Datensicherung Recht und Regeln beim Backup

Redakteur: Gabriele Ilg

Was muss man tun, um seine Daten gemäß aller in Deutschland geltenden Gesetze und Richtlinien zu sichern? Von staatlicher Seite gibt es vor allem Vorgaben im eigenen Interesse; nämlich für die Archivierung steuerlich relevanter Daten und Dokumente. Nicht gesetzlich vorgeschrieben ist dagegen ein Backup zur Wiederherstellung anderer Daten.

Firmen zum Thema

(Bild: Barracuda)
(Bild: Barracuda)

Dennoch kann man nicht einfach darauf verzichten: Kreditgeber und Investoren wissen, dass Unternehmen, die ihre Daten durch Fehler, Unfälle oder Katastrophen verlieren, existenziell bedroht sind. Die entsprechenden Richtlinien sind als gängige Geschäftspraktiken auch juristisch relevant. Darüber hinaus gibt der Datenschutz Regeln vor, für deren Einhaltung die Geschäftsführung eines Unternehmens persönlich haftet. Dr. Wieland Alge, General Manager EMEA von Barracuda Networks und Dr. Alexander Bayer, auf IT-Recht spezialisierter Rechtsanwalt der Kanzlei Wragge & Co. räumen mit den gängigsten Irrtümern beim Thema Compliance und Backup auf und erläutern die wichtigsten Leitlinien.

Erster Mythos: Backup und Archivierung sind das Gleiche

Backup und Archivierung dienen unterschiedlichen Zwecken: Backup beugt dem Datenverlust vor, sorgt im Ernstfall für schnelle Wiederherstellung eines Zustands von Daten und Applikationen zu einem definierten Zeitpunkt und dient somit der Geschäftskontinuität. Archivierung dagegen dient der langfristigen Speicherung von relevanten Geschäftsdokumenten. Sie erfolgt in erster Linie, um dem Zugriffsrecht von Steuerbehörden und anderen staatlichen Stellen zu entsprechen - aber auch, um gegebenenfalls ganz bestimmte Daten wiederherzustellen, die am ursprünglichen Speicherort bereits gelöscht sind. Technisch bedeutet dies, dass Unternehmen bei der Archivierung alle dafür konfigurierten Dokumente und Daten auf lange Zeit, vollständig, untersuchbar und manipulationssicher speichern. Die Archivierung konzentriert sich meist auf ein System zur E-Mail-Archivierung.

Neuere Backup-Appliances lassen sich so konfigurieren, dass sie geschäftskritische Daten dauerhaft archivieren, was für Jahresabschlüsse und andere Dokumente und Daten der Buchführung gesetzlich vorgeschrieben ist. Das heißt, technisch verschmelzen Backup und Archivierung an bestimmten Punkten. Die Kernfunktion von Backup-Tools ist es jedoch, aktuelle Kopien von Systemzuständen anzulegen. Zugespitzt und vereinfacht gesagt, dient Archivierung der Compliance und Backup dem gesunden Eigeninteresse von Unternehmen. Dass sich dies nicht ganz trennen lässt, verrät dernächste Abschnitt.

Zweiter Mythos: Backup ist freiwillig

Wer ohne Backup-Konzepte lebt, lebt aufregend. Er macht sich nicht von vornherein strafbar: Im deutschen Strafgesetzbuch ist die Datensicherungsspiegelung nicht verankert. Die Aussage, Backup sei freiwillig und habe mit Compliance gar nichts zu tun, ginge wiederum zu weit. Ein Unternehmen, das geschäftskritische Daten verliert, hat in der Regel geringe Überlebenschancen. Diesem Risiko sollte es sich daher nicht fahrlässig aussetzen. Zum Schutz von Kreditgebern und Investoren gibt es Richtlinien, die Wert darauf legen, dass Unternehmen eine Backup-Funktion implementiert haben. Basel II legt eine verantwortungsvolle Informationstechnologie implizit als Kriterium für die Bonität eines Unternehmens fest. Und das Oberlandesgericht Hamm hat schon im Jahr 2003 festgestellt, dass Datensicherung eine Selbstverständlichkeit sei. Prozesse zur Sicherung und Wiederherstellung von IT-Systemen sind somit keine freiwillige Leistung mehr. Im Fall des Falles kann ein Datenverlust aufgrund fehlender Backup-Prozesse unangenehme Folgen für ein Unternehmen haben – sie reichen von höheren Zinsen für Kredite über Haftung im Schadensfall bis hin zu Regressansprüchen.

