Die Bedeutung von Disaster Recovery für die DSGVO-Compliance

Übersetzung eines auf Englisch verfassten Artikels für die Recovery Zone. Den Originalartikel finden Sie hier.Am 25. Mai 2018 trat die umstrittene Datenschutz-Grundverordnung (DSGVO) der Europäischen Union in Kraft. An ihr müssen sich Unternehmen nun bei der Erfassung, Speicherung und Verarbeitung vertraulicher Informationen zu europäischen Verbrauchern orientieren. Das erklärt auch die Flut an E-Mails und Benachrichtigungen, die praktisch alle von Europäern besuchten Websites versendeten, um auf Änderungen an ihren jeweiligen Datenschutzrichtlinien aufmerksam zu machen. Die Betreiber dieser Websites wissen, dass diese Verordnung schwerwiegende Folgen für ihre Geschäftsabläufe hat. Wie die meisten behördlichen Vorschriften ist auch die DSGVO ein für Laien geradezu undurchdringlicher Rechtstext, doch er lässt sich in drei Kernzielen zusammenfassen: Datenschutz, Datensicherheit und Datenwiederherstellung. Jedes dieser Ziele wirkt sich grundlegend auf das Konzept der Disaster Recovery (DR) aus.

1. Verbraucherrechte

Der Schutz von Verbraucherdaten wird in der Digitalbranche heiß diskutiert, legt die EU doch Wert auf umfassenden Datenschutz, indem sie den Verbrauchern Mittel für die bessere Kontrolle ihrer Daten an die Hand gibt. Die DSGVO verleiht EU-Bürgern nämlich das Recht, ihre personenbezogenen Daten jederzeit einsehen zu dürfen und sie ergänzen, berichtigen oder löschen zu lassen. Diese Rechte wirken sich nun darauf aus, wie Unternehmen die Daten in ihrem Besitz verwalten, absichern und aufbewahren müssen. Das neue Mindestmaß an DSGVO-Compliance sieht vor, dass eine DR-Lösung den Datenzugriff in einer Art erlaubt, dass Daten auf Antrag gelöscht oder zu einem anderen Anbieter verschoben werden können.

2. Schutz vor Datenlecks

Die DSGVO verlangt, dass Unternehmen diverse Maßnahmen ergreifen, um personenbezogene Daten vor dem Auslesen oder Abgreifen zu schützen. Artikel 4 der Verordnung definiert die „Verletzung des Schutzes personenbezogener Daten“ als eine Verletzung, die zum Verlust, zur Vernichtung, zur Veränderung oder zur unbefugten Offenlegung führt. Damit ist der Sicherheitsbegriff enger gefasst, denn nun gilt auch ein Fehler beim internen Umgang mit Daten als Sicherheitsverletzung, die ebenso problematisch sein kann wie Angriffe von außen. Auch die Reaktion auf solche Datenlecks unterliegt den Bestimmungen der DSGVO, die verlangt, dass alle Sicherheitslücken innerhalb von 72 Stunden dem obersten Datenschutzbeauftragen des jeweiligen Landes gemeldet werden.

3. Wiederherstellung und Tests

DSGVO-Artikel 32 nennt zwei wichtige Voraussetzungen:

1. Die schnelle Wiederherstellung der Datenverfügbarkeit und des Datenzugriffs im Ernstfall
2. Die Möglichkeit, die Effektivität von Datensicherheitsplänen zu testen und zu bewerten

Ein wöchentliches Backup reicht nun nicht mehr. Die DSGVO verlangt, dass Daten zeitnah wiederhergestellt werden können, und die Dokumentation der Schritte, die diese Fähigkeit sicherstellen sollen. Diese und andere Fragen müssen Sie sich jetzt stellen: Wissen die Mitarbeiter, wer im Ernstfall zu benachrichtigen ist? Weiß Ihr Reaktionsteam, welche Systeme und Prozesse Wiederherstellungspriorität haben? Kann Ihr Recovery-Standort bei einem Failover übernehmen? Kurzum: Durch die DSGVO sind DR-Tests wichtiger als je zuvor.

Compliance von Dritten

Egal, ob die Wahl auf einen Managed Service Provider oder einen DRaaS-Spezialisten (Disaster-Recovery-as-a-Service) fällt, die Auslagerung bestimmter Aufgaben ist eine kostengünstige Alternative für Unternehmen, denen es für eine interne Disaster Recovery an Mitarbeitern oder Ressourcen mangelt. Laut EU gehört jedes Unternehmen, dass sich für andere um Daten von Verbrauchern aus der EU kümmert, in die Kategorie „Auftragsverarbeiter“. Eigenverarbeiter und Auftragsverarbeiter unterliegen gemäß der neuen Verordnung allerdings denselben Anforderungen. Damit ist die DSGVO-Compliance ein weiteres Kriterium, auf das bei der Wahl von Dienstleistern zu achten ist.

Schon zu spät?

Nach langer Ankündigung ist die DSGVO nun schließlich in Kraft getreten, doch noch ist es nicht zu spät, sich danach auszurichten. Entgegen aller Schreckensmeldungen, die durch die Medien geister(te)n, folgen auf das Verstreichen der Vorbereitungsfrist nicht automatisch saftige Bußgelder. Laut dem britischen Datenschutzbeauftragen ICO (Informationen Commissioner‘s Office) sind die Maximalstrafen erst das allerletzte Mittel und sollen nur unter extremsten Umständen auferlegt werden. Trotzdem läuft der Countdown. Letzten Endes zwingt die DSGVO eigentlich nur zu Maßnahmen, die in Unternehmen, die sensible Verbraucherdaten verwalten, sowieso Standard sein sollten. Und es gibt noch Möglichkeiten, Ihren Mitarbeitern die Grundlagen der Verordnung näherzubringen. Je eher Sie Ihre Disaster Recovery-Strategie DSGVO-konform gestalten, desto eher können Sie sich wieder beruhigt auf Ihr Geschäft konzentrieren.