Acronis - Regulation (GDPR) compliance considerations for backup and storage infrastructure

Businesses and public institutions based in the European Union (EU) have doubtless heard by now about the General Data Protection Regulation (GDPR), a new
body of privacy regulations that goes into effect on 25 May 2018. What may not be immediately obvious to parties based outside of the EU is that this new
regulatory regime applies to all companies worldwide that trade in the EU and deal with EU customers online.

If you have customers or partners that operate within the EU’s borders, you need to learn about GDPR today, and start taking steps quickly to bring your
business into compliance with it, or face heavy economic penalties that could adversely affect your company’s ability to profitability conduct business there.

Imagine being fined €10 million or 2% of your annual global revenue, whichever is greater, for failure to comply with GDPR.
GDPR’s focus is on protecting the individual privacy rights of EU citizens, and compared to previous EU privacy legislation greatly expands the definition of what
constitutes personal, private data to include not just financial, government and medical records, but also genetic, cultural, and social information. Businesses
must now gain the explicit consent of an individual before using their personal data, and must also honor their “right to be forgotten”, i.e., to have all personal
data held by the business to be deleted at the user’s request.

Businesses must also meet a number of new requirements to demonstrate their ongoing compliance with GDPR, appointing one individual responsible for the
company’s GDPR issues (the so-called “Data Protection Officer”), reporting on any and all data breach incidents, and storing personal data within the physical
confines of the EU. The latter reflects the EU’s concerns that countries outside the EU do not have similarly high standards for the data privacy of individual
citizens, and that data stored outside the EU is at greater risk of surveillance by government intelligence agencies and criminal actors.

Understanding GDPR through the Lens of Sarbannes-Oxley (SOX)

For IT professionals of a certain age, the challenges presented by GDPR compliance may be reminiscent of the USA’s Sarbanes-Oxley Act (SOX) from the early
2000s. Like GDPR, SOX was a strict new regulatory regime imposed on all types and sizes of companies. Although it was imposed unilaterally by the United States
for businesses operating within its borders, it represented such a huge market that companies around the world were affected. Like the EU with GDPR, the US
created an aggressive timeline for compliance and enforced its regulations with hefty fines. And just as GDPR is doing now, SOX created a lot of confusion and
anxiety among the businesses under its scrutiny, particularly around the costs of compliance.

In other respects, IT professionals in 2017 and 2018 have it easier than their early-21st-century counterparts. For instance, businesses have access to better
technology today to support reporting requirements, proving to authorities that they have the requisite policies, controls and procedures in place to support
GDPR compliance. Governance, risk management and compliance (GRC) control frameworks have evolved significantly over the last decade, as has the discipline
of policy lifecycle management. Thanks in part to regulations like SOX the 1995 EU Data Protection Directive, companies have a better handle on privacy impact
assessment and data access governance. Greatly improved, more automated tools for data breach monitoring, reporting and mitigation are now available.

But the world has also evolved since the days of SOX in ways that complicate GDPR compliance. Data storage has increased massively in speed, volume, diversity
of media (including cloud storage) and complexity.

The universe of IT security threats to data, from both criminals and state actors, has likewise gotten exponentially more sophisticated and threatening.

GDPR compliance has implications for privacy impact assessment, data access governance, and data breach notification and resolution, topics which we will not
address here. This paper instead focuses on GDPR compliance specifically as it relates to the secure storage and protection of active data, including data
archiving and deletion.

GDPR General Terminology

To understand GDPR as it relates to data storage and data protection, it is useful to understand the following basic terminology:
• Data subject
A citizen of the EU who is identifiable by their personal data. This may include a consumer making an online purchase, a patient of a healthcare system, a
citizen accessing online government services, a user of social media applications: any individual providing personal information to use some service
• Controller
A business operating within the EU — or outside of the EU but dealing with EU residents — that captures sensitive data about EU residents in the course of
its operations. Examples include: a business accepting online orders, addressees, and payment card information from consumers; a healthcare provider that
maintains patient records. (See below for help in determining whether your business functions as a processor or a controller.)
• Processor
A commercial business like a cloud service provider that acts as a contractor to a controller, i.e., another business serving EU citizens that captures sensitive
data on individuals. Examples include application hosters, storage providers, and providers of cloud services like backup
• Personal data
“Any information relating to an identified or identifiable natural person.” This is more broadly defined by the EU than other governments, and includes the
EU citizen’s name, email address, social media posts, physical, physiological, or genetic information, medical information, location, bank details, IP address,
cookies, cultural identity, etc.
• Right to be forgotten
The right of every EU citizen “to have his or her personal data erased and no longer processed.” Individuals may request the deletion of all of their personal
data stored on a controller’s servers. There remains some ambiguity on this particular issue. Does a request to be forgotten also require removal of data
from backups (problematic in serial backup media like tape)? What happens when a right to be forgotten request conflicts with a business’s data retention
policies for archiving and legal purposes?
• Personal data breach
“A breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to, personal data transmitted,
stored or otherwise processed.” Businesses must report every data breach incident to “the supervisory authority” within 72 hours of becoming aware of it.

Identifying Your Place in the GDPR Hierarchy

In order to understand your obligations under GDPR, you must first determine whether your business functions as a controller or as a processor by considering
these three questions - yes to Question 1 only, you function only as a processor in the GDPR framework; yes to Questions 1, 2 and 3, you are a controller:
1 Do you keep or process any of the personal data of EU residents?
2 Do you decide which specific items of personal data are going to be stored?
3 Do you decide how to use the personal data that is stored under your control?

