23.03.2018 (kfr)
4.4 von 5, (23 Bewertungen)

IT ist nicht für DSGVO/GDPR verantwortlich – ein Rant

  • Inhalt dieses Artikels
  • DSGVO regelt die Art der Datenaufbewahrung
  • Elektronische Langzeitarchivierung ist ein Problem
  • DSGVO: Die IT ist nur das ausführende Organ

Letzte Woche hat unser Chefredakteur Karl Fröhlich in seinem Editorial gefragt, warum es eigentlich immer einen Arschtritt benötige, bis (auch) wichtige Projekte umgesetzt werden. Im Einzelnen bezog er sich auf Cybersicherheit und die Datenschutz-Grundverordnung (DSGVO; engl. GDPR – General Data Protection Rule). Unser Doc Storage hat dazu aber eine andere Meinung, vor allem zur DSGVO – logisch.

Antwort Doc Storage:

Normalerweise macht man ja so etwas nicht, aber in diesem Falle muss ich einmal meinem Chefredakteur widersprechen. Und zwar aufs schärfste.

Ich muss mich innerhalb eines Medienkonzerns seit einem halben Jahr mit dem Thema DSGVO beschäftigen. Und je mehr Zeit ins Land geht (jaja, ich weiß, Ende Mai rückt immer näher), desto tiefer festigt sich bei mir die Erkenntnis, dass hier in Brüssel wieder einmal eine größere Bande sogenannter »Berater«, oder zumindest deren Lobbyisten, den Abgeordneten so lange im Foyer aufgelauert haben, bis diese eine völlig unpassende und viel zu generische Verordnung erlassen haben.

Karl hat Recht, für die Umsetzung der grundsätzlichen DSGVO-Forderungen braucht es keinen Arschtritt, zumindest sollte ein solcher in vernünftig geführten DV-Organisationen nicht notwendig sein. Die meisten dieser Forderungen werden nämlich sowieso erfüllt, geht es nun um einen Notfallplan, um die richtige Backup-Strategie oder ähnliches.

DSGVO regelt die Art der Datenaufbewahrung

Aber leider geht es bei DSGVO nicht nur um das, sondern es geht auch und vor allem um den Umgang mit persönlichen und Vertragsdaten. Es geht darum, welche Art von Daten wie lange auf den Online-Datenträgern, im Backup und vor allem im Archiv aufbewahrt werden. Es geht darum, jedem, der von diesen Daten betroffen ist oder in diesen Dateien erwähnt wird, die Möglichkeit zu geben, in diese hineinzusehen oder gar die Löschung der Daten zu fordern. Und darum, den Umgang mit diesen Daten bis hin zu deren Löschung nachweisen zu können.

So weit, so schön. Oder eben so weit, so kompliziert. Selbst in einem Unternehmen, welches glücklicherweise nur »einfache« Dateien speichert oder Datenbanken betreibt, dürfte das oben beschriebene schon kompliziert genug sein. Ich will nur einmal daran erinnern: ab dem 25. Mai muss jeder DV-Betreiber in der Lage sein, jederzeit alle Dateien und Dateninhalte und deren Speicherort aufzulisten, in denen personenbezogene Inhalte abgelegt sind. Geburtsdaten, Namen, einfach alles, was zu einem bestimmten Namen gefunden werden kann.

Und das ist noch lange nicht alles. Je nachdem, in welchem Land diese Daten abgespeichert sind, müssen sie aufgrund weiterer Vorschriften 10, 25 oder gar 100 Jahre (!) aufbewahrt werden. Und hier wird es wirklich zur Herausforderung. Jetzt werden mir die Bandjünger unter den Lesern (wie immer) entgegnen, dass ihre Medien jahrzehntelange Haltbarkeit garantieren. Sehr schön. Allerdings muss man dann auch dafür sorgen, dass alle (!) diese Daten regelmäßig auf die neuesten Formate umgespult werden, um sie jederzeit lesbar zu halten.

Elektronische Langzeitarchivierung ist ein Problem

Sonst passiert das, was mir vor noch nicht einmal zwei Wochen hier vor Ort passiert ist (kein Scherz, »real life«): Die Jungs von der GDPR-Fraktion wollten in einem Testlauf Finanzdaten von 2002 rekonstruieren und durchsehen. Schön. Die DV-Leute sagten, kein Problem, die Bänder lägen im Keller. Stimmte auch, sogar in einem klimatisierten Raum mit konstanter Luftfeuchte. Allerdings enthielten die Schränke DLT IIIXT- und DLT IV-Kassetten, flankiert von ein paar kleineren DDS-Bändern aus den damals betriebenen Abteilungsservern.

