen, sondern auch die Verwendung einer Multi-Faktor-Authentifizierung für jeden Sicherungszugriff sowie eine detaillierte Protokollierung und Überwachung aller Authentifizierungsaktivitäten für einen überprüfbaren Prüfpfad.

Strategien zur Vermeidung von Datenkorruption

Datenkorruption ist ein weiteres wesentliches Problem für alle digitalen Informationen, weshalb die Wahrung der Datenintegrität ein wichtiges Merkmal praktisch aller modernen Datensicherheitsrahmen ist, auch außerhalb der DSGVO-Compliance-Anforderungen.

Die Überprüfung von Sicherungen ist das erste wichtige Element dieses Prozesses, bei dem Prüfsummen validiert und die Integrität von Sicherungen und archivierten Informationen automatisch überprüft werden. In diesem Abschnitt sind auch Verfahren zur Wiederherstellungstests und Mechanismen zur Erkennung von Korruption enthalten, die jedoch im Vergleich etwas weniger verbreitet sind.

Für die Datenvalidierung gibt es oft ein spezielles Framework, das nicht nur zur Fehlererkennung, sondern auch zu deren automatischer Behebung dient. Die Abfolge der Aktionen folgt einem relativ einfachen Muster:

1. End-to-End-Datenvalidierung
2. Fehlererkennung in Echtzeit
3. Automatisierte Reparaturverfahren
4. Regelmäßige Integritätsprüfungen

Es gibt auch Funktionen, die bei der Einhaltung von Vorschriften noch weiter helfen können – Hardware-Redundanz, physische Zugriffsbeschränkungen, Firewall-Schutz usw. All diese Maßnahmen sind praktisch notwendig, um eine Art Abwehrsystem zu schaffen, das in der Lage ist, alle Compliance-Anforderungen zu erfüllen und gleichzeitig ein ausreichendes Maß an Datensicherheit für seine Benutzer zu bieten.

Schlussfolgerung

Die Implementierung einer Sicherungslösung unter Berücksichtigung der DSGVO-Konformität kann für die meisten modernen Unternehmen eine große Herausforderung darstellen. Hier ist oft ein vielschichtiger Ansatz mit einer großen und vielfältigen Auswahl an Tools und Funktionen erforderlich. In diesem Artikel haben wir zahlreiche Aspekte der Sicherungskonformität für die DSGVO und andere Vorschriften untersucht, einschließlich der Grundlagen der DSGVO selbst und der Umsetzung spezifischer Sicherheitsmaßnahmen.

Die meisten Unternehmen haben bereits verstanden, dass Compliance nicht mehr nur ein Häkchen in einer Checkliste ist – es handelt sich um einen fortlaufenden Prozess, der regelmäßig überprüft und aktualisiert werden sollte, um relevant und effektiv zu bleiben. Die Investition in leistungsstarke Umgebungen für die Datensicherung stellt nicht nur die Einhaltung von Rahmenwerken wie der DSGVO sicher, sondern bietet auch eine Reihe konkreter Vorteile für das Unternehmen selbst in Bezug auf Risikomanagement, Geschäftskontinuität, Datenschutz usw.

Es ist auch sehr wertvoll, ein Gleichgewicht zwischen betrieblicher Effizienz und Datenschutz zu wahren. Darüber hinaus ist es nicht ungewöhnlich, dass Unternehmen, die erfolgreich DSGVO-konforme Funktionen in ihre Umgebungen implementiert haben, andere regionale Anforderungen viel einfacher erfüllen können, wodurch sie für eine internationale Expansion weitaus besser vorbereitet sind als einige Wettbewerber.

Die Grundsätze des Datenschutzes durch Technikgestaltung werden auch weiterhin die Art und Weise prägen, wie Organisationen mit dem Datenschutz umgehen. Um in diesem Bestreben erfolgreich zu sein, ist ein kontinuierliches Engagement auf allen Ebenen der Organisation erforderlich. Die Befolgung der in diesem Artikel beschriebenen Richtlinien sollte es Organisationen erleichtern, Sicherungssysteme zu erstellen und zu warten, die mit der DSGVO konform sind und gleichzeitig ein robustes Datenschutz-Toolset bieten.

Bacula Enterprise und DSGVO-Konformität

Obwohl es viele Backup-Lösungen von Drittanbietern gibt, die ihre Kunden bis zu einem gewissen Grad bei der Einhaltung der DSGVO unterstützen können, gibt es auch einige Optionen, die im Vergleich dazu weitaus fortschrittlicher und detaillierter sind. Bacula Enterprise ist eine solche Lösung, die eine besonders sichere Lösung in Kombination mit einem umfassenden Funktionsumfang bietet, der sich besonders für die Behandlung von Datensicherheitsthemen wie die Einhaltung der DSGVO eignet. Sie wurde mit integriertem Datenschutz entwickelt und ist daher eine großartige Option für Unternehmen, die nach robusten Funktionen zur Einhaltung der DSGVO suchen.