As a controller or process that must make your storage and data protection of personal data GDPR compliant, you will also have to consider the following:
1. Can you pinpoint, specify and control the physical location of the storage of any personal data under your control? This is especially important if you use or
provide cloud-based data protection and/or storage, where personal data has the potential to be spread across multiple physical locations in data centers
around the world, including outside of the EU.
2. How are you structuring the personal data you are storing? Choices in data format have implications for your ability to read, modify and delete specific
items of personal data at the request of users. Data structures that support fast, efficient searching will be of particular value in supporting these requests.
Understanding Privacy Protection Failures
Your ability to attest to the privacy, integrity, accessibility, and erasure of personal data relies in part on your ability to protect against and recover from failures
in data storage, backup and recovery. These failures fall into three distinct categories:
•Device failures — the physical failure of any storage hardware component, including disk drives, storage controllers, and data centers. Examples include: a
hard disk drive accidentally exposed to magnetic field, resulting in its partial erasure.
•Logical or soft failures — failures due to human errors, Examples include: the accidental deletion or overwriting of files in the course of executing a backup
procedure, accidental file data corruption due to a bug or error in a script or business application; accidental deletion of a hard drive’s master boot record.
•Security breaches — failures due to forceful, malicious attacks on IT infrastructure, including networks, servers, applications and endpoints, including those
by malicious insiders, online criminals, and hostile state actors. Example include: a ransomware attack that applies unbreakable encryption to contents of a
hard drive and demands an online payment in return for the decryption key.

Supporting Data Subject Requirements for Control of Their Personal Data

In addition to protecting against various types of data protection failures, and reporting to EU authorities when breaches occur, controllers have a number of
obligations to the users whose personal data they are storing. Controllers must support the ability of users to:
•Access, read and edit their personal data
•Easily delete their personal data, either directly or with a simple request to you
•Export their personal data in an easily-readable format

Complying with user requests may not always be simple. For example, it is easy to address clear-cut requests like, “Delete my mailbox and its entire contents”,
not so easy to comply with more complex or ambiguous requests, like “Delete all my comments in this online forum.”

Broader GDPR Requirements for Data Protection and Storage

Businesses that function as processors have additional obligations they must meet. Including:
•Offer sufficient guarantees that their services meets GDPR technical and organizational requirements
•Eschew the use of subcontractors to support service contracts between the processor and their clients (controllers) without the express consent of the
controller
•On termination of a service contract, remove all data from their cloud / data center infrastructure, and provide sufficient proof that they have done so
•Report data breach incidents to the regulatory body.

The EU is serious about enforcing compliance, wielding the threat of painful financial penalties for businesses that cannot demonstrate their compliance or are
caught in clear violation of GDPR rules protecting user privacy. For example, failing to maintain written records, to implement various technical and
organizational measures, and/or to appoint a Data Protection Officer can cost the offending business a fine of €10 million or 2% of annual global revenue
(whichever is greater). Suffering a data breach or committing a violation of data subject’s rights, e.g., losing or deleting their data without permission, can incur
even stiffer fines of €20 million or 4% of annual global revenue (whichever is greater).

Broadly speaking, to achieve GDPR compliance in the areas of data storage and data protection (backup), processors and controllers should seek infrastructure
and services solutions that meet the following technical requirements:
•Data subject control of personal data storage location. You must be able to honor the wishes of the individuals whose data you control or process as to
where their personal data is stored: on-premises and/or in a specific EU-based data center.
•Data encryption. You must provide strong encryption of any personal data located on your endpoints as well as in transit over your local- and wide-area
networks and in the cloud. The encryption process should be entirely automated, with the data subject as the sole holder of the decryption key.
•Data search inside backups. You should be able to search backups at a granular level, making it easy to find required information on behalf of data subjects.
•Ability to modify personal data. You should be able to easily copy, modify and delete personal data at the request of data subjects.
•Data export in a common format. You should be able to export personal data in a common and easily usable format (e.g., ZIP archives)
•Quick data recovery. You should be able to restore personal data quickly from backups in the event of a storage device failure, software or operator error,
or security breach (e.g., a ransomware attack)

Likewise, processors and controllers should consider the following GDPR rules when choosing storage and data protection infrastructure and services:
•Cross-border data transfers. Any transfer outside the borders of the EU must be transparent and secure. Service providers must be able to specify the
locations where personal data is stored at the specific request of data subjects.
•Breach notification. In the event of data breach, a processor must be able to notify controllers and customers of any risks within 72 hours.
•Right to access. Backup and storage must support the rights of data subjects to obtain information from controllers as to whether their personal data is
being processed. Controller must be able to provide a copy of data free of charge. Backup files must be available to data subjects 24/7. Personal data in a
backup or storage account must be deletable by or at the request of the data subject.
•Right to be forgotten. When data is no longer relevant to its original purpose, data subjects must be able to demand that a controller erase their personal
data on request.
•Data portability. Data subjects must be able to obtain and reuse their personal data for their own purposes by transferring it across different IT
environments. This requires the ability to download personal data in an easily-portable format.
•Data Protection Officers. One employee who owns ultimate responsibility for GDPR compliance, known as the Data Protection Officer, must be designated
in any public authority or large organizations (of 250 employees or more).
•Privacy by design. Controllers and processors must implement appropriate technical and organizational measures, such as pseudonymization, that are
designed to implement data protection principles.

