23.03.2018 (kfr)
4.4 von 5, (22 Bewertungen)

IT ist nicht für DSGVO/GDPR verantwortlich – ein Rant

  • Inhalt dieses Artikels
  • DSGVO regelt die Art der Datenaufbewahrung
  • Elektronische Langzeitarchivierung ist ein Problem
  • DSGVO: Die IT ist nur das ausführende Organ

Letzte Woche hat unser Chefredakteur Karl Fröhlich in seinem Editorial gefragt, warum es eigentlich immer einen Arschtritt benötige, bis (auch) wichtige Projekte umgesetzt werden. Im Einzelnen bezog er sich auf Cybersicherheit und die Datenschutz-Grundverordnung (DSGVO; engl. GDPR – General Data Protection Rule). Unser Doc Storage hat dazu aber eine andere Meinung, vor allem zur DSGVO – logisch.

Antwort Doc Storage:

Normalerweise macht man ja so etwas nicht, aber in diesem Falle muss ich einmal meinem Chefredakteur widersprechen. Und zwar aufs schärfste.

Ich muss mich innerhalb eines Medienkonzerns seit einem halben Jahr mit dem Thema DSGVO beschäftigen. Und je mehr Zeit ins Land geht (jaja, ich weiß, Ende Mai rückt immer näher), desto tiefer festigt sich bei mir die Erkenntnis, dass hier in Brüssel wieder einmal eine größere Bande sogenannter »Berater«, oder zumindest deren Lobbyisten, den Abgeordneten so lange im Foyer aufgelauert haben, bis diese eine völlig unpassende und viel zu generische Verordnung erlassen haben.

Karl hat Recht, für die Umsetzung der grundsätzlichen DSGVO-Forderungen braucht es keinen Arschtritt, zumindest sollte ein solcher in vernünftig geführten DV-Organisationen nicht notwendig sein. Die meisten dieser Forderungen werden nämlich sowieso erfüllt, geht es nun um einen Notfallplan, um die richtige Backup-Strategie oder ähnliches.

DSGVO regelt die Art der Datenaufbewahrung

Aber leider geht es bei DSGVO nicht nur um das, sondern es geht auch und vor allem um den Umgang mit persönlichen und Vertragsdaten. Es geht darum, welche Art von Daten wie lange auf den Online-Datenträgern, im Backup und vor allem im Archiv aufbewahrt werden. Es geht darum, jedem, der von diesen Daten betroffen ist oder in diesen Dateien erwähnt wird, die Möglichkeit zu geben, in diese hineinzusehen oder gar die Löschung der Daten zu fordern. Und darum, den Umgang mit diesen Daten bis hin zu deren Löschung nachweisen zu können.

So weit, so schön. Oder eben so weit, so kompliziert. Selbst in einem Unternehmen, welches glücklicherweise nur »einfache« Dateien speichert oder Datenbanken betreibt, dürfte das oben beschriebene schon kompliziert genug sein. Ich will nur einmal daran erinnern: ab dem 25. Mai muss jeder DV-Betreiber in der Lage sein, jederzeit alle Dateien und Dateninhalte und deren Speicherort aufzulisten, in denen personenbezogene Inhalte abgelegt sind. Geburtsdaten, Namen, einfach alles, was zu einem bestimmten Namen gefunden werden kann.

Und das ist noch lange nicht alles. Je nachdem, in welchem Land diese Daten abgespeichert sind, müssen sie aufgrund weiterer Vorschriften 10, 25 oder gar 100 Jahre (!) aufbewahrt werden. Und hier wird es wirklich zur Herausforderung. Jetzt werden mir die Bandjünger unter den Lesern (wie immer) entgegnen, dass ihre Medien jahrzehntelange Haltbarkeit garantieren. Sehr schön. Allerdings muss man dann auch dafür sorgen, dass alle (!) diese Daten regelmäßig auf die neuesten Formate umgespult werden, um sie jederzeit lesbar zu halten.

