fbpx

BackUp und DSGVO

Veröffentlicht von Stefan Schreiner am

Erfordernisse

Im Artikel 5 der Datenschutz-Grundverordnung (vgl.: DSGVO) wird festgehalten, dass der Verantwortliche personenbezogene Daten in einer solchen Weise zu verarbeiten hat, dass ein angemessenes Sicherheitsmaß der personenbezogenen Daten gewährleistet werden kann.

Dafür sind geeignete technische und organisatorische Maßnahmen (vgl.:TOMs) durch den Verantwortlichen einzusetzen. Alle diese Maßnahmen sollten sich am sogenannten Stand der Technik orientieren. Ziel der Maßnahmen ist der dauerhafte, störungsfreie Betrieb. Als Störung gilt in diesem Ziel die Verletzung eines der Gewährleistungsziele. Dieses sind vor allem Verfügbarkeit, Vertraulichkeit und Integrität von personenbezogenen Daten in diesem Zusammenhang.

Datensicherheit

Artikel 32 der DSGVO fordert im Rahmen des Gewährleistungszieles Verfügbarkeit die Schutzziele der Datensicherheit. Jede Nicht-Verfügbarkeit, auch nur eine kurzzeitige – ist in diesem Sinn eine Nicht-Erfüllung des Gewährleistungszieles und somit eine Verletzung des Datenschutzes. Die Verletzung erfolgt durch den Verarbeiter – die Organisation – gegenüber dem Betroffenen dessen Daten nicht verfügbar sind. Dieser Betroffene sollte entsprechend auch darüber verständigt werden in welchem Ausmaß sich dieser Vorfall auf Ihn auswirkt. TOMs sollen vermeiden und im Fall einer Verletzung kurzfristig den geforderten Status wiederherstellen helfen, indem mit Ihnen entsprechende Verfahren beschrieben werden.

Ausführlich wird dieses Thema zum Beispiel im Rahmenwerk ITIL, Abschnitt Business Continuity, anhand von konkreten Beispielen, Umsetzungsstrategien, beschrieben, wie es auch abstrakt in der ISO Norm 22301 dargestellt wird.

Risiken

BackUp allgemein

Zwei große Risikobereiche lassen sich im realen Betriebsalltag festmachen. Beide für sich alleine verhindern die Möglichkeit das Gewährleistungsziel Verfügbarkeit zu erfüllen. Somit kann der DSGVO und dem Datenschutzgesetz (vgl.: DSG) nicht entsprochen werden.

Diese beiden Risikogruppen sind:

  • Keine zentrale Datenhaltung und Datenendpunkte sind nicht in die Sicherung miteinbezogen. Nicht mit einbezogen, weil während des Sicherungslaufes nicht verfügbar usw. (vgl.: Mobiler Client – Notebook – ist nicht verfügbar während der Sicherung, obwohl dort personenbezogene Daten liegen und diese relevant sind.)
  • Regelung der Zugriffsberechtigung auf Sicherungsdateien. Hier ist vor allem der dauerhafte administrative Zugriff anzuführen, der bereits in diesem Zusammenhang zu einem Strafbescheid einer europäischen Datenschutzbehörde geführt hat.

Zweckbindung und Datenminimierung

DSGVO Art 5 Ziff1 lit e)in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist;… („Speicherbegrenzung“);“

DSG §45(2)1die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind“

Hier spricht sowohl die Verordnung, wie auch das österreichische Datenschutzgesetz eine eindeutige Sprache. Personenbezogene Daten dürfen bis auf wenige geregelte Ausnahmen nur so lange verwendet werden, wie sie für die Erfüllung des definierten Zwecks der Verarbeitung notwendig sind, oder eine andere gesetzliche Maßgabe gilt. Eine gesetzliche Maßgabe kann die Bundesabgabenordnung (vgl.: BAO), die eine Aufbewahrungspflicht von sieben Jahren vorsieht.

Das Dilemma, dass sich nun daraus ergibt, ist, dass es zwar Sicherungen, Backups, gibt, diese in keinster Weise aber den gesetzlichen Anforderungen entsprechen, weil über den Zweckzeitraum hinaus gesichert wird. Auch wird in der Regel nicht zwischen Sicherung und Archivierung unterschieden. Eine begriffliche Trennung kann aber helfen die unterschiedlichen Anforderungen und möglichen Umsetzungen zu verdeutlichen. Eine Sicherung, Backup, ist eine Kopie von Daten zu einem definierten Zeitpunkt und ein Archiv von Daten entspricht Echtdaten zu einem vergangenen (vgl. historischen) Stichzeitpunkt. Archivdaten sollten im Unterschied von Sicherungsdaten unveränderbar sein. Änderungen an Archivdaten sollten, wenn überhaupt, nur in einer nachvollziehbaren Form erfolgen können. Das bezieht sich vor allem darauf, dass Archivdaten möglicherweise auf Datenträgern liegen, die mehrfach beschreibbar sind.

Mit den allgemeinen Problemstellungen von Sicherungen und Archivierungen (s.o.) zusammen mit der zeitlichen Begrenzung der Aufbewahrung von personenbezogenen Daten ergeben sich umfassende und komplexe Anforderungen. Die Anforderungen aus dem Datenschutz haben direkte Auswirkung auf die Data Governance des gesamten Unternehmens. Data Governance bezieht sich auf den formalen Umgang und Verwaltung von Daten und Informationen in einem Unternehmen. Sicherungs- und Archivierungskonzept sind gegenüber der Einhaltung des Datenschutzes, Stichwort Datenminimierung, umzusetzen. Das Verfahrensverzeichnis ist auch hier entsprechend aktuell zu halten.

