DSGVO: persönlichen Daten und E-Mail-Backups

Da die DSGVO nur ein paar Tage entfernt ist, befinden sich viele Unternehmen in der Endphase, um ihre IT-Prozesse und die erforderlichen Lösungen fertig zu stellen, um die neuen Vorschriften zu erfüllen. Jeder, der in einer Firma arbeitet, die in der EU ansässig ist oder mit europäischen Firmen Geschäfte macht, müsste von den hohen Geldstrafen von bis zu 4% des weltweiten Umsatzes oder 20 Millionen Euro schon gehört haben. Viele der Paragraphen im neuen Gesetz wurden bereits erläutert - nicht nur in unserem Blog, sondern auch in zahlreichen anderen, sowohl von Anwälten als auch von bekannten Journalistenaus IT-Magazin-Portalen.

Wenn man sich mit diesem Thema und seinen Auswirkungen auf die Prozesse und IT-Lösungen des eigenen Unternehmens befasst, kommt man unweigerlich zu dem Punkt, an dem man feststellt, dass viele persönliche Daten übertragen und in E-Mails und E-Mail-Backups gespeichert werden. Wenn Sie in einem Unternehmen arbeiten, in dem die IT-Lösungen hochgradig integriert und miteinander verzahnt sind, dann ist es ganz einfach, alle persönlichen Informationen einer Person zu finden, die ihre Daten gemäß Artikel 17 der DSGVO löschen lassen möchte.

Wenn eine solche integrierte Lösung, die viele Anwendungsbereiche - wie zum Beispiel CRM, CMS und auch E-Mails - abdeckt, genutzt wird und die Lösung auch E-Mail-Backups erstellt, dann haben Sie Glück. Mit einer solchen Lösung können Sie alle E-Mails mit persönlichen Informationen von einer Person finden und sie sowohl auf dem Live-Server als auch in den Backups sicher löschen.

In Wirklichkeit verwenden jedoch viele Unternehmen unterschiedliche Lösungen für unterschiedliche Aufgaben. Eine Lösung erstellt Backups, E-Mails werden von einem MS Exchange Server oder einer Lösung eines anderen Herstellers gespeichert und bearbeitet oder der Produkthersteller eines CRM-Systems unterscheidet sich vom integrierten Enterprise CMS, das auch personenbezogene Daten sammelt und verarbeitet. Und damit beginnen die Schwierigkeiten.

Bei E-Mail-Backups kommt eine weitere Herausforderung hinzu: Beim Versuch, persönliche Daten zu finden und zu sichern, macht es einen großen Unterschied, ob sich die E-Mails noch auf dem Exchange-Server befinden oder die E-Mails bereits gesichert und auf einem Band/Tape oder einer festplattenbasierten Lösung gespeichert sind.

In vielen kleinen bis mittleren Unternehmen sind die gängigen IT-Lösungen nicht so ausgereift. Bei E-Mails nutzen sie normalerweise einen Exchange-Server und lokale E-Mail-Clients wie Outlook auf den Desktop-Computern der Mitarbeiter. Das Suchen und Finden alter E-Mails mit persönlichen Informationen kann unter MS Exchange bewerkstelligt werden. Diese E-Mails können identifiziert, in einen speziellen Speicherbereich verschoben und dann durch eine spezielle Löschsoftware wie Ontrack oder Blancco sicher gelöscht werden.

Darüber hinaus können Sie mit Ontrack PowerControls für Exchange E-Mails mit persönlichen Daten von einer Person auf einem Live-Server suchen und finden, wenn diese ihre Daten gelöscht haben möchte. Ontrack PowerControls ist eine einfache Möglichkeit, diese E-Mails mit dem integrierten E-Mail-Viewer schnell und visuell zu durchsuchen. Es ist jedoch nicht möglich, diese E-Mails wirklich sicher zu löschen. Wenn Sie dieses Tool verwenden, verschieben Sie diese E-Mails nur in den Papierkorb des Exchange-Servers. Dann kommt es auf die festgelegte Exchange-Aufbewahrungszeit an, wann die E-Mails endgültig gelöscht werden. Und dann handelt ist es sich immer noch nicht um ein so genanntes hartes Löschen, denn selbst danach wäre es möglich, die Emails wiederherzustellen, bis dieser bestimmte Speicherplatz, auf dem sie gespeichert sind, endgültig durch neue Daten überschrieben wird.

Das Auffinden und Löschen solcher E-Mails auf dem Computer der Mitarbeiter kann ebenfalls sehr einfach durchgeführt werden. Sobald die Daten identifiziert sind, können sie an einen bestimmten Speicherort auf dem Clientrechner verschoben und dann auch sicher durch eine spezielle Datenlöschlösung entfernt werden. Dies kann entweder auf dem Client-Computer oder über eine Netzwerkverbindung durch den IT-Administrator erfolgen. Beide Prozesse funktionieren nur für jene E-Mails, die auf dem Client-Computer und / oder auf dem E-Mail-Exchange-Server aktiv sind.

Aber was ist mit den E-Mails, die persönliche Daten enthalten, die bereits vom Administrator oder Benutzer gesichert bzw. „gebackupt“ wurden?

Kurz gesagt: Technisch gesehen können Sie nur E-Mails finden und sicher löschen, die noch auf dem Server verfügbar oder erreichbar sind! E-Mails in Backups stellen eine Bedrohung für die Einhaltung der DSGVO dar, denn bisher gibt es keine einfache Lösung für dieses Problem! Sobald ein Backup erstellt wurde, ist es kaum möglich, einzelne E-Mails zu löschen. Und selbst wenn Sie könnten, würden Sie nicht nur den Zeitstempel des Backups ändern, sondern könnten auch Speichervorgaben anderer Vorschriften und Gesetze verletzen.

Gesicherte E-Mails können deshalb im Prinzip nur gefunden, wiederhergestellt und extrahiert werden. Wenn Sie jedoch die persönlichen Informationen und E-Mails aus einer gesicherten Mailbox endgültig löschen, können Sie die verbleibenden E-Mails nur als brandneue Sicherung speichern, insbesondere wenn die Sicherung auf Band/Tape gespeichert ist. Da diese Postfächer viele E-Mails enthalten, gibt es höchstwahrscheinlich E-Mails im Postfach, die aufgrund anderer Gesetze zu Aufbewahrungspflichten für viele weitere Jahre oder Jahrzehnte gespeichert werden müssen. Wenn Sie die Sicherung ändern würden, würden Sie normalerweise auch den Zeitstempel dieser E-Mails löschen. Damit würden Sie auch diese anderen E-Mails "ändern", obwohl deren Inhalt eigentlich immer noch der gleiche wäre.

Die Vorbereitung auf die DSGVO in Bezug auf E-Mails und E-Mail-Backups ist keine leichte

Nun sollte der Zeitpunkt für Unternehmen sein, eine hochintegrierte Lösung zu implementieren, wie zum Beispiel ein E-Mail-Archivierungssystem, das alle Daten unter einer gemeinsamen „Haube“ verarbeiten, speichern und sichern kann und bei Bedarf eben auch sicher löschen kann. Die Verwendung einer solchen spezialisierten Archivlösung könnte der beste Weg sein, um in Zukunft mit der DSGVO konform zu sein. Eine moderne Lösung, die viele moderne Business-Management- und Verarbeitungstools wie CRM, Enterprise CMS, Emails und mehr kombiniert, ist die beste Lösung, um gegen hohe Bußgelder durch die DSGVO geschützt zu sein.