Elektronische Langzeitarchivierung ist ein Problem

Sonst passiert das, was mir vor noch nicht einmal zwei Wochen hier vor Ort passiert ist (kein Scherz, »real life«): Die Jungs von der GDPR-Fraktion wollten in einem Testlauf Finanzdaten von 2002 rekonstruieren und durchsehen. Schön. Die DV-Leute sagten, kein Problem, die Bänder lägen im Keller. Stimmte auch, sogar in einem klimatisierten Raum mit konstanter Luftfeuchte. Allerdings enthielten die Schränke DLT IIIXT- und DLT IV-Kassetten, flankiert von ein paar kleineren DDS-Bändern aus den damals betriebenen Abteilungsservern.

Das momentan betriebene Archiv enthält LTO-Laufwerke, in die man die älteren DLT-Kassetten nur noch mit einem Hammer einsetzen könnte. Ganz zu schweigen von den DDS-Bändern, deren Weiterentwicklung glaube ich um die Jahrtausendwende eingestellt wurde. Seitdem sind wird auf der Suche nach einem DLT- und einem DDS-Laufwerk, um wenigstens mechanisch wieder arbeiten zu können. Hinzu kommt, dass die Backups damals mit einem nicht mehr unterstützten Produkt auf einem längst in der Archäologie verschwundenen Server gezogen wurden. Jetzt geht es also um Laufwerke, einen Server und eine Software, die heutzutage niemand mehr kennt und die niemand mehr auf zeitgemäßen Systemen zum Laufen bekommt. Und es komme mir jetzt niemand damit, dass man eben auf immer die neuesten Kassetten hätte umspulen müssen.

Ja, hätte, könnte, müsste. Ich fordere alle auf, die jetzt die Augenbrauen mitleidig runzeln oder gar zum Lachen ansetzen, den gesamten (!) Datenbestand der sagen wir mal letzten zwanzig Jahre durchzugehen und mir dann mit gutem Gewissen zu antworten, man könne dies alles zurückholen. Um das Ganze noch weiter zu verschärfen – es geht nicht nur um Texte oder Textinhalte. Viele Firmen speichern Bilder und Filme, die ebenso von dieser Regelung betroffen sind. Falls das so ist, Chapeau, meine Hochachtung, Hausaufgaben gut gemacht, auch während all der Generationswechsel und Migrationen. Aber die restlichen 99,5 Prozent, die das nicht können, stecken nun im selben Schlamassel wie wir hier.

Und das ist erst der Anfang. Zum Teil müssen Verträge, Policen bis hin zu Grundbucheinträgen bis zu 100 Jahre aufbewahrt werden. Klingt einfach, die Bänder schaffen das. Mechanisch. Aber man soll mir nicht erzählen, die DV in der Lage sei, diese Zeiten wirklich einzuhalten.

Man stelle sich Speichertechnologien vor 25 oder 50 Jahren vor, und versuche diese an die dann aktuellen Systeme anzuschließen. Und mit der dann aktuellen Software zu rekonstruieren. Und jajaja, jetzt kommen wieder die Herrschaften mit den objektorientierten Plattensystemen aus der Hecke. Auch toll, wirklich. Dafür habe ich ein weiteres Aber: wird man wirklich alle Daten, die dort gespeichert werden, auch über 25, 50 oder gar 100 Jahre im System behalten, oder nicht doch irgendwann auf Band auslagern? Mit denselben Problemen? Wer das mit nein beantworten kann, hat entweder ein unbegrenztes Budget oder schon längst aufgegeben.

