23.03.2018 (kfr)
4.4 von 5, (23 Bewertungen)

IT ist nicht für DSGVO/GDPR verantwortlich – ein Rant

  • Inhalt dieses Artikels
  • DSGVO regelt die Art der Datenaufbewahrung
  • Elektronische Langzeitarchivierung ist ein Problem
  • DSGVO: Die IT ist nur das ausführende Organ

Letzte Woche hat unser Chefredakteur Karl Fröhlich in seinem Editorial gefragt, warum es eigentlich immer einen Arschtritt benötige, bis (auch) wichtige Projekte umgesetzt werden. Im Einzelnen bezog er sich auf Cybersicherheit und die Datenschutz-Grundverordnung (DSGVO; engl. GDPR – General Data Protection Rule). Unser Doc Storage hat dazu aber eine andere Meinung, vor allem zur DSGVO – logisch.

Antwort Doc Storage:

Normalerweise macht man ja so etwas nicht, aber in diesem Falle muss ich einmal meinem Chefredakteur widersprechen. Und zwar aufs schärfste.

Ich muss mich innerhalb eines Medienkonzerns seit einem halben Jahr mit dem Thema DSGVO beschäftigen. Und je mehr Zeit ins Land geht (jaja, ich weiß, Ende Mai rückt immer näher), desto tiefer festigt sich bei mir die Erkenntnis, dass hier in Brüssel wieder einmal eine größere Bande sogenannter »Berater«, oder zumindest deren Lobbyisten, den Abgeordneten so lange im Foyer aufgelauert haben, bis diese eine völlig unpassende und viel zu generische Verordnung erlassen haben.

Karl hat Recht, für die Umsetzung der grundsätzlichen DSGVO-Forderungen braucht es keinen Arschtritt, zumindest sollte ein solcher in vernünftig geführten DV-Organisationen nicht notwendig sein. Die meisten dieser Forderungen werden nämlich sowieso erfüllt, geht es nun um einen Notfallplan, um die richtige Backup-Strategie oder ähnliches.

DSGVO regelt die Art der Datenaufbewahrung

Aber leider geht es bei DSGVO nicht nur um das, sondern es geht auch und vor allem um den Umgang mit persönlichen und Vertragsdaten. Es geht darum, welche Art von Daten wie lange auf den Online-Datenträgern, im Backup und vor allem im Archiv aufbewahrt werden. Es geht darum, jedem, der von diesen Daten betroffen ist oder in diesen Dateien erwähnt wird, die Möglichkeit zu geben, in diese hineinzusehen oder gar die Löschung der Daten zu fordern. Und darum, den Umgang mit diesen Daten bis hin zu deren Löschung nachweisen zu können.

So weit, so schön. Oder eben so weit, so kompliziert. Selbst in einem Unternehmen, welches glücklicherweise nur »einfache« Dateien speichert oder Datenbanken betreibt, dürfte das oben beschriebene schon kompliziert genug sein. Ich will nur einmal daran erinnern: ab dem 25. Mai muss jeder DV-Betreiber in der Lage sein, jederzeit alle Dateien und Dateninhalte und deren Speicherort aufzulisten, in denen personenbezogene Inhalte abgelegt sind. Geburtsdaten, Namen, einfach alles, was zu einem bestimmten Namen gefunden werden kann.

Und das ist noch lange nicht alles. Je nachdem, in welchem Land diese Daten abgespeichert sind, müssen sie aufgrund weiterer Vorschriften 10, 25 oder gar 100 Jahre (!) aufbewahrt werden. Und hier wird es wirklich zur Herausforderung. Jetzt werden mir die Bandjünger unter den Lesern (wie immer) entgegnen, dass ihre Medien jahrzehntelange Haltbarkeit garantieren. Sehr schön. Allerdings muss man dann auch dafür sorgen, dass alle (!) diese Daten regelmäßig auf die neuesten Formate umgespult werden, um sie jederzeit lesbar zu halten.

Elektronische Langzeitarchivierung ist ein Problem

Sonst passiert das, was mir vor noch nicht einmal zwei Wochen hier vor Ort passiert ist (kein Scherz, »real life«): Die Jungs von der GDPR-Fraktion wollten in einem Testlauf Finanzdaten von 2002 rekonstruieren und durchsehen. Schön. Die DV-Leute sagten, kein Problem, die Bänder lägen im Keller. Stimmte auch, sogar in einem klimatisierten Raum mit konstanter Luftfeuchte. Allerdings enthielten die Schränke DLT IIIXT- und DLT IV-Kassetten, flankiert von ein paar kleineren DDS-Bändern aus den damals betriebenen Abteilungsservern.