Conclusion
The 25 May 2018 deadline for GDPR compliance is looming, and the penalties for non-compliance are significant, but every business, institution and service
provider that serves EU citizens can take steps now to prepare for it. Start by recognizing how GDPR strengthens and broadens the definition of individual
privacy rights versus previous privacy regimes like the 195 Data Protection Directive. Get comfortable with the new terminology created by GDPR to understand
your place in the framework. And start attacking the compliance challenge in ways that are significant to personal data privacy protection and well within your
span of control, like moving to improve your data protection and storage infrastructure and services to accommodate its new requirements.
Acronis - Regulation (GDPR) compliance considerations for backup and
storage infrastructure
Businesses and public institutions based in the European Union (EU) have
doubtless heard by now about the General Data Protection Regulation
(GDPR), a new body of privacy regulations that goes into effect on 25 May
2018. What may not be immediately obvious to parties based outside of
the EU is that this new regulatory regime applies to all companies
worldwide that trade in the EU and deal with EU customers online.
If you have customers or partners that operate within the EU’s borders,
you need to learn about GDPR today, and start taking steps quickly to
bring your business into compliance with it, or face heavy economic
penalties that could adversely affect your company’s ability to profitability
conduct business there.
Imagine being fined €10 million or 2% of your annual global revenue,
whichever is greater, for failure to comply with GDPR.
GDPR’s focus is on protecting the individual privacy rights of EU citizens,
and compared to previous EU privacy legislation greatly expands the
definition of what constitutes personal, private data to include not just
financial, government and medical records, but also genetic, cultural, and
social information. Businesses must now gain the explicit consent of an
individual before using their personal data, and must also honor their
“right to be forgotten”, i.e., to have all personal data held by the business
to be deleted at the user’s request.
Businesses must also meet a number of new requirements to demonstrate
their ongoing compliance with GDPR, appointing one individual
responsible for the company’s GDPR issues (the so-called “Data Protection
Officer”), reporting on any and all data breach incidents, and storing
personal data within the physical confines of the EU. The latter reflects the
EU’s concerns that countries outside the EU do not have similarly high
standards for the data privacy of individual citizens, and that data stored
outside the EU is at greater risk of surveillance by government intelligence
agencies and criminal actors.
Understanding GDPR through the Lens of Sarbannes-Oxley (SOX)
For IT professionals of a certain age, the challenges presented by GDPR
compliance may be reminiscent of the USA’s Sarbanes-Oxley Act (SOX)
from the early 2000s. Like GDPR, SOX was a strict new regulatory regime
imposed on all types and sizes of companies. Although it was imposed
unilaterally by the United States for businesses operating within its
borders, it represented such a huge market that companies around the
world were affected. Like the EU with GDPR, the US created an aggressive
timeline for compliance and enforced its regulations with hefty fines. And
just as GDPR is doing now, SOX created a lot of confusion and anxiety
among the businesses under its scrutiny, particularly around the costs of
compliance.
In other respects, IT professionals in 2017 and 2018 have it easier than
their early-21st-century counterparts. For instance, businesses have access
to better technology today to support reporting requirements, proving to
authorities that they have the requisite policies, controls and procedures
in place to support GDPR compliance. Governance, risk management and
compliance (GRC) control frameworks have evolved significantly over the
last decade, as has the discipline of policy lifecycle management. Thanks in
part to regulations like SOX the 1995 EU Data Protection Directive,
companies have a better handle on privacy impact assessment and data
access governance. Greatly improved, more automated tools for data
breach monitoring, reporting and mitigation are now available.
But the world has also evolved since the days of SOX in ways that
complicate GDPR compliance. Data storage has increased massively in
speed, volume, diversity of media (including cloud storage) and
complexity.
The universe of IT security threats to data, from both criminals and state
actors, has likewise gotten exponentially more sophisticated and
threatening.
GDPR compliance has implications for privacy impact assessment, data
access governance, and data breach notification and resolution, topics
which we will not address here. This paper instead focuses on GDPR
Acronis - Regulation (GDPR) Compliance-Überlegungen für Backup- und Storage-
Infrastruktur
Unternehmen und öffentliche Einrichtungen mit Sitz in der Europäischen Union
(EU) haben inzwischen zweifellos von der Datenschutz-Grundverordnung (GDPR)
gehört, die am 25. Mai 2018 in Kraft tritt. Was für die Beteiligten nicht unmittelbar
offensichtlich ist Außerhalb der EU gilt, dass diese neue Regelung für alle
Unternehmen weltweit gilt, die in der EU handeln und online mit Kunden in der EU
umgehen.
Wenn Sie Kunden oder Partner haben, die innerhalb der EU-Grenzen operieren,
müssen Sie sich heute mit der GDPR vertraut machen und schnell Maßnahmen
ergreifen, um Ihr Unternehmen in Einklang zu bringen, oder sich schweren
wirtschaftlichen Strafen aussetzen, die die Rentabilität Ihres Unternehmens
