Daten managen für die EU-DSGVO

Wer speichert, muss auch löschen können

Uhr
von Thomas Failer, Gründer von Data Migration Servicess

Mit Inkrafttreten der Europäischen Datenschutz-Grundverordnung rücken Altsysteme sowohl technisch als auch auf Kostenebene in den Fokus von Datenschutzverantwortlichen. Dabei gilt es, den ganzen Lebenszyklus von Informationen zu managen und nicht mehr in Betrieb befindliche Systeme dauerhaft abzuschalten.

(Source: Stephen Coburn / Fotolia.com)
(Source: Stephen Coburn / Fotolia.com)

Damit Unternehmen die neuen Datenschutzbestimmungen einhalten können, bedarf es einer Bestandsaufnahme. Diese darf aber nicht bei den Produktivsystemen halt machen, wird doch wegen diverser Aufbewahrungspflichten ein Teil der schützenswerten personenbezogenen Daten in Altsystemen gespeichert. Aufgrund der Modernisierung der ERP-Landschaften in den vergangenen Jahren wurden zwar viele Altsysteme auf wenige zentrale Live-Systeme migriert. Doch nur ein Teil der Daten wird jeweils in die neue Umgebung übernommen.

Betrieb der Altsysteme beenden

Einer der Hauptgründe für die Konsolidierung und Zen­tralisierung ist sicher die Kostenersparnis. Denn der Umstieg auf neue Softwaregenerationen kostet Geld, das eigentlich nicht vorhanden ist. Zwar sind die IT-Budgets in vielen Unternehmen gewachsen. Die Steigerung reicht aber bei Weitem nicht aus, um den IT-Abteilungen die Mittel bereitzustellen, die sie eigentlich für die Digitalisierung ihrer Unternehmen und deren Geschäftsmodelle benötigen. Dass nicht mehr Mittel zur Verfügung stehen, liegt unter anderem daran, dass erfahrungsgemäss rund 80 Prozent der Budgets der reine IT-Betrieb verbraucht, während nur 20 Prozent für Innovationen zur Verfügung stehen. Ideal wäre hingegen eine Aufteilung von 60 Prozent für den IT-Betrieb und 40 Prozent für Innovationen.

Dieses Ziel ist jedoch nur zu erreichen, wenn Altsys­teme dauerhaft abgeschaltet werden. Die Unternehmen können es sich nämlich einfach nicht leisten, diese wegen der Datenschutz-Grundverordnung wieder in Betrieb zu nehmen. Hinzu kommt, dass viele Altsysteme gar keine Möglichkeit bieten, gezielt Datensätze zu löschen. Auch die Nachrüstung ist in vielen Fällen nicht möglich, weil die Systeme vom Hersteller nicht mehr gewartet werden oder sich im rein lesenden Betrieb befinden. Es bleibt eigentlich nur ein Ausweg: Den teuren Betrieb von Altsystemen zu beenden und so die operativen Kosten dauerhaft zu senken.

Historisierung, nicht Archivierung

Voraussetzung dafür ist ein neuer Ansatz für das Datenmanagement. Das betrifft nicht nur Daten, sondern auch Dokumente, die personenbezogene Daten enthalten. Daten und Dokumente existieren darüber hinaus nicht für sich allein, sondern stehen in einem spezifischen Geschäftskontext. Um entscheiden und rechtfertigen zu können, ob personenbezogene Informationen zu Recht erhoben wurden und aufbewahrt werden, muss dieser Kontext mit erhalten bleiben.

Es geht bei der EU-DSGVO also nicht einfach um Archivierung, sondern um das Management des gesamten Lebenszyklus von Informationen. Bezogen auf Altdaten und -dokumente ist es deshalb sinnvoller, von Historisierung zu sprechen. Hilfe dafür bietet etwa die Plattformen JiVS, mit der sich die aus stillgelegten Altsystemen übernommenen Informationen mit Aufbewahrungsfristen belegen und nach Ablauf der gesetzlichen Aufbewahrungsfristen unwiederbringlich und automatisch löschen lassen. Dieses «Retention Management» erlaubt zudem das automatisierte Löschen für Ausnahmefälle wie laufende Gerichtsverfahren auf der Ebene der einzelnen Datensätze und Dokumente im Sinne eines sogenannten "Legal Hold" auszusetzen.

Fazit

In der Praxis können nach der Stilllegung der Altsysteme Betriebskosten um 80 bis 90 Prozent gesenkt werden. Mit den restlichen 10 bis 20 Prozent lassen sich die aus Compliance-Gründen aufzubewahrenden Altdaten inklusive Geschäftslogik weiterhin nutzen. Das bietet überdies eine einmalige Gelegenheit, die vorhandenen Datensätze und insbesondere die Stammdaten zu bereinigen. Damit genügt man gleich auch dem Grundsatz der Datensparsamkeit der EU-DSGVO.

Webcode
DPF8_92030