Das momentan betriebene Archiv enthält LTO-Laufwerke, in die man die älteren DLT-Kassetten nur noch mit einem Hammer einsetzen könnte. Ganz zu schweigen von den DDS-Bändern, deren Weiterentwicklung glaube ich um die Jahrtausendwende eingestellt wurde. Seitdem sind wird auf der Suche nach einem DLT- und einem DDS-Laufwerk, um wenigstens mechanisch wieder arbeiten zu können. Hinzu kommt, dass die Backups damals mit einem nicht mehr unterstützten Produkt auf einem längst in der Archäologie verschwundenen Server gezogen wurden. Jetzt geht es also um Laufwerke, einen Server und eine Software, die heutzutage niemand mehr kennt und die niemand mehr auf zeitgemäßen Systemen zum Laufen bekommt. Und es komme mir jetzt niemand damit, dass man eben auf immer die neuesten Kassetten hätte umspulen müssen.

Ja, hätte, könnte, müsste. Ich fordere alle auf, die jetzt die Augenbrauen mitleidig runzeln oder gar zum Lachen ansetzen, den gesamten (!) Datenbestand der sagen wir mal letzten zwanzig Jahre durchzugehen und mir dann mit gutem Gewissen zu antworten, man könne dies alles zurückholen. Um das Ganze noch weiter zu verschärfen – es geht nicht nur um Texte oder Textinhalte. Viele Firmen speichern Bilder und Filme, die ebenso von dieser Regelung betroffen sind. Falls das so ist, Chapeau, meine Hochachtung, Hausaufgaben gut gemacht, auch während all der Generationswechsel und Migrationen. Aber die restlichen 99,5 Prozent, die das nicht können, stecken nun im selben Schlamassel wie wir hier.

Und das ist erst der Anfang. Zum Teil müssen Verträge, Policen bis hin zu Grundbucheinträgen bis zu 100 Jahre aufbewahrt werden. Klingt einfach, die Bänder schaffen das. Mechanisch. Aber man soll mir nicht erzählen, die DV in der Lage sei, diese Zeiten wirklich einzuhalten.

Man stelle sich Speichertechnologien vor 25 oder 50 Jahren vor, und versuche diese an die dann aktuellen Systeme anzuschließen. Und mit der dann aktuellen Software zu rekonstruieren. Und jajaja, jetzt kommen wieder die Herrschaften mit den objektorientierten Plattensystemen aus der Hecke. Auch toll, wirklich. Dafür habe ich ein weiteres Aber: wird man wirklich alle Daten, die dort gespeichert werden, auch über 25, 50 oder gar 100 Jahre im System behalten, oder nicht doch irgendwann auf Band auslagern? Mit denselben Problemen? Wer das mit nein beantworten kann, hat entweder ein unbegrenztes Budget oder schon längst aufgegeben.

DSGVO: Die IT ist nur das ausführende Organ

Das schöne ist, dass die DSGVO gar keine DV-Aufgabe ist. Keine Fachabteilung muss sich damit beschäftigen, weil zunächst einmal die Finanz- und Rechtsabteilungen ihre Hausaufgaben machen müssen. Diese müssen uns nämlich sagen, welche Dateien, welche Datenbanken die von DSGVO betroffenen Daten enthalten. Sie müssen uns sagen, welche dieser Dateien wie lange aufbewahrt werden müssen. Erst dann können die EDV-Menschen sich um die technische Lösung kümmern. Denn wir müssen uns – auch ganz ohne Arschtritt – um nichts anderes sorgen als die technische Umsetzung. Nicht wir sind verantwortlich, sondern der DPO (Data Protection Officer) und die Projektleiter (Finanzdirektor, Leiter der Rechtsabteilung, Betreiber der Business-Systeme). Und im Ende sind nicht wir verantwortlich für die vier Prozent des jährlichen Umsatzes als Strafzahlung bei Nichtumsetzung, sondern der Geschäftsführer.

Leider ist DSGVO wegen der landläufig herrschenden Fehleinschätzung, es sei ein IT-Projekt, und der vor dem 25. Mai eingeimpften Panik vor allem zur Gelddruckmaschine für die üblichen Verdächtigen »Beraterunternehmen« geworden. Diese sagen leider nur eines viel zu wenig:

Die IT-Abteilungen sind NICHT für DSGVO/GDPR verantwortlich. Und daher braucht es – zumindest dort - auch keinen Arschtritt.

Gruß
Doc Storage

Kommentare (4)
11.04.2018 - Doc Storage

(...) dann habe ich als IT aktiv die Daten vernichtet (...)

Aber: da hat niemand Daten willentlich und wissentlich vernichtet. Nein, das nennt sich DV-Strategie und wird eben von Zeit zu Zeit von den Oberen geändert. Auf der grünen Wiese passiert so etwas nie, wenn allerdings in mittleren und größeren Betrieben der DV-Leiter (oder wie auch immer diese Sorte heute heißen mag) wechselt, dann versucht er durch den Wechsel bestimmter Anwendungen seine Markierungen zu hinterlassen. Und schon hat man den Salat. Was aber auch etwas gutes hat - der Hersteller des Backupsystems kann sich nicht als Monopolist im Hause fühlen und die Preise für Soft- und Hardware entsprechend immer weiter in die Höhe schrauben.

Es braucht also in diesem Bereich leider etwas mehr als das Beharren auf immer dieselben Formate und immer dieselbe Software. Das kann ebenso leider ganz schnell mal nach hinten losgehen. So einfach ist das nicht. Ich denke, ich werde diesem Thema einen meiner nächsten Beiträge widmen...

