Sensible Daten in post-produktiven Systemen

Was passiert in Unternehmen mit den alten Systemen und insbesondere den darin enthaltenen, oft personenbezogenen Daten? Setzen Firmen die Anforderungen gesetzlicher Regularien auch für diese Gerätschaften um? Zahlreiche IT-Experten warnen, dass sogenannte post-produktive Systeme in Hinblick auf die Umsetzung verschiedener regulatorischer Bestimmungen in Unternehmen vergessen oder nachgelagert behandelt werden. Um festzustellen, ob es sich dabei um Einzelfälle handelt oder bei post-produktiven Systemen in Unternehmen aus der DACH-Region generell Handlungsbedarf besteht, befragte die KPMG in Kooperation mit dem Co-Autor dieses Beitrags, Prof. Dr. Jens Böcker von Böcker Ziemen, im Frühjahr 2020 insgesamt 159 Unternehmen [1].

Umgang mit post-produktiven IT-Systemen

Unter den Begriff der nicht (mehr) produktiven beziehungsweise post-produktiven IT fallen Entwicklungs-, Test- oder Produktions- sowie Backup- und Archivierungssysteme, die nicht (mehr) im Wertschöpfungsprozess beziehungsweise Alltagsgeschäft zum Einsatz kommen. Folglich handelt es sich bei Daten aus solchen IT-Geräten um Altdaten, die noch im Unternehmen vorhanden sind, aber nicht mehr in den täglichen Geschäftsprozessen Verwendung finden.

Im Umgang mit post-produktiven Systemen wenden Unternehmen unterschiedliche Verfahrensweisen an. Unter anderem scheint der Weiterbetrieb der Altsysteme für zahlreiche Unternehmen bislang eine tragfähige und komfortable Option, die die Einhaltung der Aufbewahrungspflichten gewährleistet. Jedoch ist dies aus vielerlei Gesichtspunkten ein Trugschluss, denn der Weiterbetrieb von Altsystemen kann sowohl aus monetärer als auch regulatorischer Sicht riskant sein. Einerseits entstehen hohe Kosten: Ein typisches Unternehmen wendet rund 50 Prozent seines IT-Budgets für den Betrieb von Legacy-Systemen auf. Zum anderen ist die Einhaltung aller regulatorischen Anforderungen nicht immer

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.