Dritter Mythos: Lokale Festplatten von Mitarbeitern müssen vom Backup ausgenommen werden

Jede Firma hat das Recht, auch lokale Festplatten der Mitarbeiter-PCs und so genannte persönliche Laufwerke in die Datensicherung einzubinden, wenn dort für den Arbeitgeber relevante Geschäftsdateien gespeichert werden. Wenn es sich um steuerlich relevante Dokumente handelt, ist es sogar Pflicht, auch die persönlichen Datenträger per Backup zu erfassen.

Bereits seit 2002 haben die Finanzbehörden das Recht, auch auf lokale Festplatten zuzugreifen. Von diesen Regelungen sind jedoch Ordner ausgenommen, die deutlich als "Privat" gekennzeichnet sind. Unternehmen sollten also eine Richtlinie einführen, dass persönliche Dateien und Dokumente nur in einem entsprechend deutlich gekennzeichneten Verzeichnis gespeichert werden. Dieses wird dann per Konfiguration von den Backup-Prozessen ausgenommen oder so gespeichert, dass nur der Urheber auf die Daten zugreifenkann.

Doch selbst wenn private Ordner ausgenommen sind, schließt ein umfassendes Backup immer die Speicherung personenbezogener Daten mit ein, beispielsweise aus der Personalabteilung. Daher müssen weitere Vorschriften des Bundesdatenschutzgesetzes (BDSG) beachtet werden.

Demnach sind Unternehmen dazu verpflichtet, personenbezogene Daten zu löschen, wenn sie für den weiteren Geschäftsbetrieb nicht länger benötigt werden. Desweiteren muss der Zugriff von unbefugter Seite unterbunden werden.

Werden die Daten als zusätzliche Sicherung beispielsweise einem Dienstleister übergeben, so ist dies aus juristischer Sicht Datenverarbeitung im Auftrag selbst wenn mit den Daten nichts passiert und niemand Zugriff darauf hat. Der Auftraggeber muss somit, neben Ausschöpfung der technischen Möglichkeiten, mittels vertraglichen Regeln und Kontrollen die Einhaltung der Datenschutzregeln sicherstellen.

Vierter Mythos: Gelöscht ist nicht gelöscht

Das Backup speichert Systemzustände – und damit Daten – grundsätzlich nur für kurze Zeit. Je nach Backup-Konzept handelt es sich meist um einen Tag oder wenige Wochen, das ist jedem Geschäftsführer und verantwortlichem Unternehmer selbst überlassen. Die Daumenregel beim Backup lautet: Was auf dem Quellsystem gelöscht wird, wird zeitnah auch im Backup gelöscht. Ausnahmen können bei Backup-Software und Backup-Appliances jedoch recht leicht konfiguriert werden. Dann dient die Backup-Infrastruktur gleichzeitig der Archivierung. Neben Daten aus der Finanzbuchhaltung halten Unternehmen oft solche aus der Produktentwicklung sowie die Kunden-Datenbanken länger vor, um auch gegen Situationen gewappnet zu sein, in denen ein Datenverlust spät erkannt wird, und die Daten, z.B. während der Gewährleistungsfrist, noch von Unternehmen benötigt werden.

