Dekommissionierung & DSGVO

Am Ende des Lebenszyklus – Einsatz einer Software/ Hardware – steht die Dekommissionierung des Informations Systems. Eine Beschreibung des gesamten Zyklus findet sich zum Beispiel in der ISO/IEC 12207 wieder. Hinzukommt mit der Datenschutz Grundverordnung (vgl.: DSGVO) und dem Datenschutzgesetz (vgl.: DSG) vor allem das Recht auf Vergessen, dass eine Ausserbetriebnahme und Archivierung von Geschäftsdaten mit Personenbezug vor neue Herausforderungen stellt. Gartner Inc. nimmt in einer Studie an, dass bis zum Jahr 2022 rund 80% aller Unternehmen ohne Dekommissionierungs Strategie zumindest von einer Geldstrafe durch die Aufsichtsbehörde bedroht sind.

Die Regel war und ist meistens noch, dass alle Daten aus (Alt-)Systemen gespeichert und archiviert werden, geschützt vor unberechtigtem Zugriff, Löschung, Brand, etc. Zeitweise werden und wurden (Alt-)Systeme weiter betrieben, mit allen Konsequenzen, wie Bindung von Ressourcen (Personal und Material), Lizenzkosten, steigender Wartungsaufwand und fehlender Unterstützung des Herstellers durch Updates (Sicherheit und Funktionalität). Neben Compliance Anforderungen und rechtlichen Vorschriften, wie die Bundesabgabenordnung (vgl.: BAO), ist jetzt der Datenschutz mit seinen Rechten der Betroffenen von zentraler Bedeutung, wenn ein Informations System ausser Betrieb genommen wird. Daraus lässt sich der Bedarf nach einer koordinierten Verwaltung der Datenrückhaltung (vgl.: Retention Management) begründen. Nur Daten zu speichern, bei der Stilllegung eines Systems ist de facto zu wenig und kann zu rechtlichen Schwierigkeiten führen.

Struktur – PSP

Eine allgemeine Struktur für eine Dekommissionierung ist in dem unten stehenden Bild ersichtlich. Die Projekt Struktur ist zumindest eine Leitlinie anhand der man eine individuelle Dekommissionierung vornehmen kann.

PSP Deko

Funktionale und organisatorische Anforderungen für eine Dekommissionierung sind im Rahmen der ausser Betrieb Setzung festzulegen und in der Archivlösung umzusetzen und zu dokumentieren. Dazu gehören die Bestimmung des Zwecks für den Zugriff auf Archivdaten, die Bestimmung und Definition von generischen Rollen und Richtlinien (vor allem Audit und Löschung) und eine Dateiablage im Archivsystem, die jegliche Manipulation ausschliesst, um Dokumentenechtheit und -integrität zu gewährleisten. Nicht nur die interne Revision, sondern auch Steuerbehörden vor allem, haben strenge Anforderungen für die Belegdokumentation und -aufbewahrung. Ver- beziehungsweise Beschlagwortung und Klassifizierung von Daten bieten alle gängigen Archivierungslösungen an. Durchsetzung der Nicht-Verkettbarkeit, bei vor allem der Suche und Abfrage, wie auch eine strickte Einhaltung des Zwecks, wird hier von Seiten des Datenschutzes gefordert, aber ist im Regelfall zumindest nicht vorgesehen bei vielen Lösungen.

Funktionen:

Grundlegende Anforderungen an ein Archivsystem in dem Daten aus (Alt-) Systemen gehalten werden. Ein zentrales Archivsystem kann wesentlich zur Datensparsamkeit und Kostenersparnis beitragen, wenn damit Legacysysteme abgelöst werden können.

  • Extraktion, Transformation (revisionssichere Ablage durch Signatur etc.) und Import in das Zielarchivsystem
  • Automatisierte Speicherverwaltung inklusive Verdrängungsmechanismen auf kostengünstige Speichermedien. (Integrität muss durchgängig gewährleistet bleiben!)
  • Automatisierte Löschung nach Erreichung definierte Aufbewahrungsfristen
  • Anlassbezogenes Einfrieren von Status und Daten – Snapshot – zur Bewahrung von Informationen im Rahmen von Beweissicherung, Nachweis gegenüber Dritten, um nichts zu Löschen und sich selber damit in einem Verfahren schlechter zu stellen durch fehlende Unterlagen. (Gewährleistung, Nachweis der Abnahme, Prüfprotokolle, Behandlungsaufzeichnung etc.)
  • Beschlagwortung, Indizierung und Verortung von Daten und Informationen inkl. redaktioneller Bearbeitung.
  • Schnittstelle für Berichtswesen, um relevante Informationen zu erlagen (Pürfbarkeit – Zweck muss vorab festgelegt sein, zB.: Nachweis der Rechtmäßigkeit des Zugriffs …)

Leave a Comment