Das momentan betriebene Archiv enthält LTO-Laufwerke, in die man die älteren DLT-Kassetten nur noch mit einem Hammer einsetzen könnte. Ganz zu schweigen von den DDS-Bändern, deren Weiterentwicklung glaube ich um die Jahrtausendwende eingestellt wurde. Seitdem sind wird auf der Suche nach einem DLT- und einem DDS-Laufwerk, um wenigstens mechanisch wieder arbeiten zu können. Hinzu kommt, dass die Backups damals mit einem nicht mehr unterstützten Produkt auf einem längst in der Archäologie verschwundenen Server gezogen wurden. Jetzt geht es also um Laufwerke, einen Server und eine Software, die heutzutage niemand mehr kennt und die niemand mehr auf zeitgemäßen Systemen zum Laufen bekommt. Und es komme mir jetzt niemand damit, dass man eben auf immer die neuesten Kassetten hätte umspulen müssen.

Ja, hätte, könnte, müsste. Ich fordere alle auf, die jetzt die Augenbrauen mitleidig runzeln oder gar zum Lachen ansetzen, den gesamten (!) Datenbestand der sagen wir mal letzten zwanzig Jahre durchzugehen und mir dann mit gutem Gewissen zu antworten, man könne dies alles zurückholen. Um das Ganze noch weiter zu verschärfen – es geht nicht nur um Texte oder Textinhalte. Viele Firmen speichern Bilder und Filme, die ebenso von dieser Regelung betroffen sind. Falls das so ist, Chapeau, meine Hochachtung, Hausaufgaben gut gemacht, auch während all der Generationswechsel und Migrationen. Aber die restlichen 99,5 Prozent, die das nicht können, stecken nun im selben Schlamassel wie wir hier.

Und das ist erst der Anfang. Zum Teil müssen Verträge, Policen bis hin zu Grundbucheinträgen bis zu 100 Jahre aufbewahrt werden. Klingt einfach, die Bänder schaffen das. Mechanisch. Aber man soll mir nicht erzählen, die DV in der Lage sei, diese Zeiten wirklich einzuhalten.

Man stelle sich Speichertechnologien vor 25 oder 50 Jahren vor, und versuche diese an die dann aktuellen Systeme anzuschließen. Und mit der dann aktuellen Software zu rekonstruieren. Und jajaja, jetzt kommen wieder die Herrschaften mit den objektorientierten Plattensystemen aus der Hecke. Auch toll, wirklich. Dafür habe ich ein weiteres Aber: wird man wirklich alle Daten, die dort gespeichert werden, auch über 25, 50 oder gar 100 Jahre im System behalten, oder nicht doch irgendwann auf Band auslagern? Mit denselben Problemen? Wer das mit nein beantworten kann, hat entweder ein unbegrenztes Budget oder schon längst aufgegeben.

DSGVO: Die IT ist nur das ausführende Organ

Das schöne ist, dass die DSGVO gar keine DV-Aufgabe ist. Keine Fachabteilung muss sich damit beschäftigen, weil zunächst einmal die Finanz- und Rechtsabteilungen ihre Hausaufgaben machen müssen. Diese müssen uns nämlich sagen, welche Dateien, welche Datenbanken die von DSGVO betroffenen Daten enthalten. Sie müssen uns sagen, welche dieser Dateien wie lange aufbewahrt werden müssen. Erst dann können die EDV-Menschen sich um die technische Lösung kümmern. Denn wir müssen uns – auch ganz ohne Arschtritt – um nichts anderes sorgen als die technische Umsetzung. Nicht wir sind verantwortlich, sondern der DPO (Data Protection Officer) und die Projektleiter (Finanzdirektor, Leiter der Rechtsabteilung, Betreiber der Business-Systeme). Und im Ende sind nicht wir verantwortlich für die vier Prozent des jährlichen Umsatzes als Strafzahlung bei Nichtumsetzung, sondern der Geschäftsführer.

Leider ist DSGVO wegen der landläufig herrschenden Fehleinschätzung, es sei ein IT-Projekt, und der vor dem 25. Mai eingeimpften Panik vor allem zur Gelddruckmaschine für die üblichen Verdächtigen »Beraterunternehmen« geworden. Diese sagen leider nur eines viel zu wenig:

Die IT-Abteilungen sind NICHT für DSGVO/GDPR verantwortlich. Und daher braucht es – zumindest dort - auch keinen Arschtritt.

Gruß
Doc Storage

Kommentare (4)
11.04.2018 - Doc Storage

(...) dann habe ich als IT aktiv die Daten vernichtet (...)

Aber: da hat niemand Daten willentlich und wissentlich vernichtet. Nein, das nennt sich DV-Strategie und wird eben von Zeit zu Zeit von den Oberen geändert. Auf der grünen Wiese passiert so etwas nie, wenn allerdings in mittleren und größeren Betrieben der DV-Leiter (oder wie auch immer diese Sorte heute heißen mag) wechselt, dann versucht er durch den Wechsel bestimmter Anwendungen seine Markierungen zu hinterlassen. Und schon hat man den Salat. Was aber auch etwas gutes hat - der Hersteller des Backupsystems kann sich nicht als Monopolist im Hause fühlen und die Preise für Soft- und Hardware entsprechend immer weiter in die Höhe schrauben.

Es braucht also in diesem Bereich leider etwas mehr als das Beharren auf immer dieselben Formate und immer dieselbe Software. Das kann ebenso leider ganz schnell mal nach hinten losgehen. So einfach ist das nicht. Ich denke, ich werde diesem Thema einen meiner nächsten Beiträge widmen...

