Die schlimmsten Backup-Irrtümer II

Irrtum 2: Backup ist freiwillig

Betriebe, die ohne Backup-Konzepte agieren, leben gefährlich. Sie machen sich per se damit zwar nicht strafbar, weil die Datensicherungsspiegelung im deutschen Strafgesetzbuch nicht verankert ist. Daraus jedoch die Schlussfolgerung abzuleiten, dass ein Backup freiwillig sei und mit Compliance nichts zu tun habe, wäre fatal. Ein Unternehmen, das geschäftskritische Daten verliert, hat in der Regel schlechte Prognosen. Diesem Risiko sollte es sich daher nicht fahrlässig aussetzen.

Zum Schutz von Kreditgebern und Investoren gibt es mittlerweile auch Richtlinien, die Unternehmen In puncto einer Implementierung von Backup-Funktionen in die Pflicht nehmen. Basel II legt eine verantwortungsvolle Informationstechnologie als Bonitätskriterium für ein Unternehmen fest. Darüber hinaus hat das Oberlandesgericht Hamm schon 2003 geurteilt, dass die Datensicherung eine Selbstverständlichkeit ist.

Prozesse zur Sicherung und Wiederherstellung von IT-Systemen sind somit keine freiwillige Leistung mehr. Und im Fall des Falles kann ein Datenverlust aufgrund fehlender Backup-Prozesse unangenehme Folgen für ein Unternehmen haben: Sie reichen von höheren Zinsen für Kredite über die Haftung im Schadensfall bis hin zu Regressansprüchen.

Irrtum 3: Backup für persönliche Rechner ist verboten

Jede Firma darf auch lokale Festplatten der Mitarbeiter-PCs und so genannte persönliche Laufwerke in die Datensicherung einbinden, wenn dort für den Arbeitgeber relevante Geschäftsdateien gespeichert werden. Wenn es sich um steuerlich relevante Dokumente handelt, ist es sogar die Pflicht des Unternehmens, auch die persönlichen Datenträger per Backup zu erfassen. Bereits seit 2002 haben die Finanzbehörden das Recht, auch auf lokale Festplatten zuzugreifen.

Von diesen Regelungen sind jedoch Ordner ausgenommen, die deutlich als "privat" gekennzeichnet sind. Betriebe sollten also eine Richtlinie einführen, dass persönliche Dateien und Dokumente nur in einem entsprechend deutlich gekennzeichneten Verzeichnis gespeichert werden. Dieses wird dann per Konfiguration von den Backup-Prozessen ausgenommen oder so gesichert, dass nur der Urheber auf die Daten zugreifen kann.

Doch selbst wenn private Ordner ausgenommen sind, schließt ein umfassendes Backup immer die Speicherung personenbezogener Daten ein, beispielsweise aus der Personalabteilung. Daher müssen weitere Vorschriften des Bundesdatenschutzgesetzes (BDSG) beachtet werden. Demnach sind Unternehmen verpflichtet, personenbezogene Daten zu löschen, wenn sie für den weiteren Geschäftsbetrieb nicht länger benötigt werden.

Des Weiteren muss der Zugriff von unbefugter Seite unterbunden werden. Werden die Daten als zusätzliche Sicherung beispielsweise einem Dienstleister übergeben, gilt dies aus juristischer Sicht als Datenverarbeitung im Auftrag, selbst wenn mit den Daten nichts passiert und niemand Zugriff darauf hat. Der Auftraggeber muss somit, neben Ausschöpfung aller technischen Möglichkeiten, durch vertragliche Regeln und Kontrollen die Einhaltung der Datenschutzauflagen sicherstellen.

Irrtum 4: Gelöscht ist nicht gelöscht

Das Backup speichert Systemzustände und damit Daten grundsätzlich nur für kurze Zeit. Je nach Backup-Konzept handelt es sich meist um einen Tag oder wenige Wochen, das ist jedem Geschäftsführer beziehungsweise verantwortlichem Unternehmer selbst überlassen. Die Faustregel beim Backup lautet: Was auf dem Quellsystem gelöscht wird, wird zeitnah auch im Backup gelöscht. Ausnahmen können bei Backup-Software und Backup-Appliances jedoch recht leicht konfiguriert werden. Dann dient die Backup-Infrastruktur gleichzeitig der Archivierung.

Neben Daten der Finanzbuchhaltung halten Unternehmen oft auch solche aus der Produktentwicklung sowie aus Kundendatenbanken länger vor. Sie wollen so auch für den Fall gewappnet sein, dass ein Datenverlust erst spät erkannt wird und die Daten, zum Beispiel während der Gewährleistungsfrist, noch von Unternehmen benötigt werden.