Backup-Konzept – mögliche Bruchstellen

Verfahren zur Datensicherung

Aus den weiter oben bereits beschriebenen Problemfeldern lassen sich zwei Kategorien bilden:

  • Es gibt Daten, die der Verantwortliche löschen muss, die aber in zumindest einer Sicherung noch vorhanden sind.
  • Es fehlen Daten, um die geforderte Verfügbarkeit von personenbezogenen Daten zu gewährleisten.

Die Gründe dafür können vielfältig sein und im schlimmsten Fall werden sie gar nicht als Anforderungen an die Funktionalität erkannt und fehlen somit in weiterer Folge. Unbeachtet somit als Faktor im Risikomanagement vor allem. Um diesen Fall möglichst zu vermeiden gilt es entlang des Informationsflusses den Bedarf und die Funktionalität zu erheben:

  • Welche Datequelle
  • Welche Zeitabstände
  • Welche Verfahren (Inkrementell, Veränderung/ Delta, Voll…)
  • Wie erfolgt die Übertragung – Sicherstellung der Integrität
  • Woran lässt sich die Vollständigkeit/ Vollzähligkeit festmachen
  • Wie sieht das Verfahren aus
  • Wer ist in welchem Verfahrensschritt verantwortlich
  • Wie sieht der Gefahrenübergang bei Verantwortungsübergang aus
  • Welche Notfälle und Notfallpläne sind vorzusehen
  • Welche Richtlinie ist in der Organisation dafür ausschliesslich bestimmt Sicherung zu regeln
    (Zumindest je Verantwortlichen sollte es eine eigene RL bzgl. Sicherung geben)
  • Welche Richtlinie ist in der Organisation dafür ausschliesslich bestimmt Archivierung zu regeln
    (Zumindest je Verantwortlichen sollte es eine eigene RL bzgl. Archivierung geben)
  • Wie wird die Sicherung/ Archivierung durchgeführt
  • Wie erfolgt die Lagerung von Sicherung/ Archivierung
  • Wie erfolgt der Zugriff auf Sicherung/ Archivierung
  • Wie sieht das Rollen- und Berechtigungsschema aus (Vieraugen Prinzip …)
  • Wie werden die Mitarbeiter unterwiesen
  • Wo werden die Sicherungs- und Archivdaten gelagert.
  • Wie werden Sicherungsdaten und Archivdaten auf mögliche Beschädigung/ Verletzung der Integrität überprüft.

Prüfung von Backup-Lösung und Backup-Konzept

Konzept und Anforderungen auf der einen Seite und die funktionale Leistungsfähigkeit von bestehenden Lösungen auf der anderen Seite als beschränkender Faktor sind Grund für Abweichungen im Betrieb gegenüber der Planung. Grundlegend sollten folgende Fragen zur Funktionalität einer Sicherungslösung, wie auch Archivierungslösung, gestellt werden, um sicherzugehen, die richtige Wahl getroffen zu haben.

  • Ist die Funktionalität automatisierbar und kann im Hintergrund als Dienst ohne interaktiven Benutzereingriff ablaufen.
  • Ist ein mehrstufiges Rollen- und Rechteschema vorhanden und/ oder kann dieses über eine zentrale Benutzerverwaltung bedient werden. (Dauerhafte Rechteeskalation ist zu unterbinden)
  • Berichte über Sicherungslauf und Archivierung
  • Berichte über Konfigurationsänderungen
  • Abweichungsberichte über Sicherungsinhalte, Sicherungsziele, Sicherungsmedien und -zyklen
  • Können alle Sicherungsziele (vgl.: Clients) bedient werden (Gibt es dafür die entsprechenden Agents für die verschiedenen Betriebssysteme und Umgebungen)
  • Volle Unterstützung der (vorgesehenen) Infrastruktur
  • Schnittstelle zur automatisierten Benachrichtigung (zB.: Erfolgreicher Abschluss, Fehler, Änderung…)

Eine ausführlichere Liste kann im Bedarfsfall je nach Situation und Anforderung erstellt werden.

Sicherheit von Sicherungen und Archiven

Die Erfordernisse der Zweckmäßigkeit sind weiterhin gegeben. Somit sind auch gesicherte und archivierte personenbezogene Daten durch TOMs vor unberechtigtem Zugriff, Verlust und Veröffentlichung zu schützen. Das führt dann zur Frage, ob und in welcher Form die eingesetzte Lösung dieses beherrscht. Wird zum Beispiel Verschlüsselung eingesetzt, dann gilt hier zu klären, welche Art (welcher Algorithmus) zum Einsatz kommt, wie eine Entschlüsselung mit Vetretungsregelung umgesetzt wird und auch die Transparenz, Nachvollziehbarkeit gewährleistet werden kann. Aus diesem Grund ist zum Beispiel eine zentrale Benutzerverwaltung über Rollen, Zugriffs- und Aufführungsrechte nach Kontext zielführend. Diese Funktionalität ist aber nicht immer anzutreffen. Die Komplexität und der zusätzliche Aufwand bei Einsatz einer Schlüsselverwaltung auf Grund eines Verschlüsselungsverfahren ist nicht unerheblich und kann weitreichende negative Folgen, wie Nicht-Verfügbarkeit haben.

Belastbarkeit von Sicherung und Archiv

Die Ziele eines störungsfreien Ablaufes, Verfahrens, Prozess zur Sicherung und Archivierung sind, dass

  • die Vollständigkeit gegeben und überprüfbar ist
  • die Verfügbarkeit über den gesamten Zweck gegeben ist
  • die Integrität von Sicherungs- und Archivdaten denen von Produktivdaten entspricht.

Was tun, sprach Zeus

Überprüfen sie in Ihrer Organisation, ob Sicherung und Archivierung auch den Erfordernissen der DSGVO entsprechen.