beeinträchtigen könnten Geschäft dort.
Stellen Sie sich eine Geldstrafe von €10Mil oder 2% Ihres jährlichen Weltumsatzes
vor, je nachdem, welcher Betrag höher ist, wenn die GDPR nicht eingehalten wird.
Der Schwerpunkt der GDPR liegt auf dem Schutz der individuellen Rechte der
Bürgerinnen und Bürger der EU. Im Vergleich zu früheren
Datenschutzbestimmungen der EU wird die Definition persönlicher, privater Daten
nicht nur auf Finanz-, Regierungs- und Krankenakten, sondern auch auf genetischer,
kultureller und sozialer Ebene erweitert Information. Unternehmen müssen jetzt
die ausdrückliche Zustimmung einer Person erhalten, bevor sie ihre persönlichen
Daten verwenden, und müssen auch ihr "Right to be Forgotten" respektieren, d. H.
Alle persönlichen Daten, die von dem Unternehmen aufbewahrt werden, auf
Wunsch des Benutzers zu löschen.
Unternehmen müssen außerdem eine Reihe neuer Anforderungen erfüllen, um ihre
fortlaufende Einhaltung der GDPR nachzuweisen, eine für die GDPR des
Unternehmens verantwortliche Person (den sogenannten "Datenschutz-
beauftragten") zu ernennen, über alle Datenschutzverletzungen zu berichten und
persönliche Daten zu speichern Daten innerhalb der physischen Grenzen der EU.
Letzteres spiegelt die Bedenken der EU wider, dass Länder außerhalb der EU keine
ähnlich hohen Standards für den Datenschutz einzelner Bürger haben und dass
Daten außerhalb der EU einem größeren Risiko der Überwachung durch staatliche
Geheimdienste und kriminelle Akteure ausgesetzt sind.
Verständnis der GDPR durch die Linse von Sarbannes-Oxley (SOX)
Für IT-Experten eines bestimmten Alters können die Herausforderungen, die sich
aus der DSG-Konformität ergeben, an den US-amerikanischen Sarbanes-Oxley Act
(SOX) aus den frühen 2000er Jahren erinnern. Wie die GDPR war SOX ein strenges
neues Regulierungssystem für alle Arten und Größen von Unternehmen. Obwohl es
einseitig von den Vereinigten Staaten für Unternehmen innerhalb seiner Grenzen
eingeführt wurde, stellte es einen so großen Markt dar, dass Unternehmen auf der
ganzen Welt betroffen waren. Wie die EU mit GDPR haben die USA einen
aggressiven Zeitplan für die Einhaltung der Vorschriften geschaffen und ihre
Vorschriften mit hohen Geldstrafen durchgesetzt. Und genau wie die GDPR es jetzt
tut, hat SOX bei den von ihm untersuchten Unternehmen viel Verwirrung und
Besorgnis ausgelöst, insbesondere hinsichtlich der Kosten für die Einhaltung der
Vorschriften.
In anderer Hinsicht haben IT-Fachleute in den Jahren 2017 und 2018 leichter als
ihre Pendants aus dem frühen 21. Jahrhundert. Zum Beispiel haben Unternehmen
heute Zugang zu besseren Technologien, um die Berichtspflichten zu erfüllen und
den Behörden zu beweisen, dass sie über die erforderlichen Richtlinien, Kontrollen
und Verfahren verfügen, um die Einhaltung der GDPR zu unterstützen. Governance-
, Risikomanagement- und Compliance- (GRC-) Kontrollrahmen haben sich in den
letzten zehn Jahren erheblich weiterentwickelt, ebenso wie die Disziplin des
politischen Lebenszyklusmanagements. Teilweise dank Bestimmungen wie SOX der
EU-Datenschutzrichtlinie aus dem Jahr 1995 können Unternehmen die
Datenschutzfolgenabschätzung und den Datenzugriff besser steuern. Stark
verbesserte, automatisierte Tools für die Überwachung, Berichterstattung und
Minderung von Datenpannen sind jetzt verfügbar.
Aber die Welt hat sich seit den Tagen von SOX auch so entwickelt, dass die
Einhaltung der GDPR komplizierter wird. Der Datenspeicher hat sich in
Geschwindigkeit, Volumen, Medienvielfalt (einschließlich Cloud-Speicher) und
Komplexität massiv erhöht.
Das Universum der IT-Sicherheitsbedrohungen für Daten, sowohl von Kriminellen
als auch von staatlichen Akteuren, ist ebenfalls exponentiell komplexer und
bedrohlicher geworden.
Die Einhaltung der GDPR hat Auswirkungen auf die Bewertung der Auswirkungen
auf die Privatsphäre, die Governance des Datenzugriffs und die Meldung und
Behebung von Datenpannen. Diese Themen werden hier nicht behandelt. Dieses
Dokument konzentriert sich stattdessen auf die Einhaltung der GDPR, insbesondere
compliance specifically as it relates to the secure storage and protection of
active data, including data archiving and deletion.
GDPR General Terminology
To understand GDPR as it relates to data storage and data protection, it is
useful to understand the following basic terminology:
• Data subject
A citizen of the EU who is identifiable by their personal data. This may
include a consumer making an online purchase, a patient of a
healthcare system, a citizen accessing online government services, a
user of social media applications: any individual providing personal
information to use some service
• Controller
A business operating within the EU — or outside of the EU but dealing
with EU residents — that captures sensitive data about EU residents in
the course of its operations. Examples include: a business accepting
online orders, addressees, and payment card information from
consumers; a healthcare provider that maintains patient records. (See
below for help in determining whether your business functions as a
processor or a controller.)
• Processor
A commercial business like a cloud service provider that acts as a
contractor to a controller, i.e., another business serving EU citizens
that captures sensitive data on individuals. Examples include
application hosters, storage providers, and providers of cloud services
like backup
• Personal data
“Any information relating to an identified or identifiable natural
person.” This is more broadly defined by the EU than other
governments, and includes the EU citizen’s name, email address,
social media posts, physical, physiological, or genetic information,
medical information, location, bank details, IP address, cookies,