11.04.2018 - Doc Storage

"(...) Wenn ich privat einen tar auf ein DDS Band vor 20 Jahren gezogen habe (...)

Aber: wer hat denn, außer den wirklich harten Jungs aus der UNIX-Fraktion, in den 90ern mit tar Bänder beschrieben? In den 90ern wurde uns in der EDV von der Unternehmensleitung dieses dusselige Windows und als Server, wenn wir richtig gelitten haben, Novell oder ähnliches aufgedrückt. Ich will jetzt keine Diskussion über die Qualität der jeweiligen Plattformen lostreten, allerdings dürfte es beliebig schwer werden, einen entsprechenden Rechner, entweder mit Novell Netware oder ähnlichem Zeugs, aufzusetzen und auf die eventuell noch lesbaren Bänder über hoffentlich noch über den Landhandel zu erwerbende Laufwerke zuzugreifen. Die Welt ist eben nicht immer so homogen, wie wir sie uns wünschen würden.

23.03.2018 - jan

Das die DSGVO gar keine DV-Aufgabe ist - ist wahr.
Dem Rant auf die "Bandjünger" möchte ich auf das Entschiedenste widersprechen. Wenn ich privat einen tar auf ein DDS Band vor 20 Jahren gezogen habe - dann kann ich dank E-Bay in ein paar Tagen mein Glück versuchen und habe gefühlt zu 80% meine Daten wieder...
Wenn ich aber in einer Firma mit irgendwelchen Windows Pseudo Backuplösungen in den 80er 90ern und danach gearbeitet haben und irgendwann die Pferde gewechselt habe - ohne einen Voll-Incr-Restore und Backup davon ins neue System - dann habe ich als IT aktiv die Daten vernichtet(Weil ich ein mangelhaftes Backupdesign aufgebaut und betrieben habe.).
Wer dagegen Systeme wie TSM, FileNet etc. eingesetzt hat - der hat die Daten auch heute noch (redundant) - je nach eingestellter Retention Policy. Wenn diese Systeme richtig betrieben werden kann der Blitz alle Server direkt treffen und es tritt kein Datenverlust ein.

23.03.2018 - Godwin

Daumen hoch, danke, dass Sie das so formuliert haben!!!
Wir müssen natürlich die nötigen Infrastruktur parat stellen. Aber wir gehen jetzt nicht von Abteilung zu Abteilung und fragen, ob es hier schützenswerte Daten gäbe...


Mehr von Doc. tec. Storage 17.05.2019 NAS-Caching oder Tiering für VMs multiple Zugriffe?

In einer Lehrumgebung werden virtuellen Maschinen auf einem NAS mit 10GbE-Anbindung gespeichert. Nachdem eine Erweiterung mit NVMe-Flash ansteht, stellt sich die Frage, ob eine Caching- oder eine Tiering-Konfiguration die sinnvollere Wahl ist?


10.05.2019 Wird Flash nun auch zum Backup-Medium?

Flash wird zunehmend auch für Backup interessant. Der Geschwindigkeitsvorteil soll die Dauer der Sicherung wie auch der Wiederherstellung reduzieren. Macht dies in der Praxis bereits Sinn – auch aus Kostensicht?


03.05.2019 Unterschied zwischen Active/Active und Active/Passive

Beim Thema Hochverfügbarkeit unterscheidet man zwischen Konfigurationen, die Active/Active bzw. Active/Passive agieren. Was ist genau der Unterschied und für welche Szenarien empfehlen sich die beiden Möglichkeiten? Welche Cluster-Architektur bietet hinsichtlich Skalierbarkeit mehr Spielraum für zukünftigen Lastzunahmen?


26.04.2019 Dateisysteme für den PByte-Bereich

Datenberge jenseits des PByte-Bereichs, Cloud-Anbindungen und Analytics-Szenarien stellen Dateiysteme vor neue Herausforderungen. Der Markt bietet einige Optionen wie GPFS, Gluster FS, OneFS oder QF2. Worauf gilt es zu achten? Update zu CephFS und ZFS.


05.04.2019 Neuordnung des Storage-Tiering

Nachdem sich Flash und SSDs mittlerweile auch in mehrere Leistungsklassen unterteilen, steht die Technik nicht mehr nur für Tier 0. 15k-HDDs scheinen vor dem Aus zu stehen. Gilt dies auch für alle SAS-Platten? Wie sieht die Neuordnung des Storage-Tiering aktuell aus?


15.03.2019 30 Jahre World Wide Web: Was gibt es zu feiern?

Das World Wide Web feiert seinen 30. Geburtstag. Ohne dem Internet ist unser heutiges Leben nicht mehr vorstellbar. Für Doc Storage hat das Netz aber auch genug Schattenseiten. An Regulierungen bzw. an das vom Erfinder erhoffte bessere Internet, glaubt er nicht.

powered by
Boston Server & Storage Solutions Datacore Software
Itiso GmbH Seagate Technology
N-TEC GmbH FAST LTA AG
Fujitsu Technology Solutions GmbH Pure Storage