11.04.2018 - Doc Storage

"(...) Wenn ich privat einen tar auf ein DDS Band vor 20 Jahren gezogen habe (...)

Aber: wer hat denn, außer den wirklich harten Jungs aus der UNIX-Fraktion, in den 90ern mit tar Bänder beschrieben? In den 90ern wurde uns in der EDV von der Unternehmensleitung dieses dusselige Windows und als Server, wenn wir richtig gelitten haben, Novell oder ähnliches aufgedrückt. Ich will jetzt keine Diskussion über die Qualität der jeweiligen Plattformen lostreten, allerdings dürfte es beliebig schwer werden, einen entsprechenden Rechner, entweder mit Novell Netware oder ähnlichem Zeugs, aufzusetzen und auf die eventuell noch lesbaren Bänder über hoffentlich noch über den Landhandel zu erwerbende Laufwerke zuzugreifen. Die Welt ist eben nicht immer so homogen, wie wir sie uns wünschen würden.

23.03.2018 - jan

Das die DSGVO gar keine DV-Aufgabe ist - ist wahr.
Dem Rant auf die "Bandjünger" möchte ich auf das Entschiedenste widersprechen. Wenn ich privat einen tar auf ein DDS Band vor 20 Jahren gezogen habe - dann kann ich dank E-Bay in ein paar Tagen mein Glück versuchen und habe gefühlt zu 80% meine Daten wieder...
Wenn ich aber in einer Firma mit irgendwelchen Windows Pseudo Backuplösungen in den 80er 90ern und danach gearbeitet haben und irgendwann die Pferde gewechselt habe - ohne einen Voll-Incr-Restore und Backup davon ins neue System - dann habe ich als IT aktiv die Daten vernichtet(Weil ich ein mangelhaftes Backupdesign aufgebaut und betrieben habe.).
Wer dagegen Systeme wie TSM, FileNet etc. eingesetzt hat - der hat die Daten auch heute noch (redundant) - je nach eingestellter Retention Policy. Wenn diese Systeme richtig betrieben werden kann der Blitz alle Server direkt treffen und es tritt kein Datenverlust ein.

23.03.2018 - Godwin

Daumen hoch, danke, dass Sie das so formuliert haben!!!
Wir müssen natürlich die nötigen Infrastruktur parat stellen. Aber wir gehen jetzt nicht von Abteilung zu Abteilung und fragen, ob es hier schützenswerte Daten gäbe...


Mehr von Doc. tec. Storage 15.03.2019 30 Jahre World Wide Web: Was gibt es zu feiern?

Das World Wide Web feiert seinen 30. Geburtstag. Ohne dem Internet ist unser heutiges Leben nicht mehr vorstellbar. Für Doc Storage hat das Netz aber auch genug Schattenseiten. An Regulierungen bzw. an das vom Erfinder erhoffte bessere Internet, glaubt er nicht.


08.03.2019 Datenanordnung im RAID 10 mit 8 Platten

In einem Server wird ein RAID 10 mit acht Festplatten unter Windows 2008 R2 betrieben. Nun ist ein Laufwerk ausgefallen. Da sich nur wenige Daten auf den HDDs befinden, besteht die Möglichkeit, dass die defekte Platte eventuell gar keine Daten enthält?


22.02.2019 Welcher RAID-Level für welche Anwendung?

Gibt es eigentliche eine Faustregel, welches RAID-Level für welche Anwendung am besten geeignet ist? Ich denke da zum Beispiel an Datenbanken mit sehr vielen Zugriffen bei relativ kleinen Datenmengen oder an Webserver und als Extrem auf der anderen Seite Bild-Datenbanken, Audio-Server beim Rundfunk, Video-Archive mit sehr hohen Datenvolumen.


15.02.2019 Was sagt DWPD über SSDs aus?

Im Zusammenhang mit (Enterprise-)SSDs wird oft die Qualitätsgröße DWPD (Drive Writes Per Day) genutzt. Meist wird die Angabe auch für einen Zeitraum von fünf Jahren spezifiziert. Was sagt DWPD genau aus und mit welcher Standard-Lebensdauer darf man rechnen?


08.02.2019 Unterschiede der Performance-States von SSDs

Gängige Meinung: SSDs sind schnell. In der Praxis gibt es aber dann doch einige Unterschiede, so sind vielen die verschiedenen Performance-States von SSDs und Flash-Speichern nicht bekannt: FOB, steady, burst and transition. Was steckt genau dahinter?


01.02.2019 BSI empfiehlt 200-km-Distanz – 200 km ERNSTHAFT!?

Kurz vor Weihnachten veröffentlichte das BSI neue Kriterien für georedundante RZs. Darin wird der bisher empfohlene Mindestabstand von fünf auf 200 Kilometer hochgesetzt. Aus Praxissicht laut Doc Storage »vollkommener Blödsinn«.

powered by
Boston Server & Storage Solutions Datacore Software
Fujitsu Technology Solutions GmbH Seagate Technology
N-TEC GmbH FAST LTA AG