cultural identity, etc.
• Right to be forgotten
The right of every EU citizen “to have his or her personal data erased
and no longer processed.” Individuals may request the deletion of all
of their personal data stored on a controller’s servers. There remains
some ambiguity on this particular issue. Does a request to be
forgotten also require removal of data from backups (problematic in
serial backup media like tape)? What happens when a right to be
forgotten request conflicts with a business’s data retention policies for
archiving and legal purposes?
• Personal data breach
“A breach of security leading to the accidental or unlawful
destruction, loss, alteration, unauthorized disclosure of, or access to,
personal data transmitted, stored or otherwise processed.” Businesses
must report every data breach incident to “the supervisory authority”
within 72 hours of becoming aware of it.
Identifying Your Place in the GDPR Hierarchy
In order to understand your obligations under GDPR, you must first
determine whether your business functions as a controller or as a
processor by considering these three questions:
1 Do you keep or process any of the personal data of EU residents?
2 Do you decide which specific items of personal data are going to be
stored?
3 Do you decide how to use the personal data that is stored under your
control?
If you answer yes to Question 1 only, you function only as a processor in
the GDPR framework. If you answer yes to Questions 1, 2 and 3, you are a
controller.
As a controller or process that must make your storage and data
protection of personal data GDPR compliant, you will also have to consider
the following questions:
1. Can you pinpoint, specify and control the physical location of the
storage of any personal data under your control? This is especially
important if you use or provide cloud-based data protection and/or
storage, where personal data has the potential to be spread across
multiple physical locations in data centers around the world, including
outside of the EU.
2. How are you structuring the personal data you are storing? Choices
in data format have implications for your ability to read, modify and
delete specific items of personal data at the request of users. Data
structures that support fast, efficient searching will be of particular
value in supporting these requests at scale.
in Bezug auf die sichere Speicherung und den Schutz aktiver Daten, einschließlich
der Archivierung und Löschung von Daten.
GDPR Allgemeine Terminologie
Um die GDPR in Bezug auf Datenspeicherung und Datenschutz zu verstehen, ist es
nützlich, die folgende grundlegende Terminologie zu verstehen:
• Datensubjekt
Ein EU-Bürger, der an seinen persönlichen Daten erkennbar ist. Dies kann ein
Verbraucher sein, der einen Online-Kauf tätigt, ein Patient eines
Gesundheitssystems, ein Bürger, der auf Online-Regierungsdienste zugreift, ein
Nutzer von Social Media-Anwendungen: jede Person, die persönliche
Informationen bereitstellt, um einen Dienst zu nutzen
• Controller
Ein Unternehmen, das innerhalb der EU - oder außerhalb der EU, aber mit EU-
Bürgern - tätig ist und im Verlauf seiner Geschäftstätigkeit sensible Daten über
EU-Bürger erfasst. Beispiele hierfür sind: Ein Unternehmen, das Online-
Bestellungen, Adressaten und Zahlungskarteninformationen von Verbrauchern
akzeptiert; ein Gesundheitsdienstleister, der Patientenakten führt. (Siehe unten,
um festzustellen, ob Ihr Unternehmen als Prozessor oder Controller fungiert.)
• Prozessor
Ein kommerzielles Unternehmen wie ein Cloud-Service-Provider, der als
Auftragnehmer für einen Controller fungiert, d. H. Ein anderes Unternehmen,
das EU-Bürgern dient und sensible Daten über Einzelpersonen erfasst. Beispiele
sind Anwendungshosters, Speicheranbieter und Anbieter von Cloud-Services wie
Backup
• Persönliche Daten
"Informationen, die sich auf eine identifizierte oder identifizierbare natürliche
Person beziehen." Diese wird von der EU breiter definiert als andere
Regierungen und umfasst den Namen des EU-Bürgers, seine E-Mail-Adresse,
soziale Medien, physische, physiologische oder genetische Informationen,
medizinische Informationen, Standort, Bankverbindung, IP-Adresse, Cookies,
kulturelle Identität usw.
• Right to be forgotten
Das Recht jedes EU-Bürgers, "seine persönlichen Daten löschen und nicht mehr
verarbeiten zu lassen." Einzelpersonen können die Löschung aller auf den
Servern eines Kontrollers gespeicherten persönlichen Daten verlangen. In
diesem speziellen Fall bleibt eine gewisse Zweideutigkeit. Muss eine Anfrage
zum Vergessen auch die Entfernung von Daten aus Backups (problematisch in
seriellen Backup-Medien wie Band) erfordern? Was passiert, wenn die Anfrage
eines Rechts auf Vergessenwerden mit den Aufbewahrungsrichtlinien eines
Unternehmens für Archivierungs- und Rechtszwecke in Konflikt gerät?
• Verletzung persönlicher Daten
"Eine Sicherheitsverletzung, die zur versehentlichen oder unrechtmäßigen
Zerstörung, zum Verlust, zur Veränderung, unbefugten Weitergabe oder zum
Zugriff auf übertragene, gespeicherte oder anderweitig verarbeitete
personenbezogene Daten führt. Unternehmen müssen jede Datenverletzung bei
der Aufsichtsbehörde innerhalb von 72 melden Stunden, um sich dessen
bewusst zu werden.
Identifizieren Ihres Platzes in der GDPR-Hierarchie
Um Ihre Verpflichtungen im Rahmen der GDPR zu verstehen, müssen Sie
zunächst anhand dieser drei Fragen feststellen, ob Ihr Unternehmen als
Controller oder als Bearbeiter fungiert:
1 Behalten oder verarbeiten Sie personenbezogene Daten von EU-Bürgern?
2 Entscheiden Sie, welche spezifischen persönlichen Daten gespeichert
werden?
3 Entscheiden Sie, wie Sie die persönlichen Daten verwenden, die unter Ihrer
Kontrolle gespeichert sind?
Wenn Sie nur auf Frage 1 mit Ja antworten, fungieren Sie nur als Bearbeiter im