Fünfter Mythos: Backup, das sind Tapes

Würden Gesetze und sonstige Regelungen enge technische Vorgaben geben, würden sie in unseren Tagen schnell veralten. Backup-Tapes waren über Jahre das Standard-Medium für das Backup. Derzeit werden sie abgelöst durch Speicherung auf Festplatten in dedizierten Appliances, ergänzt durch zusätzliche Spiegelungen in der Cloud. Ein wichtiger technischer Vorteil ist das kürzere Backup-Fenster, weil die Appliance nach dem ersten Voll-Backup nur noch das „Delta“, den Unterschied zum vorangegangen Stadium, speichert. Der wichtigste Vorteil der Kombination aus Appliance und Cloud aus Compliance-Sicht besteht jedoch darin, dass jedes Backup-Image täglich, oder auch öfter, automatisch an entfernte Standorte gesendet werden kann. Eine so häufige Sicherung für den Katastrophenfall hätte in der Zeit der Backup-Bänder eine ausgefeilte und teure Logistik-Kette erfordert. Das heißt, obwohl das einzelne Tape im Vergleich zur einzelnen Festplatte als da robustere Speichermedium gilt, ist die Wiederherstellungsfähigkeit und Geschäftskontinuität unter verschiedenen Katastrophen-Szenarien heute besser mit der Lösung Appliance/Cloud zu gewährleisten.

Sechster Mythos: Das Backup darf nicht in die Cloud

Es kommt auf die Art der Daten an, um zu bestimmen, wo sie gespeichert werden dürfen. Grundsätzlich ist gegen die preislich attraktive Speicherung von Backup in der Cloud nichts einzuwenden. Sind personenbezogene Daten Teil des Backups, so ist vorgeschrieben, dass der Cloud-Betreiber die Daten innerhalb der EU lagert. Die Einhaltung deutscher Gesetze und EU-Datenschutzrichtlinien muss zusätzlich vertraglich zwischen Auftraggeber und Auftragnehmer geregelt werden. Der Zugriff von nicht befugten Personen auf die Daten muss über Verschlüsselungen oder Zugriffssperren verhindert werden. Dazu gehört beispielsweise die technische Anforderung, dass Auditoren und Administratoren ihre Aufgaben erledigen können, ohne dabei gleichzeitig Zugriff auf die gespeicherten Daten zu haben.

Großunternehmen, die ohnehin eine Private Cloud betreiben, können auch diese eigenen Ressourcen für ihr Backup nutzen. Eine dritte Möglichkeit ist es, aus einem Verbund von Appliances an verschiedenen Standorten eine in sich geschlossene Backup-Cloud aufzubauen. In jedem Fall gilt:

Höchste Performance bei der Datenwiederherstellung bietet ein Backup in einer Appliance vor Ort, eine optimale Disaster Recovery bieten zwei räumlich getrennte Kopien.

Siebter Mythos: Durch Backup-Outsourcing ist man die Haftung los

Wer einen Dienstleister mit dem Backup beauftragt, ist viele Sorgen los. Aber nicht alle. Anbieter mit einem Gesamtpaket aus Software, Hardware und Services, sichern die Daten nicht nur, sondern prüfen auch die Vollständigkeit und Integrität der Daten. Auch auf rechtlicher Seite lässt sich viel an einen Dritten auslagern. Doch in welchem Umfang ein Dienstleister haftet, wenn einmal durch ein mangelhaftes Backup ein Schaden entsteht, muss im Vertrag genau geregelt werden. Denn die übergeordnete Haftung liegt nach wie vor beim Geschäftsführer. Er steht in der Verantwortung, den Vertrag mit Dienstleistern so auszugestalten, dass die Daten revisions- und zugriffssicher verwahrt werden und er bei Inanspruchnahme, etwa für Verstöße gegen Datenschutzgesetz durch Handlungen des Dienstleisters, vom Dienstleister entsprechend freigestellt wird.

(ID:30511090)