| Re:Stimmt. Das Backup-Thema kommt ja noch dazu... / nt |  |
>>Ganz Ehrlich:
>>
>>Wenn eure Backups ein Problem darstellen dann ist euer Backup Lösung Scheiße und nicht die DSGVO.
>
>Dann führ das doch bitte mal aus, bei welchem Backupsystem du bei ausgelagerten Backups *praktikabel* in das Backup eingreifen kannst um einen einzelnen Ordner zu löschen. Jetzt mal das Problem der Revisionssicherheit aussen vor.
Die Frage ist doch warum es überhaupt erst dazu kommt das was gelöscht werden muss auf dem Backup. Unten mehr.
>
>Mich beschleicht das Gefühl du hast da nicht wirklich drüber nachgedacht wie Backups funktionieren. Da werden nicht einfach nur die Dateiordner auf ein anderes Medium kopiert.
Im zweifel ist doch alles nur strg + c & strg + v oder nicht? ;)
>EDIT: Weil ich deinen unteren Beitrag grad lese. Und wenn du dich damit auskennst: umso besser. Da dürften ja deine Ausfrührungen über die soviel besseren Datei- und Backupsysteme umso lehrreicher sein :)
>Bei jeder Windows Installation hast Du zb Zugriff auf die letzten ca 30 Tage des Ordnerinhaltes.
Wenn ein Unternehmen die OotB Windows Backup Lösung nutzt, dann ist deren Lösung scheiße. Aber worüber reden wir jetzt hier eigentlich? Eine kleine Bude mit 3 Leuten, die ihre Kundendaten in Excel speichert und davon "Backups" in OneDrive macht? Am besten noch den OneDrive Ordner auf den alle Mitarbeiter zugriff und Rechte haben? Die haben offensichtlich ganz andere Herausforderungen, als Backups ihrer Daten und das diese Unternehmen nicht so ganz Datenschutzkonform Arbeiten können wie sie sollten, sollte auch klar sein.
>Ist das beim Löschen des Datensatzes dann auch darin berücksichtigt? Oder wie stellst Du sicher dass das alles weg ist nach dem Löschen?
Wie ich hier im Ast schon auf Killian geantwortet habe, kann man die DSGVO "aushebeln" indem man ein berechtigtes Interesse an der Datenspeicherung hat bzw. auch nachweist.
Die Frage die sich somit also zuerst stellen sollte, ist wovon du eigentlich Backup machen willst. Sind die Daten, von denen du ein Backup machst, nämlich nicht von der DSGVO berührt, musst du sie auch nicht löschen wenn der Kunde es verlangt.
Denn sobald du an den Kunden eine Dienstleistung erbracht hast, einen Vertrag geschlossen, eine Rechnung erstellt, Ware geliefert oder sonst was hast, hast du ein berechtigtes Interesse seine Daten zu behalten (das sind in der Regel auch die Daten von denen in backup gemacht wird) und das wäre komplett DSGVO Konform. Also alles was mit dem Finanzen, Verträgen, Buchhaltung, Mitarbeitern, Sicherheit, Verkauf, Angeboten, Einkauf usw zu tun hat und ein Unternehmen braucht um den Betrieb wieder aufnehmen zu können kann ohne Bedenken extern gespeichert werden, auch Personenbezogene Daten von Kunden, weil andere Gesetze hier vorrang haben.
(Ich hab jetzt auch nur ein paar Beispiele gebracht. Art. 17 DSGVO erklärt alle Ausnahmen)
Und, um auf dein Beispiel der Sicherungen damit der Laden wieder laufen kann einzugehen, Welche Daten willst/musst du den sichern, damit der Laden schnell wieder läuft? Die oben genannten Daten, oder ne Excel Liste eines Mitarbeiters, der sich potentielle Neukunden auf seinem Arbeits PC gespeichert hat?
Wenn der Vertrieb jetzt solche eine Liste potentiellen Kunden, die noch nie was bei uns gekauft haben, backupen möchte, würde sie erst ich und dann unser Datenschutzbeauftragte fragen, on die Langeweile haben und darauf hinweisen, dass das die DSGVO Probleme machen könnte bei der Verwaltung der Backups.
(Deswegen werden bei uns auch alle nicht-zu-Kunden-geworden-Daten automatisch gelöscht nach X Tagen/Wochen.)
Selbst wenn du jetzt aber doch von diesen Nicht-Kunden-Daten ein Backup machen musst, ist dieses ja hoffentlich wie die anderen Backups ja gesondert gesichert und nicht frei im Unternehmen für alle verfügbar. Da wäre es dann z.B. auch vollkommen okay, wenn erst man beim wieder einspielen sicher stellt, dass die bereits gelöschten Kundendaten nicht wieder im System landen zum Beispiel anhand einer UniqueId.
Außerdem gibt's auch Backup-Lösungen die DSGVO Konforme Backups anbieten.
Entweder stellt man also beim/bzw vorm (rück)einspielen der Daten sicher, dass diese mit dem Löschbackup abgeglichen wird, hat ne Lösung wo man die Backups manipulieren kann (Nein, dazu zähle ich nicht private Lösungen von Windows/Apple, weil das keine Lösungen für Unternehmen sind) oder macht kein Backup von Daten die unter die DSGVO fallen.
Denn am Ende geht es um Datenschutz und die DSGVO erwartet und schreibt auch nirgends absoluten und umstößlichen Schutz vor, sondern liefert genug Spielraum sich Komform zu verhalten ohne jedes mal im Keller alle Aktenschränke zu durchforsten.
Die DSGVO erwartet hier schlussendlich eigentlich nur sowas wie ein (Lösch)konzept bzw. das passende Richtlinien und Bestimmungen im Unternehmen gelten und beachtet werden und keine umgehende akribische Löschung. Wenn du als Unternehmen in dem Konzept klar darlegen (und bei Bedarf auch Nachweisen) kannst, dass du die Sicherheit der Daten Gewährleisten kannst, indem du z.B. auch Löschungen aus Backups berücksichtigst, indem du z.B. einen abgleich mit einem Lösch-Backup anhand einer UniqueID machst, musst du nicht sofort jedes mal los rennen und alle Datenbanken durchsuchen und alles löschen und du musst auch bestimmt nicht dem ITler der die Lösch-Backups macht die Augen mit Bleiche auswaschen, weil er mal kurz die eigentlich bereits gelöschten Daten beim einspielen des Backups gesehen hat.
>
>Danke
Gerne.