DSGVO: Die IT ist nur das ausführende Organ

Das schöne ist, dass die DSGVO gar keine DV-Aufgabe ist. Keine Fachabteilung muss sich damit beschäftigen, weil zunächst einmal die Finanz- und Rechtsabteilungen ihre Hausaufgaben machen müssen. Diese müssen uns nämlich sagen, welche Dateien, welche Datenbanken die von DSGVO betroffenen Daten enthalten. Sie müssen uns sagen, welche dieser Dateien wie lange aufbewahrt werden müssen. Erst dann können die EDV-Menschen sich um die technische Lösung kümmern. Denn wir müssen uns – auch ganz ohne Arschtritt – um nichts anderes sorgen als die technische Umsetzung. Nicht wir sind verantwortlich, sondern der DPO (Data Protection Officer) und die Projektleiter (Finanzdirektor, Leiter der Rechtsabteilung, Betreiber der Business-Systeme). Und im Ende sind nicht wir verantwortlich für die vier Prozent des jährlichen Umsatzes als Strafzahlung bei Nichtumsetzung, sondern der Geschäftsführer.

Leider ist DSGVO wegen der landläufig herrschenden Fehleinschätzung, es sei ein IT-Projekt, und der vor dem 25. Mai eingeimpften Panik vor allem zur Gelddruckmaschine für die üblichen Verdächtigen »Beraterunternehmen« geworden. Diese sagen leider nur eines viel zu wenig:

Die IT-Abteilungen sind NICHT für DSGVO/GDPR verantwortlich. Und daher braucht es – zumindest dort - auch keinen Arschtritt.

Gruß
Doc Storage

Kommentare (4)
11.04.2018 - Doc Storage

(...) dann habe ich als IT aktiv die Daten vernichtet (...)

Aber: da hat niemand Daten willentlich und wissentlich vernichtet. Nein, das nennt sich DV-Strategie und wird eben von Zeit zu Zeit von den Oberen geändert. Auf der grünen Wiese passiert so etwas nie, wenn allerdings in mittleren und größeren Betrieben der DV-Leiter (oder wie auch immer diese Sorte heute heißen mag) wechselt, dann versucht er durch den Wechsel bestimmter Anwendungen seine Markierungen zu hinterlassen. Und schon hat man den Salat. Was aber auch etwas gutes hat - der Hersteller des Backupsystems kann sich nicht als Monopolist im Hause fühlen und die Preise für Soft- und Hardware entsprechend immer weiter in die Höhe schrauben.

Es braucht also in diesem Bereich leider etwas mehr als das Beharren auf immer dieselben Formate und immer dieselbe Software. Das kann ebenso leider ganz schnell mal nach hinten losgehen. So einfach ist das nicht. Ich denke, ich werde diesem Thema einen meiner nächsten Beiträge widmen...

11.04.2018 - Doc Storage

"(...) Wenn ich privat einen tar auf ein DDS Band vor 20 Jahren gezogen habe (...)

Aber: wer hat denn, außer den wirklich harten Jungs aus der UNIX-Fraktion, in den 90ern mit tar Bänder beschrieben? In den 90ern wurde uns in der EDV von der Unternehmensleitung dieses dusselige Windows und als Server, wenn wir richtig gelitten haben, Novell oder ähnliches aufgedrückt. Ich will jetzt keine Diskussion über die Qualität der jeweiligen Plattformen lostreten, allerdings dürfte es beliebig schwer werden, einen entsprechenden Rechner, entweder mit Novell Netware oder ähnlichem Zeugs, aufzusetzen und auf die eventuell noch lesbaren Bänder über hoffentlich noch über den Landhandel zu erwerbende Laufwerke zuzugreifen. Die Welt ist eben nicht immer so homogen, wie wir sie uns wünschen würden.

23.03.2018 - jan

Das die DSGVO gar keine DV-Aufgabe ist - ist wahr.
Dem Rant auf die "Bandjünger" möchte ich auf das Entschiedenste widersprechen. Wenn ich privat einen tar auf ein DDS Band vor 20 Jahren gezogen habe - dann kann ich dank E-Bay in ein paar Tagen mein Glück versuchen und habe gefühlt zu 80% meine Daten wieder...
Wenn ich aber in einer Firma mit irgendwelchen Windows Pseudo Backuplösungen in den 80er 90ern und danach gearbeitet haben und irgendwann die Pferde gewechselt habe - ohne einen Voll-Incr-Restore und Backup davon ins neue System - dann habe ich als IT aktiv die Daten vernichtet(Weil ich ein mangelhaftes Backupdesign aufgebaut und betrieben habe.).
Wer dagegen Systeme wie TSM, FileNet etc. eingesetzt hat - der hat die Daten auch heute noch (redundant) - je nach eingestellter Retention Policy. Wenn diese Systeme richtig betrieben werden kann der Blitz alle Server direkt treffen und es tritt kein Datenverlust ein.

