Von unternehmerischer Sorgfaltspflicht bis EU-DSGVO zieht der Schutz von Daten sich durchs Unternehmen. Doch greifen die Maßnahmen noch, wenn die Daten auf dem Backup-Speicher liegen?
Die Umstellung auf digitale Geschäftsprozesse erschließt neue Möglichkeiten: So konnten beispielsweise Kundenbewegungen nie zuvor so umfassend und schnell ausgewertet werden. Doch je genauer Angebote und Dienste auf individuelle Kunden zugeschnitten werden, desto tiefer werden personenbezogene Daten im Unternehmen verankert. Compliance gilt daher als eines der Themen, die sämtliche andere Bereiche überlagern – auch die Datensicherung und -aufbewahrung.
Laut IDC haben in Unternehmen folgende vier Themen höchste Priorität1:
- Das Datenwachstum verwalten
- Governance-Strategien für Informationen definieren
- Beschäftigung mit Datenanalysen und
- Cloud als Storage-Ziel sowie für Backup / DR ausschöpfen
Die Liste verdeutlicht die Komplexität von Datenschutzmaßnahmen in der digitalen Transformation. Konstant entstehen neue Daten, müssen qualifiziert werden und gemäß der korrekten Compliance-Richtlinie verarbeitet werden. Governance-Strategien müssen Regelungen von EU-DSGVO bis zu unternehmerischer Sorgfaltspflicht abbilden, Aufbewahrungspflichten sind beispielsweise für steuerlich relevante Unterlagen zu berücksichtigen.
Mit der Cloud kommt ein weiteres Backup-Ziel hinzu, das nicht nur unter Kosten-Nutzen-Aspekten, sondern auch aus Governance-Sicht sowie als zu sichernde Datenquelle in das Gesamtkonzept eingebunden werden muss: Welche Daten liegen in der Cloud? Welche auf Festplatten? Sind Daten auf Magnetbändern ausgelagert? Wäre es sinnvoll?
Um Compliance-Maßnahmen bei der Datensicherung und Archivierung abzubilden, benötigen Unternehmen technische Funktionen, eine geeignete Infrastruktur, um erforderliche Sicherungsstrategien abzubilden und die Möglichkeit, Prozesse zu implementieren und transparent zu dokumentieren.
Backup gemäß gesetzlicher und interner Richtlinien umsetzen
1. Technische Funktionen in der Backup Software –z. B. Verschlüsselung der gesicherten Daten
2. Compliance-gerechte Backup-Strategien, z.B. D2D2T zur Einhaltung der Sorgfaltspflicht
3. Vorgaben berücksichtigen, wie Einhaltung von Aufbewahrungsfristen
4. Prüfungssichere Dokumentation, z. B. konstant aktualisiertes Backup-Konzept
Interne und externe Vorgaben bei der Datensicherung zu berücksichtigen zählt zu den anspruchsvollsten Herausforderungen für IT-Abteilungen, da sie einen intensiven Austausch mit Fachabteilungen erfordert. Bereits bei Einführung der EU-DSGVO zum Mai 2018 stellte sich vielen Unternehmen die Frage, wer die (neuen) Vorgaben umsetzt. Während die Implementierung als Aufgabe der IT gilt, müssen für die Definition der Anforderungen andere Unternehmensbereiche beteiligt werden.
Um interne und externe Richtlinien in der Datensicherung zuverlässig abzubilden, müssen IT-Verantwortliche konstant Transparenz gegenüber anderen Fachabteilungen bezüglich der Sicherungsstrategien schaffen. Parallel müssen Fachabteilungen die Backup-Verantwortlichen über etwaige neue Regelungen oder Datentypen und -quellen, wie sie durch die Digitalisierung beispielsweise in der Digital Factory entstehen, informieren. Erforderlich ist ein bidirektionaler Kommunikationsfluss, in dem unter Umständen die Herstellungsleitung das Backup-Konzept prüfen muss.
Der steigenden Komplexität durch Compliance-Anforderungen bei agilen IT-Infrastrukturen können IT-Verantwortliche nicht im Alleingang begegnen. Die Einhaltung gesetzlicher Richtlinien in Bezug auf personenbezogene und andere Daten erfordert eine Anstrengung des gesamten Unternehmens. Das Gelingen jedoch hängt an der Fähigkeit der IT-Verantwortlichen, ihre Maßnahmen transparent und verständlich zu dokumentieren und zu kommunizieren und Rückmeldungen kurzfristig umzusetzen.
1 Quelle: Reinsel, David, Archana Venkatraman, John F. Gantz, John Rydning. „The EMEA Datasphere: Rapid Growth and Migration to the Edge“, sponsored by Seagate, IDC, Januar 2019. https://www.seagate.com/files/www-content/our-story/trends/files/data-age-emea-idc.pdf
Lesen Sie auch Teil 1 und Teil 2 unserer Blog-Reihe: Datensicherung 4.0.