Sie sind hier: Home » Literatur » Schriften

Compliance geradezu sträflich ignoriert


Noch zu wenige Unternehmen gehen mit dem Thema Datenbankarchivierung planvoll und beachten die Compliance-Regeln
Leitfragen soll Orientierung bieten und dabei helfen, die Risiken von Datenverlust und Datenmanipulation abzuschätzen

(23.05.14) - Die Notwendigkeit einer Archivierung für Dokumente wurde in den letzten Jahren in nahezu jedem Unternehmen erkannt. Noch wenig Bewusstsein hingegen besteht dafür, wie wichtig auch die Archivierung von Daten in Datenbanken ist. Die CSP GmbH & Co. KG hat dieses Missverhältnis in ihren Consulting-Projekten beobachtet. Als Ursache benennen die Datenbank-Spezialisten insbesondere die getrennten Verantwortlichkeiten von IT-Abteilung und Fachbereich.

Die IT-Experten, die für die Datenbank zuständig sind, verweisen auf den Fachbereich: Dieser müsse wissen, wie lange Daten aufzubewahren sind und wie wichtig welche Daten sind. Der Fachbereich andererseits glaubt die Daten in der Datenbank ohne weitere Maßnahmen sicher aufbewahrt. Dass Daten in einer produktiven Datenbank jederzeit verändert werden können, ist oft nur unzureichend bekannt. "In beiden Fällen stellen wir fest, dass die Verantwortlichen nicht hinreichend für die Wichtigkeit ihrer Unternehmensdaten sensibilisiert sind. Besonders die Compliance wird teilweise geradezu sträflich ignoriert, obwohl die Datenbanken sehr oft wesentliche Informationen enthalten, die aus gesetzlichen Gründen wie der Produkthaftung langfristig unveränderbar aufzuheben sind", berichtet Heike Johannes, Projektmanagerin für die Datenbankarchivierung bei der CSP. "Das Risiko, dass Daten im Bedarfsfall plötzlich nicht mehr zur Verfügung stehen oder aber nur in veränderter Form, wird vor allem in den Fachabteilungen völlig unterschätzt."

Um mehr Transparenz über die in den Datenbanken enthaltenen Informationen und die daraus resultierenden Anforderungen zu erhalten, können sich Unternehmen an den folgenden Leitfragen orientieren, die CSP zusammengestellt hat:

Risiken abschätzen bei der Einführung von neuer Software:
>> Welches Risiko entsteht, wenn Daten außerhalb der eigentlichen Applikation manipuliert werden? Sind die Datensätze beispielsweise nach einem direkten Update in der Datenbank vor Veränderungen geschützt?

>> Sind die Daten aus gesetzlichen oder unternehmensinternen Gründen aufbewahrungspflichtig? Wenn ja, über welchen Zeitraum? Besteht Transparenz darüber, welche Daten in Datenbanken steuerlich relevante Informationen enthalten? Welche Daten unterliegen wegen der Produkthaftung der Pflicht zur Langzeitarchivierung?

>> Welche Maßnahmen können getroffen werden, um die Risiken durch Datenmanipulation auszuschließen oder zu reduzieren?

>> Wie kann ein exponentielles Wachstum der Datenbanken von vornherein verhindert werden?

>> Wie lassen sich die Kosten für unnötigen Datenballast senken?

Übersicht gewinnen über aufbewahrungspflichtige Daten:
>> Aus welchen Gründen müssen die Daten aufbewahrt werden? Welche gesetzlichen Bestimmungen gibt es? Gelten spezielle branchenspezifische Regelungen zur Datenaufbewahrung? Greifen zusätzlich interne Compliance-Regeln?

>> Wie soll der langfristige Zugriff erfolgen?

>> Wer muss Zugriff auf diese Daten haben?

>> Liefern andere Abteilungen oder andere Softwareprogramme diese Daten? Wenn ja, in welcher Weise?

>> Nutzen andere Abteilungen oder andere Softwareprogramme diese Daten? Wenn ja, wie sehen die Schnittstellen oder der Prozess aus?

Informationsflüsse der Daten über Applikationen hinweg visualisieren:
>> Wie werden die Daten generiert und weiter verwendet? In welchen Abteilungen?