Die breite Palette an Funktionen, die Bacula in diesem Bereich bietet, ist bemerkenswert, darunter:

• Integrierte Funktionen zur Datenerkennung und -klassifizierung
• Umfassende Prüfprotokolle und Protokollierungsmechanismen
• Eine Auswahl an Unveränderlichkeitsoptionen als Sicherheitsmaßnahme gegen unbefugte Änderungen
• Erweiterte Verschlüsselungsfunktionen sowohl im Ruhezustand als auch während der Übertragung
• Detaillierte Berichtsfunktionen für Compliance-Zwecke
• Komplexe Datenlöschfunktionen zur Unterstützung des Rechts auf Vergessenwerden
• Integrierte Funktion zur Bewertung der Auswirkungen auf die Privatsphäre
• Kontrollen für den grenzüberschreitenden Datentransfer
• Robuste Tools zur Datenüberprüfung
• Granulare Zugriffskontrolle mit Unterstützung für RBAC

Die Architektur der Plattform ist für ihre Flexibilität und Anpassungsfähigkeit bekannt, was sie zu einer hervorragenden Wahl für die Umsetzung der DSGVO-Konformität macht. Es gibt viel Freiheit bei der Konfiguration von Richtlinien für die Sicherung, um sie an spezifische Anforderungen anzupassen, ohne die betriebliche Effizienz zu verlieren. Der modulare Ansatz von Bacula Enterprise ermöglicht die Implementierung einer sehr spezifischen Reihe von Funktionen, die Unternehmen für die Einhaltung von Vorschriften benötigen.

Über die DSGVO hinaus kann Bacula auch bei der Einhaltung einer Reihe anderer gesetzlicher Rahmenbedingungen helfen, wie z. B. ISO 27001, SOX, HIPAA, NIST und so weiter. Es ist eine unschätzbare Lösung für Unternehmen, die in mehreren Rechtsordnungen tätig sind.

Der Grund, warum Bacula eine leistungsstarke Möglichkeit ist, die vollständige Einhaltung der DSGVO zu gewährleisten, lässt sich anhand eines Anwendungsfalls veranschaulichen, bei dem eine mittlere oder große Organisation über eine vielfältige und/oder in Silos organisierte IT-Abteilung mit vielen verschiedenen Anwendungen, Dateitypen, Speicherstrategien und Legacy-Software verfügt. Darüber hinaus entwickeln sich diese Arten von Umgebungen in der Regel entsprechend den aktuellen und zukünftigen Anforderungen weiter. Wenn sich die Sicherungs- und Wiederherstellungslösung nicht in eine derart anspruchsvolle und sich weiterentwickelnde IT-Umgebung integrieren lässt, wird es für die Organisation schwierig sein, die Anforderungen der DSGVO zu erfüllen. Dies liegt unter anderem daran, dass andere, unzureichende Sicherungssysteme möglicherweise nicht in der Lage sind, die Sicherung und Wiederherstellung über eine „Single Pane of Glass“-Benutzeroberfläche zu verwalten und/oder Daten nicht effizient und bequem zu suchen, zu finden und zu überwachen.

Weitere Informationen zu den Funktionen von Bacula finden Sie hier.

Häufig gestellte Fragen

Wie lange sollten wir Sicherungsdaten gemäß der DSGVO aufbewahren?

Obwohl es in der DSGVO keine genauen Aufbewahrungsfristen für gesicherte Daten gibt, müssten diese Aufbewahrungsfristen von jedem Unternehmen auf individueller Basis festgelegt werden, wobei eine rechtliche Begründung für diese Fristen vorzulegen ist. Darüber hinaus kann der Grundsatz der Speicherbegrenzung der DSGVO verletzt werden, wenn personenbezogene Daten länger als nötig gespeichert werden, was das Thema der Ermittlung der Datenspeichergrenzen Ihres Unternehmens umso wichtiger macht. In den meisten Fällen werden Sicherungen 30 bis 90 Tage, Archivkopien ein bis sieben Jahre aufbewahrt, wobei diese Zahlen je nach Branche und anderen Faktoren variieren können.

Können wir sicherungen in der cloud speichern und dabei die DSGVO einhalten?

Technisch gesehen können auch Cloud-Backup-Lösungen DSGVO-konform sein, was sie zu einer praktikablen Speicheroption macht. Diese Lösungen müssten jedoch ihre eigenen Anforderungen erfüllen:

• Rechenzentren in der EU mit angemessenem Datenschutz
• Kontrolle über Verschlüsselungsschlüssel
• Starke Verschlüsselung sowohl im Ruhezustand als auch während der Übertragung
• Regelmäßige Audits
• Klare Datenverarbeitungsvereinbarungen mit Kunden

Welche Unterlagen müssen wir für unsere Sicherungsverfahren aufbewahren?

Die genaue Liste der Dokumente kann sich je nach den Umständen ändern, aber einige der wichtigsten Beispiele bleiben in den meisten Fällen gleich, darunter:

• Datenverarbeitungsaufzeichnungen
• Schulungsaufzeichnungen für Mitarbeiter
• Sicherungsverfahren und -richtlinien
• SLAs von Drittanbietern
• Zeitpläne für die Datenaufbewahrung
• Reaktionspläne bei Verstößen
• Datenschutz-Folgenabschätzungen
• Sicherheitsmaßnahmen und -kontrollen
• Wiederherstellungstestergebnisse

Wie schnell müssen wir einen sicherungsbezogenen Datenverstoß melden?

Organisationen haben mehrere Anforderungen, wenn es um die Meldung von sicherungsbezogenen Datenschutzverletzungen geht. Wesentliche Verstöße müssen den Aufsichtsbehörden innerhalb von 72 Stunden nach der ersten Entdeckung gemeldet werden, wobei die betroffenen Personen unverzüglich über den Verstoß informiert werden müssen (wenn er in irgendeiner Weise ein Risiko für ihre persönlichen Daten darstellt). Alle Verstöße sollten dokumentiert werden, auch solche, bei denen keine Benachrichtigung der Endnutzer erforderlich war.

Jeder einzelne Verstoßbericht sollte mindestens die folgenden Informationen enthalten:

• Art und Umfang des Verstoßes
• Seine Folgen
• Getroffene (oder vorgeschlagene) Maßnahmen
• Kontaktinformationen, um weitere Details zu erhalten.