GDPR-Rahmen. Wenn Sie die Fragen 1, 2 und 3 mit Ja beantworten, sind Sie ein
Controller.
Als Controller oder Prozess, der Ihre Speicherung und den Datenschutz Ihrer
personenbezogenen Daten gemäß GDPR-konform machen muss, müssen Sie
außerdem folgende Fragen berücksichtigen:
1. Können Sie den physischen Speicherort der von Ihnen kontrollierten persönlichen
Daten genau festlegen, spezifizieren und kontrollieren? Dies ist besonders wichtig,
wenn Sie cloudbasierte Datensicherung und / oder -speicherung verwenden oder
bereitstellen, bei der personenbezogene Daten potenziell auf mehrere physische
Standorte in Datenzentren auf der ganzen Welt, auch außerhalb der EU, verteilt
werden können.
2. Wie strukturierst du die persönlichen Daten, die du speicherst? Entscheidungen
im Datenformat haben Auswirkungen auf Ihre Fähigkeit, bestimmte persönliche
Daten auf Anfrage der Benutzer zu lesen, zu ändern und zu löschen.
Datenstrukturen, die eine schnelle und effiziente Suche unterstützen, sind von
besonderem Wert für die Unterstützung dieser Anfragen in großem Umfang.
Understanding Privacy Protection Failures
Your ability to attest to the privacy, integrity, accessibility, and erasure of
personal data relies in part on your ability to protect against and recover
from failures in data storage, backup and recovery. These failures fall into
three distinct categories:
•Device failures — the physical failure of any storage hardware
component, including disk drives, storage controllers, and data
centers. Examples include: a hard disk drive accidentally exposed to
magnetic field, resulting in its partial erasure.
•Logical or soft failures — failures due to human errors, Examples
include: the accidental deletion or overwriting of files in the course of
executing a backup procedure, accidental file data corruption due to a
bug or error in a script or business application; accidental deletion of a
hard drive’s master boot record.
•Security breaches — failures due to forceful, malicious attacks on IT
infrastructure, including networks, servers, applications and
endpoints, including those by malicious insiders, online criminals, and
hostile state actors. Example include: a ransomware attack that
applies unbreakable encryption to contents of a hard drive and
demands an online payment in return for the decryption key.
Supporting Data Subject Requirements for Control of Their Personal
Data
In addition to protecting against various types of data protection
failures, and reporting to EU authorities when breaches occur,
controllers have a number of obligations to the users whose personal
data they are storing. Controllers must support the ability of users to:
•Access, read and edit their personal data
•Easily delete their personal data, either directly or with a simple
request to you
•Export their personal data in an easily-readable format
Complying with user requests may not always be simple. For example, it is
easy to address clear-cut requests like, “Delete my mailbox and its entire
contents”, not so easy to comply with more complex or ambiguous
requests, like “Delete all my comments in this online forum.”
Broader GDPR Requirements for Data Protection and Storage
Businesses that function as processors have additional obligations they
must meet. Including:
•Offer sufficient guarantees that their services meets GDPR technical
and organizational requirements
•Eschew the use of subcontractors to support service contracts
between the processor and their clients (controllers) without the
express consent of the controller
•On termination of a service contract, remove all data from their
cloud / data center infrastructure, and provide sufficient proof that
they have done so
•Report data breach incidents to the regulatory body.
The EU is serious about enforcing compliance, wielding the threat of
painful financial penalties for businesses that cannot demonstrate their
compliance or are caught in clear violation of GDPR rules protecting user
privacy. For example, failing to maintain written records, to implement
various technical and organizational measures, and/or to appoint a Data
Protection Officer can cost the offending business a fine of €10 million or
2% of annual global revenue (whichever is greater). Suffering a data
breach or committing a violation of data subject’s rights, e.g., losing or
deleting their data without permission, can incur even stiffer fines of €20
million or 4% of annual global revenue (whichever is greater).
Broadly speaking, to achieve GDPR compliance in the areas of data storage
and data protection (backup), processors and controllers should seek
infrastructure and services solutions that meet the following technical
requirements:
•Data subject control of personal data storage location. You must be
able to honor the wishes of the individuals whose data you control or
process as to where their personal data is stored: on-premises and/or
in a specific EU-based data center.
•Data encryption. You must provide strong encryption of any personal
data located on your endpoints as well as in transit over your local-
and wide-area networks and in the cloud. The encryption process
should be entirely automated, with the data subject as the sole holder
of the decryption key.
Grundlegendes zu Datenschutzfehlern
Ihre Fähigkeit, die Vertraulichkeit, Integrität, Zugänglichkeit und Löschung
personenbezogener Daten zu bestätigen, beruht zum Teil auf Ihrer Fähigkeit, sich
vor Fehlern bei Datenspeicherung, -sicherung und -wiederherstellung zu schützen
und diese zu beheben. Diese Fehler fallen in drei verschiedene Kategorien:
• Gerätefehler - der physische Fehler einer Speicherhardwarekomponente,
einschließlich Festplattenlaufwerken, Speichercontrollern und Datencentern.