Eine Visualisierung einzelner Softwarepakete hilft dabei, hier den Durchblick zu gewinnen. Im Automotive-Bereich kann der Informationsfluss etwa von der Planung über Karosseriebau, Montage, Lackierung und gegebenenfalls Nacharbeit bis hin zu Werkstatt und Kundendienst abgebildet werden. Geht es um eine ERP-Software, durchlaufen die Daten beispielsweise verschiedene Stationen vom Angebot über Auftrag und Produktionsauftrag bis zur Rechnungsstellung.

"Im ersten Schritt ist es wichtig, die Anwender für ihre Daten zu sensibilisieren. Im zweiten Schritt lässt sich dann konsequent herausarbeiten, für welche Daten die gesetzkonforme Aufbewahrung wie umgesetzt werden kann und auf welche Art ein Datenverlust auszuschließen ist. Die Archivierung von Datenbanken bietet dabei einen optimalen Schutz vor Datenmanipulation und gleichzeitig auch die Sicherheit des Langzeitzugriffs", kommentiert Heike Johannes. (CSP: ra)

CSP: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

Bitkom: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>



Meldungen: Schriften

  • Was versteht man unter einer Lieferkette?

    Das am 1.1.2023 in Kraft getretene Gesetz über die unternehmerischen Sorgfaltspflichten in Lieferketten (Lieferkettensorgfaltspflichtengesetz - LkSG) folgt als logische Konsequenz der Entwicklungen der letzten Jahre. Ziel des Gesetzes ist die Einhaltung und der Schutz der Menschenrechte und bestimmter Umweltstandards durch Vermeidung von Risiken, die im Rahmen der unternehmerischen Tätigkeit entstehen können.

  • Praxishilfe für Mitarbeiter-Policy

    Mit dem Laptop unter Palmen sitzen, den Kunden-Call in den Bergen machen: In vielen Branchen ist im Zuge der Corona-Pandemie flexibles und ortsunabhängiges Arbeiten fernab der Fünftagewoche im Büro selbstverständlich geworden - eine steigende Anzahl an Beschäftigten will dies auch aus dem Ausland tun. Um als Arbeitgeber attraktiv zu bleiben, wollen viele Unternehmen Remote Work ermöglichen - und wünschen sich dabei eine aktive politische Flankierung.

  • Was wird aus dem Beschäftigtendatenschutz?

    Die Ampelkoalition verspricht im Koalitionsvertrag ein Beschäftigtendatenschutzgesetz. Das Gesetz ist aber noch nicht wirklich in Sicht. Was bisher geschah, was nötig ist und welche Probleme dabei behandelt werden müssen - das ist das Thema des aktuellen Hefts der Datenschutz-Nachrichten, der DANA 4/2022.

  • IT-Sicherheitsgesetz, Datenschutz, IT-Grundrecht

    Trend Micro stellt die Neuauflage ihres juristischen Leitfadens vor. Dieser unterstützt Unternehmen bei rechtlichen Themen, die im Kontext der IT-Sicherheit zu beachten sind. Nicht zuletzt durch die Verabschiedung des IT-Sicherheitsgesetz 2.0 haben sich die Anforderungen für Organisationen in Deutschland verändert. Was IT-Verantwortliche beachten sollten, welche Herausforderungen es bei den kritischen Infrastrukturen (KRITIS) gibt und wie die Cloud auch in Sachen IT-Compliance sicher bleibt, sind Kernthemen der siebten Auflage.

  • Cybersicherheit im Gesundheitswesen

    Am 01.01.2022 lief für Betreiber von Krankenhäusern, Praxen und Laboren die zweite Frist für die Umsetzung der im Patientendatenschutz-Gesetz (PDSG) vorgeschriebenen Maßnahmen ab. Dies sorgt für viele Fragen bei Betreiber:innen von Krankenhäusern, Arztpraxen und Laboren. Welche Vorschriften gelten für wen? Wie können sie pragmatisch umgesetzt werden? Welche Sanktionen drohen bei Verstößen? Die Beratungsboutique für Cybersicherheit carmasec hat zu diesem Anlass ein Dossier mit ausführlichen Informationen zu "IT-Sicherheit für Praxen, Labore und Krankenhäuser" zusammengestellt.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen