Was muss ein Unternehmen in Deutschland tun, um seine Daten gesetzes- und richtlinienkonform zu sichern? Auf diese Frage gibt es einige Antworten. Der Staat macht vor allem aus Eigeninteresse Vorgaben, nämlich für die Archivierung steuerlich relevanter Daten und Dokumente. Ein Backup zur Wiederherstellung anderer Daten ist hingegen per Gesetz nicht vorgeschrieben. Doch Kreditgeber und Investoren wissen, dass Unternehmen, die ihre IT-Ressourcen durch technische Fehler, Unfälle oder Katastrophen verlieren, in ihrer Existenz bedroht sind.
Die entsprechenden Richtlinien sind als gängige Geschäftspraktiken auch juristisch relevant. Darüber hinaus gibt der Datenschutz Regeln vor, für deren Einhaltung die Geschäftsführung eines Unternehmens persönlich haftbar gemacht werden kann. Dieser Beitrag räumt mit den gängigsten Irrtümern in Sachen Compliance und Backup auf und erläutert die wichtigsten Leitlinien.
Irrtum 1: Backup und Archivierung sind das Gleiche
Backup und Archivierung dienen unterschiedlichen Zwecken: Ein Backup beugt dem Datenverlust vor, sorgt im Ernstfall für die schnelle Wiederherstellung eines Zustands von Daten und Applikationen zu einem definierten Zeitpunkt. Das Backup dient somit der Geschäftskontinuität. Die Archivierung stellt dagegen eine langfristige Speicherung von relevanten Geschäftsdokumenten sicher.
Damit entsprechen Unternehmen in erster Linie dem Zugriffsrecht von Steuerbehörden und anderen staatlichen Stellen, können gegebenenfalls aber auch ganz bestimmte Daten wiederherstellen, die am ursprünglichen Speicherort bereits gelöscht wurden. Technisch bedeutet dies, dass Firmen im Zuge der Archivierung alle dafür konfigurierten Dokumente und Daten auf lange Zeit, vollständig, kontrollierbar und manipulationssicher speichern.
Die Archivierung konzentriert sich meist auf ein System zur E-Mail-Archivierung. Neuere Backup-Appliances lassen sich so konfigurieren, dass sie geschäftskritische Daten dauerhaft archivieren, was für Jahresabschlüsse sowie andere Dokumente und Daten der Buchführung gesetzlich vorgeschrieben ist. Das heißt, technisch verschmelzen Backup und Archivierung an bestimmten Punkten. Die Kernfunktion von Backup-Tools ist es jedoch, aktuelle Kopien von Systemzuständen anzulegen. Zugespitzt und vereinfacht gesagt, dient die Archivierung der Compliance und das Backup dem gesunden Eigeninteresse von Unternehmen.
Die schlimmsten Backup-Irrtümer II
Irrtum 2: Backup ist freiwillig
Betriebe, die ohne Backup-Konzepte agieren, leben gefährlich. Sie machen sich per se damit zwar nicht strafbar, weil die Datensicherungsspiegelung im deutschen Strafgesetzbuch nicht verankert ist. Daraus jedoch die Schlussfolgerung abzuleiten, dass ein Backup freiwillig sei und mit Compliance nichts zu tun habe, wäre fatal. Ein Unternehmen, das geschäftskritische Daten verliert, hat in der Regel schlechte Prognosen. Diesem Risiko sollte es sich daher nicht fahrlässig aussetzen.
Zum Schutz von Kreditgebern und Investoren gibt es mittlerweile auch Richtlinien, die Unternehmen In puncto einer Implementierung von Backup-Funktionen in die Pflicht nehmen. Basel II legt eine verantwortungsvolle Informationstechnologie als Bonitätskriterium für ein Unternehmen fest. Darüber hinaus hat das Oberlandesgericht Hamm schon 2003 geurteilt, dass die Datensicherung eine Selbstverständlichkeit ist.
Prozesse zur Sicherung und Wiederherstellung von IT-Systemen sind somit keine freiwillige Leistung mehr. Und im Fall des Falles kann ein Datenverlust aufgrund fehlender Backup-Prozesse unangenehme Folgen für ein Unternehmen haben: Sie reichen von höheren Zinsen für Kredite über die Haftung im Schadensfall bis hin zu Regressansprüchen.
Irrtum 3: Backup für persönliche Rechner ist verboten
Jede Firma darf auch lokale Festplatten der Mitarbeiter-PCs und so genannte persönliche Laufwerke in die Datensicherung einbinden, wenn dort für den Arbeitgeber relevante Geschäftsdateien gespeichert werden. Wenn es sich um steuerlich relevante Dokumente handelt, ist es sogar die Pflicht des Unternehmens, auch die persönlichen Datenträger per Backup zu erfassen. Bereits seit 2002 haben die Finanzbehörden das Recht, auch auf lokale Festplatten zuzugreifen.
Von diesen Regelungen sind jedoch Ordner ausgenommen, die deutlich als "privat" gekennzeichnet sind. Betriebe sollten also eine Richtlinie einführen, dass persönliche Dateien und Dokumente nur in einem entsprechend deutlich gekennzeichneten Verzeichnis gespeichert werden. Dieses wird dann per Konfiguration von den Backup-Prozessen ausgenommen oder so gesichert, dass nur der Urheber auf die Daten zugreifen kann.
Doch selbst wenn private Ordner ausgenommen sind, schließt ein umfassendes Backup immer die Speicherung personenbezogener Daten ein, beispielsweise aus der Personalabteilung. Daher müssen weitere Vorschriften des Bundesdatenschutzgesetzes (BDSG) beachtet werden. Demnach sind Unternehmen verpflichtet, personenbezogene Daten zu löschen, wenn sie für den weiteren Geschäftsbetrieb nicht länger benötigt werden.
Des Weiteren muss der Zugriff von unbefugter Seite unterbunden werden. Werden die Daten als zusätzliche Sicherung beispielsweise einem Dienstleister übergeben, gilt dies aus juristischer Sicht als Datenverarbeitung im Auftrag, selbst wenn mit den Daten nichts passiert und niemand Zugriff darauf hat. Der Auftraggeber muss somit, neben Ausschöpfung aller technischen Möglichkeiten, durch vertragliche Regeln und Kontrollen die Einhaltung der Datenschutzauflagen sicherstellen.
Irrtum 4: Gelöscht ist nicht gelöscht
Das Backup speichert Systemzustände und damit Daten grundsätzlich nur für kurze Zeit. Je nach Backup-Konzept handelt es sich meist um einen Tag oder wenige Wochen, das ist jedem Geschäftsführer beziehungsweise verantwortlichem Unternehmer selbst überlassen. Die Faustregel beim Backup lautet: Was auf dem Quellsystem gelöscht wird, wird zeitnah auch im Backup gelöscht. Ausnahmen können bei Backup-Software und Backup-Appliances jedoch recht leicht konfiguriert werden. Dann dient die Backup-Infrastruktur gleichzeitig der Archivierung.
Neben Daten der Finanzbuchhaltung halten Unternehmen oft auch solche aus der Produktentwicklung sowie aus Kundendatenbanken länger vor. Sie wollen so auch für den Fall gewappnet sein, dass ein Datenverlust erst spät erkannt wird und die Daten, zum Beispiel während der Gewährleistungsfrist, noch von Unternehmen benötigt werden.