Beispiele hierfür sind: Ein Festplattenlaufwerk, das versehentlich einem
Magnetfeld ausgesetzt wurde, wodurch es teilweise gelöscht wurde.
• Logische oder Soft-Fehler - Fehler aufgrund von menschlichen Fehlern. zB:
versehentliche Löschen oder Überschreiben von Dateien während der Ausfüh-
rung eines Backup-Vorgangs, versehentliche Beschädigung von Dateidaten
aufgrund eines Bug oder Fehlers in einem Skript oder einer Geschäftsan-
wendung; versehentliches Löschen des Master-Boot-Record einer Festplatte.
• Sicherheitsverletzungen - Ausfälle aufgrund von gewaltsamen, böswilligen
Angriffen auf die IT-Infrastruktur, einschließlich Netzwerken, Servern,
Anwendungen und Endpunkten, einschließlich solcher durch böswillige Insider,
Online-Kriminelle und feindselige staatliche Akteure. Ein Beispiel hierfür ist ein
Ransomware-Angriff, bei dem der Inhalt einer Festplatte unzerbrechlich
verschlüsselt wird und eine Online-Zahlung als Gegenleistung für den
Entschlüsselungsschlüssel erforderlich ist.
Unterstützung der Datensubjektanforderungen für die Kontrolle ihrer
persönlichen Daten
Neben dem Schutz vor verschiedenen Arten von Datenschutzfehlern und der
Meldung an EU-Behörden bei Verstößen haben die für die Verarbeitung
Verantwortlichen eine Reihe von Verpflichtungen gegenüber den Nutzern, deren
personenbezogene Daten sie speichern. Controller müssen die Fähigkeit der
Benutzer unterstützen:
• Greifen, lesen und bearbeiten sie auf Ihre persönlichen Daten zu
• Löschen Sie einfach Ihre persönlichen Daten, entweder direkt oder mit einer
einfachen Anfrage an Sie
• Exportieren Sie ihre persönlichen Daten in einem leicht lesbaren Format
Die Erfüllung von Benutzeranforderungen ist möglicherweise nicht immer einfach.
Zum Beispiel ist es einfach, klare Anfragen wie "Löschen meiner Mailbox und des
gesamten Inhalts" zu adressieren, nicht so einfach, komplexere oder mehrdeutige
Anfragen wie "Lösche alle meine Kommentare in diesem Online-Forum" zu erfüllen
Weitergehende GDPR-Anforderungen für Datenschutz und Datenspeicherung
Unternehmen, die als Verarbeiter fungieren, müssen zusätzliche Verpflichtungen
erfüllen. Einschließlich:
• ausreichende Garantien bieten, dass ihre Dienste die technischen und
organisatorischen Anforderungen der GDPR erfüllen
• Die Verwendung von Subunternehmern zur Unterstützung von
Serviceverträgen zwischen dem Auftrags-Verarbeiter und seinen Kunden
(Controller) ohne die ausdrückliche Zustimmung des für die Verarbeitung
Verantwortlichen zu vermeiden
• Entfernen Sie nach Beendigung eines Servicevertrags alle Daten aus ihrer
Cloud- / Rechenzentrumsinfrastruktur und stellen Sie ausreichende Nachweise
dafür bereit
• Melden Sie Fälle von Datenschutzverletzungen an die Aufsichtsbehörde.
Die EU setzt sich ernsthaft für die Einhaltung der Vorschriften ein und setzt die
Gefahr schmerzhafter Geldstrafen für Unternehmen in Gefahr, die ihre Einhaltung
nicht nachweisen können oder die eindeutig gegen die Datenschutzgrundsätze der
GDPR verstoßen. Wenn zum Beispiel schriftliche Aufzeichnungen nicht geführt
werden, verschiedene technische und organisatorische Maßnahmen umgesetzt
werden und / oder ein Datenschutzbeauftragter ernannt wird, kann dies dem
Unternehmen eine Geldbuße in Höhe von 10 Mio. € oder 2% des jährlichen
Gesamtumsatzes (je nachdem, was höher ist) verursachen. Eine Datenverletzung
zu erleiden oder eine Verletzung der Rechte der betroffenen Person zu begehen, z.
B. ihre Daten ohne Erlaubnis zu verlieren oder zu löschen, kann sogar zu
strengeren Geldstrafen von 20 Mio. € oder 4% des jährlichen weltweiten Umsatzes
führen (je nachdem, welcher Betrag höher ist).
Um die Einhaltung der GDPR in den Bereichen Datenspeicherung und Datenschutz
(Backup) zu erreichen, sollten Prozessoren und Controller im Allgemeinen
Infrastruktur- und Servicelösungen suchen, die die folgenden technischen
Anforderungen erfüllen:
• Datensubjektkontrolle des Speicherorts für persönliche Daten. Sie müssen in der
Lage sein, die Wünsche der Personen zu berücksichtigen, deren Daten Sie
kontrollieren oder verarbeiten, wo ihre persönlichen Daten gespeichert sind: vor
Ort und / oder in einem bestimmten EU-basierten Datenzentrum.
•Datenverschlüsselung. Sie müssen für die Verschlüsselung Ihrer persönlichen
Daten sorgen, die sich auf Ihren Endpunkten befinden, sowie in der Übertragung
über Ihre lokalen und WANs und in der Cloud. Der Verschlüsselungsprozess sollte
vollständig automatisiert werden, wobei die betroffene Person der alleinige
Inhaber des Entschlüsselungsschlüssels sein sollte.
 •Data search inside backups. You should be able to search backups at
a granular level, making it easy to find required information on behalf
of data subjects.
•Ability to modify personal data. You should be able to easily copy,
modify and delete personal data at the request of data subjects.
•Data export in a common format. You should be able to export
personal data in a common and easily usable format (e.g., ZIP
archives)
•Quick data recovery. You should be able to restore personal data
quickly from backups in the event of a storage device failure, software
or operator error, or security breach (e.g., a ransomware attack)
Likewise, processors and controllers should consider the following GDPR
rules when choosing storage and data protection infrastructure and
services:
•Cross-border data transfers. Any transfer outside the borders of the
EU must be transparent and secure. Service providers must be able to
specify the locations where personal data is stored at the specific
request of data subjects.
•Breach notification. In the event of data breach, a processor must be
able to notify controllers and customers of any risks within 72 hours.
•Right to access. Backup and storage must support the rights of data
subjects to obtain information from controllers as to whether their