23.03.2018 - Godwin

Daumen hoch, danke, dass Sie das so formuliert haben!!!
Wir müssen natürlich die nötigen Infrastruktur parat stellen. Aber wir gehen jetzt nicht von Abteilung zu Abteilung und fragen, ob es hier schützenswerte Daten gäbe...


Mehr von Doc. tec. Storage 11.01.2019 Datenklau: »Die Betroffenen sind selbst schuld«

Der nächste technischer Beitrag muss noch eine Woche warten. Es war zu verlockend, Doc Storage zu seiner Meinung zum Datenklau zu befragen. Was wurden nicht alles für Mutmaßungen angestellt, von Geheimdiensten anderer Länder bis hin zum arg schlechten Bild unserer Ermittler und zuständigen Politiker… Und dann, wars »nur« ein 20-jähriger, genervter Schüler!? Dabei sind die Betroffenen selbst schuld.


04.01.2019 Feststellungen für 2019 bzw. von angeblichen Trends – ein Rant

Wenn dem Doc Storage etwas quer liegt, muss es raus: Zum Auftakt des Jahres liest er Beratern, Herstellern und Redakteuren die Leviten. Aus seiner Sicht wird viel gefaselt und noch mehr sei bei weitem nicht so wichtig, wie es gern dargestellt wird. Den Leuten in den IT-Abteilungen drücken andere Sorgen, die meist wenig mit Big-Data, KI, DSGVO oder sonstigen neumodischen Kram zu tun haben…


21.12.2018 50+ in der Informatik – und was dann? – Eine Widerrede

Die Kolumne »50+ in der Informatik« in unserer Rubrik Faktor Mensch findet große Beachtung, auch bei unserem Doc Storage. Als Praktiker hat er allerdings eine etwas andere Sichtweise: Die heutigen Fünfziger hätten weder Pionierarbeit geleistet, noch müsste man sich über Veränderungen beklagen – genau deswegen sei die EDV erschaffen worden. Lesen Sie hier seine Widerrede…


14.12.2018 NAS: Probleme beim Rebuild mit geklonten HDDs

Bei einem User stellt sich eine HDD in einem 3-Bay-NAS als defekt heraus. Einer von mehreren Maßnahmen ist der Versuch die vorhandenen Platten auf neue zu klonen. Dies bringt aber auch nicht den gewünschten Erfolg. Mögliche Ursachen: Das NAS arbeitet mit den Seriennummern und es darf die Reihenfolge der HDDs nicht verändert werden.


30.11.2018 Das Ende der Cebit ist ein Trauerspiel – ein Rant

Seit Jahren siechte die Cebit ihrem Ende entgegen. So formulierten es Experten und auch unser Doc Storage bereits mehrfach. Das Aus war quasi schon beschlossen, dürfte aber trotzdem nicht sein. Das Ende der Cebit belegt auch, wie schlecht es um den Digitalstandort Deutschland bestellt ist. Ein Rant von Doc Storage…


16.11.2018 Was ist das HAMR-Verfahren?

Herkömmliche Festplatten sind beschränkt in ihrer Kapazitätssteigerung. Neue Verfahren sollen das ändern, so unter anderem das Heat-Assisted Magnetic Recording (HAMR). Die Technik arbeitet mit einem Laser, noch fehlen aber fertige Serienmodelle. Doc Storage erklärt, was Sie dazu Wissen sollten.

powered by
TIM DCP Datacore Software
N-TEC GmbH Unitrends
Fujitsu Technology Solutions GmbH