Die schlimmsten Backup-Irrtümer III
Irrtum 5: Backup geht nur mit Tapes
Würden Gesetze und sonstige Regelungen enge technische Vorgaben machen, würden sie in unseren Tagen schnell veralten. Backup-Tapes waren über Jahre das Standardmedium für Backups. Derzeit werden sie im Rahmen verschiedener Backup-Lösungen häufig durch eine Speicherung auf Festplatten in dedizierten Appliances abgelöst, ergänzt durch zusätzliche Spiegelungen in der Cloud. Ein wesentlicher technischer Vorteil ist die kürzere Backup-Zeit, weil die Appliance nach dem ersten Voll-Backup nur noch das "Delta", also den Unterschied zum vorangegangen Stadium, speichert.
Der wichtigste Vorteil einer Kombination aus Appliance und Cloud unter Compliance-Aspekten besteht jedoch darin, dass jedes Backup-Image täglich oder auch öfter automatisch an entfernte Standorte gesendet werden kann. Eine so häufige Sicherung zur Vorbeugung für den Katastrophenfall hätte in der Zeit der Backup-Tapes eine ausgefeilte und teure Logistikkette erfordert. Obwohl das einzelne Tape im Vergleich zur einzelnen Festplatte als das robustere Speichermedium gilt, ist also die Wiederherstellungsfähigkeit und Geschäftskontinuität in verschiedenen Katastrophenszenarien heute besser mit der Kombinationslösung aus Appliance und Cloud zu gewährleisten.
Irrtum 6: Das Backup darf nicht in die Cloud
Es kommt auf die Art der Daten an, um zu bestimmen, wo sie gespeichert werden dürfen. Grundsätzlich ist gegen die preislich attraktive Backup-Speicherung in der Cloud nichts einzuwenden. Allerdings ist bei einer Speicherung personenbezogener Backup-Daten vorgeschrieben, dass der Cloud-Betreiber die Informationen innerhalb der EU lagert.
Die Einhaltung deutscher Gesetze und EU-Datenschutzrichtlinien muss zusätzlich vertraglich zwischen Auftraggeber und Auftragnehmer geregelt werden. Der Zugriff von nicht befugten Personen auf die Daten muss über Verschlüsselungen oder Zugriffssperren verhindert werden. Dazu gehört beispielsweise die technische Anforderung, dass Auditoren und Administratoren ihre Aufgaben erledigen können, ohne dabei gleichzeitig Zugriff auf die gespeicherten Daten zu haben.
Großunternehmen, die ohnehin eine Private Cloud betreiben, können auch diese eigenen Ressourcen für ihr Backup nutzen. Eine dritte Möglichkeit ist, aus einem Verbund von Appliances an verschiedenen Standorten eine in sich geschlossene Backup-Cloud aufzubauen. In jedem Fall gilt: Höchste Performance bei der Datenwiederherstellung bietet ein Backup in einer Appliance vor Ort, eine optimale Disaster Recovery gewährleisten zwei räumlich getrennte Kopien.
Irrtum 7: Backup-Outsourcing entbindet von der Haftung
Wer einen Dienstleister mit dem Backup beauftragt, ist viele Sorgen los. Aber nicht alle. Anbieter mit einem Gesamtpaket aus Software, Hardware und Services sichern die Daten nicht nur, sondern prüfen auch ihre Vollständigkeit und Integrität. Auch in rechtlichen Belangen lässt sich viel an einen Dritten auslagern. Doch in welchem Umfang ein Dienstleister haftet, wenn durch ein mangelhaftes Backup ein Schaden entsteht, muss im Vertrag genau geregelt werden.
Denn die übergeordnete Haftung liegt nach wie vor beim Geschäftsführer des Auftraggebers. Er steht in der Verantwortung, den Vertrag mit Dienstleistern so auszugestalten, dass die Daten manipulations- und zugriffssicher verwahrt werden. Oft werden hier wie auch in anderen Fällen grobe IT-Fehler gemacht. Der Auftraggeber sollte sich auch für den Fall absichern, dass er für Fehler des Dienstleisters, wie etwa Verstöße gegen das Datenschutzgesetz, rechtlich in Anspruch genommen wird. Die Folgen solcher Fehler sollte der Dienstleister tragen müssen. (pg)