personal data is being processed. Controller must be able to provide a
copy of data free of charge. Backup files must be available to data
subjects 24/7. Personal data in a backup or storage account must be
deletable by or at the request of the data subject.
•Right to be forgotten. When data is no longer relevant to its original
purpose, data subjects must be able to demand that a controller erase
their personal data on request.
•Data portability. Data subjects must be able to obtain and reuse their
personal data for their own purposes by transferring it across different
IT environments. This requires the ability to download personal data
in an easily-portable format.
•Data Protection Officers. One employee who owns ultimate
responsibility for GDPR compliance, known as the Data Protection
Officer, must be designated in any public authority or large
organizations (of 250 employees or more).
•Privacy by design. Controllers and processors must implement
appropriate technical and organizational measures, such as
pseudonymization, that are designed to implement data protection
principles.
Conclusion
The 25 May 2018 deadline for GDPR compliance is looming, and the
penalties for non-compliance are significant, but every business, institution
and service provider that serves EU citizens can take steps now to prepare
for it. Start by recognizing how GDPR strengthens and broadens the
definition of individual privacy rights versus previous privacy regimes like
the 195 Data Protection Directive. Get comfortable with the new
terminology created by GDPR to understand your place in the framework.
And start attacking the compliance challenge in ways that are significant to
personal data privacy protection and well within your span of control, like
moving to improve your data protection and storage infrastructure and
services to accommodate its new requirements.
• Datensuche in Backups. Sie sollten in der Lage sein, Sicherungen auf einer
detaillierten Ebene zu durchsuchen, um die erforderlichen Informationen für die
betroffenen Personen einfach zu finden.
• Fähigkeit, persönliche Daten zu ändern. Sie sollten in der Lage sein,
personenbezogene Daten auf Anfrage der betroffenen Personen einfach zu
kopieren, zu ändern und zu löschen.
• Datenexport in einem gemeinsamen Format. Sie sollten in der Lage sein,
persönliche Daten in einem gemeinsamen und leicht verwendbaren Format (z. B.
ZIP-Archive) zu exportieren.
• Schnelle Datenwiederherstellung. Sie sollten in der Lage sein, persönliche Daten
bei einem Ausfall eines Speichergeräts, bei Software- oder Bedienungsfehlern oder
Sicherheitsverletzungen (z. B. bei einem Ransomware-Angriff) schnell aus
Sicherungen wiederherzustellen.
Gleichermaßen sollten die Verarbeiter und für die Verarbeitung Verantwortlichen
die folgenden DSPR-Regeln bei der Auswahl der Speicher- und Datenschutz-
infrastruktur und -dienste berücksichtigen:
• Grenzüberschreitende Datenübertragungen. Jeder Transfer außerhalb der
Grenzen der EU muss transparent und sicher sein. Diensteanbieter müssen in der
Lage sein, die Speicherorte anzugeben, in denen personenbezogene Daten auf
Anfrage der betroffenen Personen gespeichert werden.
• Verstoßmeldung Im Falle einer Datenverletzung muss ein Prozessor in der Lage
sein, Controller und Kunden innerhalb von 72 Stunden über Risiken zu informieren.
• Zugriffsrecht. Backup und Speicherung müssen die Rechte der betroffenen
Personen unterstützen, Informationen von den für die Verarbeitung Verantwort-
lichen zu erhalten, ob ihre personenbezogenen Daten verarbeitet werden. Der
Controller muss in der Lage sein, eine Kopie der Daten kostenlos zur Verfügung zu
stellen. Backup-Dateien müssen den betroffenen Personen rund um die Uhr zur
Verfügung stehen. Personenbezogene Daten in einem Sicherungs- oder Speicher-
konto müssen von oder auf Anfrage des Betroffenen gelöscht werden können.
• Right to be forgotten. Wenn Daten für ihren ursprünglichen Zweck nicht mehr
relevant sind, müssen die betroffenen Personen verlangen können, dass ein für die
Verarbeitung Verantwortlicher ihre personenbezogenen Daten auf Anfrage löscht.
• Datenübertragbarkeit. Die betroffenen Personen müssen in der Lage sein, ihre
personenbezogenen Daten für ihre eigenen Zwecke zu beschaffen und
wiederzuverwenden, indem sie sie in verschiedene IT-Umgebungen übertragen.
Dies erfordert die Möglichkeit, persönliche Daten in einem leicht tragbaren Format
herunterzuladen.
• Datenschutzbeauftragte. Ein Mitarbeiter, der die ultimative Verantwortung für
die Einhaltung der GDPR trägt, ist als Datenschutzbeauftragter bekannt und muss in
jeder öffentlichen Behörde oder in großen Organisationen (mit 250 oder mehr
Beschäftigten) benannt werden.
• Datenschutz durch Design. Controller und Prozessoren müssen geeignete
technische und organisatorische Maßnahmen wie die Pseudonymisierung
implementieren, die die Datenschutzgrundsätze umsetzen sollen.
Conclusion
Die Frist für die Einhaltung der GDPR am 25. Mai 2018 zeichnet sich ab und die
Strafen für Nichteinhaltung sind erheblich, aber alle Unternehmen, Institutionen
und Diensteanbieter, die EU-Bürger unterstützen, können jetzt Schritte
unternehmen, um sich darauf vorzubereiten. Beginnen Sie damit, zu erkennen, wie
die DSGVO die Definition individueller Datenschutzrechte stärkt und erweitert im
Vergleich zu früheren Datenschutzregelungen wie der Datenschutzrichtlinie 195.
Machen Sie sich mit der neuen, von der DSGVO geschaffenen Terminologie
vertraut, um Ihren Platz im Framework zu verstehen. Beginnen Sie damit, die
Compliance-Herausforderung auf eine Art und Weise anzugehen, die für den Schutz
personenbezogener Daten wichtig ist und sich innerhalb Ihrer Kontrolle befindet, z.
B. um Ihre Datensicherungs- und Speicherinfrastruktur und -services zu verbessern