Gratis
5. März 2018 - Überblick: Datenschutz-Grundverordnung und Datensicherung

DSGVO / GDPR: Was zu einem Backup alles dazugehört

Die Datenschutz-Grundverordnung (DSGVO) fordert, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen rasch wiederherzustellen, wenn es zu einem physischen oder technischen Zwischenfall kommt. Gleichzeitig gilt der Grundsatz der Speicherbegrenzung. Lesen Sie, wie Backup-Konzepte all diese Faktoren berücksichtigen.

Auch unter der DSGVO darf die Datensicherung keine Lücken aufweisen Lücken im Backup-Verfahren können erhebliche Mängel in der Datensicherung verursachen (Bild: iStock.com / cnythzl)

Laut dem Report „IT-Sicherheit 2017“ von eco – Verband der Internetwirtschaft gehören sowohl der Datenschutz als auch die Notfallplanung aus Sicht der Unternehmen zu den wichtigsten Themen der IT-Sicherheit.

Für beide Bereiche spielt die Datensicherung eine zentrale Rolle. Denn ohne regelmäßige und vollständige Backups lässt sich die Forderung der DSGVO, dass personenbezogene Daten verfügbar sein und sich bei Datenverlust rasch wiederherstellen lassen müssen, nicht umsetzen.

Datensicherung bleibt für viele Unternehmen schwierig

Laut einer Umfrage von Kroll Ontrack aus dem Jahr 2017 verlieren Unternehmen und Anwender oft Daten, obwohl sie ein Backup angelegt haben:

  • Bei einem Viertel der Befragten funktionierte das Backup nicht richtig.
  • Von den Nutzern, die einen Datenverlust erlitten hatten und auf ein Backup zurückgreifen konnten, gaben immerhin 67 Prozent an, dass sie nahezu alle Daten wiederherstellen konnten, weitere 13 Prozent bis zu dreiviertel der Daten.
  • Bei zwölf Prozent war das Backup korrumpiert.
  • Knapp drei Prozent konnten nur geringe Daten wiederherstellen.

Eine mögliche Erklärung dafür, dass Verantwortliche trotz Backup Datenverluste verzeichnen, ist dessen System: Sind nicht alle Endgeräte in den Prozess eingebunden, können Daten auf diesem Weg verloren gehen, so die Studie.

Datensicherung und Speicherbegrenzung

Auch wenn Sie die Frage „Machen Sie regelmäßig Backups?“ sicherlich schon sehr oft in Ihrer Unterweisung zum Datenschutz gestellt haben: Die Datensicherung muss ein zentrales Thema bleiben oder wieder werden. Denn die Lücken bei den Backup-Verfahren sind beträchtlich.

Bei Datenverlust ist dann oftmals die Verfügbarkeit der personenbezogenen Daten nicht mehr gewährleistet, eine Wiederherstellbarkeit ist  nicht möglich.

Beim Thema Datensicherung und Verfügbarkeit können und sollten Datenschutzbeauftragte mit der IT-Sicherheit zusammenarbeiten. Denn die Verfügbarkeit gehört neben der Vertraulichkeit und der Integrität zu den 3 klassischen Schutzzielen der IT-Sicherheit.

Doch Vorsicht: Im Gegensatz zur IT-Sicherheit kennt der Datenschutz nach Datenschutz-Grundverordnung auch den Grundsatz der Speicherbegrenzung.

Demnach müssen Verantwortliche  personenbezogene Daten in einer Form speichern, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.

Nachdem der Zweck erfüllt ist und alle anderen rechtlichen Verpflichtungen beachtet sind, müssen die personenbezogenen Daten fristgerecht aus dem Backup gelöscht werden.

Machen Sie deshalb auch die Speicherbegrenzung zum Thema der Datenschutzunterweisung.

Verfahren zur Datensicherung unter die Lupe nehmen

In Backups finden sich also zwei Datenschutz-Probleme wieder:

  • Einerseits befinden sich Daten, die der Verantwortliche löschen muss, weiterhin in der Datensicherung.
  • Andererseits fehlen häufig Daten in den Backups, die aus Gründen der Verfügbarkeit und Wiederherstellbarkeit gesichert werden müssten.

Unvollständige oder ungenaue Vorgaben zum Backup-Verfahren können eine Ursache für Mängel in der Datensicherung sein:

  • Klären Sie, welche Daten aus welchen Datenquellen das Backup umfassen muss, ohne die mobilen Systeme oder die Cloud-Dienste, die im Einsatz sind, zu vergessen.
  • Festgelegt sein muss auch, welche Datenbestände und Systeme wie oft und mit welcher Methode für welche Dauer gesichert werden.
  • Ebenso muss klar sein, wo die Backups aufbewahrt und wie sie geschützt werden.
  • Zur Datensicherung sollte der Verantwortliche eine eigene Policy erstellen.
  • Zudem muss das Notfall-Handbuch Auskunft über die Regelungen zur Datensicherung geben.
  • Nicht zu vergessen: Das Backup-Verfahren selbst muss abgesichert sein. Es sollte also zum Beispiel die Datenübertragung zum Backup-Server verschlüsselt sein.

Backup-Lösung bei Prüfung nicht vergessen

Selbst die beste Richtlinie zur Datensicherung hilft wenig, wenn die Backup-Lösung die gewünschte Datensicherung nicht leisten kann.

Deshalb ist auch das Datensicherungs-Tool selbst genau zu prüfen. Wichtig ist insbesondere, dass

  • die Backup-Funktion automatisierbar ist und im Hintergrund laufen kann,
  • eine Benutzerverwaltung mit Privilegien-System verfügbar ist,
  • das Tool ein Protokoll über die Backups erstellt,
  • die Auswahl der zu sichernden Daten übersichtlich möglich ist,
  • eine Änderung der Dateien, die für das Backup ausgewählt wurden, bestätigt werden muss (Schutz vor versehentlichen, ungewollten Backup-Änderungen),
  • das Tool die Hardware, Betriebssysteme und Anwendungen aller zu sichernden Systeme unterstützt, auch die mobilen und die in der Cloud,
  • es eine Benachrichtigung über Backup-Probleme z.B. via E-Mail oder SMS gibt, und
  • der Backup-Dienst automatisch zum Restart fähig ist, wenn es  zu Problemen kommt.

Download: Checkliste Datensicherung (DSGVO)


Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker, IT-Fachjournalist und IT-Analyst.