Thought Leadership
Auch kleine und mittlere Unternehmen müssen sich verstärkt mit den wachsenden rechtlichen Rahmenbedingungen der Datensicherung auseinandersetzen. Dabei kommt es besonders auf die Auswahl der passenden Backup-Lösung an.
Thomas Kasper (Foto), Executive Director D-A-CH beim Spezialisten für Hybrid-Backup und Recovery, Carbonite Germany, sprach darüber mit Ulrich Parthier, Herausgeber it management.
Die Datensicherung zählt zu den fundamentalen Aufgaben jeder IT-Abteilung. Wer trägt letztlich die Verantwortung für die Einhaltung des rechtlichen Rahmens?
Thomas Kasper: Die Verantwortung für die Einhaltung von gesetzlichen Bestimmungen und internen Richtlinien liegt letztlich bei der Gesch.ftsführung eines Unternehmens.
Hierzu gehört auch die rechtssichere Umsetzung des Backups. Ein Unternehmen muss jederzeit plausibel darlegen können, dass es Daten durch eine definierte Backup-Strategie sichert und diese im Verlustfall zeitnah wiederherstellen kann. Ist dies nicht der Fall, können Verantwortliche, wie zum Beispiel der Administrator, wenn er grob fahrlässig handelt, gegebenenfalls in persönliche Haftung genommen werden. Im Falle erheblicher Pflichtverstöße kann sogar der Versicherungsschutz des Unternehmens und der Mitglieder des Managements gefährdet sein.
„Geschäftskritische Daten sollten dreimal existieren und auf zwei verschiedenen Medien gespeichert werden. Ein weiterer Sicherungssatz sollte dabei immer Offsite, also außerhalb des eigenen Unternehmens vorgehalten werden.“
Welche Unternehmensdaten sollten bei der Planung einer rechtssicheren Backup-Strategie unbedingt berücksichtigt werden?
Thomas Kasper: Grundsätzlich sind alle Daten und Dokumente zu sichern, die gesetzlichen Aufbewahrungspflichten unterliegen oder als Beweismittel in einem Zivilprozess dienen könnten. Beispiele hierfür sind Rechnungen und Lieferscheine als Nachweis einer abgeschlossenen Transaktion. Aber auch andere Unterlagen sind zu sichern. Bestimmte Berufsgruppen wie Ärzte, Rechtsanwälte oder Wirtschaftsprüfer müssen beispielsweise die ordnungsgemäße Beratung ihrer Patienten und Klienten dokumentieren. So regelt etwa § 10 Abs. 3 der Muster-Berufsordnung für die in Deutschland tätigen Ärztinnen und Ärzte, dass ärztliche Aufzeichnungen zehn Jahre lang aufzubewahren sind. All diese Dokumente müssen gesichert und revisionssicher archiviert werden. Lässt sich ein Dokument nachträglich verändern, kann die Beweiskraft der Daten eingeschränkt sein. In diesem Fall würde die Sicherung also nicht den geforderten Kriterien genügen.
Wie sieht es bei steuerrelevanten Daten aus, sind hier spezielle Regelungen zu beachten?
Thomas Kasper: Alle Dokumente, die sich mit dem Thema Steuern in Verbindung bringen lassen, unterliegen den „Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff “ oder in Kurzform den GoBD. Es handelt sich hierbei um eine für Behörden verbindliche Verwaltungsanweisung des Bundesfinanzministeriums, die die Anforderungen der Finanzverwaltung an eine IT-gestützte Buchführung darstellt. Sie hat damit faktisch enorme Auswirkungen auf die Wirtschaft. Die GoBD gelten seit dem 1. Januar 2015. Abgelöst wurden dadurch die GDPdU, die bereits am 1. Januar 2002 in Kraft traten. Damit wurden seinerzeit Rechtsnormen aus der Abgabenordnung und dem Umsatzsteuergesetz zur digitalen Aufbewahrung von Buchhaltungen, Buchungsbelegen und Rechnungen konkretisiert. Die „Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme“ oder GoBS wurden ebenfalls durch die GoBD abgelöst.
Gibt es besondere Anforderungen im Hinblick auf den Datenschutz und den Umgang mit personenbezogenen Daten?
Thomas Kasper: Da Datensicherungssysteme neben der Absicherung des Geschäfts gleichzeitig den Bedürfnissen des Datenschutzes genügen müssen, stehen Unternehmen auch vor der Aufgabe, geeignete Maßnahmen zu ergreifen, die unternehmenskritische und personenbezogene Daten vor Verlust und ungewollter Offenlegung schützen. Laut Bundesdatenschutzgesetz verantworten die Unternehmen selbst dabei die Sicherheit personenbezogener Daten, etwa von Mitarbeitern und Kunden. Dabei spielt der Stand der Technik eine entscheidende Rolle. Auf der technischen Seite sind Backup- und Disaster- Recovery-Lösungen in der Praxis häufig tragende Säulen der Risikovermeidung. Und die Risiken sind hier nicht unerheblich, da der Verlust von besonders sensiblen Informationen, wie etwa Gesundheitsdaten, laut BDSG sogar meldepflichtig sein kann und Verstöße mit einem Bußgeld von bis zu 300.000 Euro geahndet werden können.
Bild: Hybrid Backup & Recovery mit Carbonite Server Backup – Datensicherung sowohl auf lokalen Medien als auch im standardmäßig verschlüsselten Onlne-Speicher einers deutschen Rechenzentrums.
Das Thema Datensicherung wird für deutsche Unternehmen zunehmend komplexer. Gibt es gewisse Leitlinien, die als erste Orientierung dienen können?
Thomas Kasper: Eine rechtskonforme Backup-Strategie sollte immer die Datensicherheit mit größtmöglicher Verfügbarkeit und Produktivität verbinden und natürlich die besonderen Schutzanforderungen von Daten mit Personenbezug berücksichtigen. Eine erste Orientierung bei der Umsetzung einer Backupstrategie liefert hier unter anderem die „3-2-1-Regel“. Geschäftskritische Daten sollten also dreimal existieren und auf zwei verschiedenen Medien gespeichert werden. Ein weiterer Sicherungssatz sollte dabei immer Offsite, also außerhalb des eigenen Unternehmens vorgehalten werden, beispielsweise in einem externen Rechenzentrum.
Warum wird gerade der Aspekt der externen Datensicherung immer wichtiger?
Thomas Kasper: Weil das Risikopotenzial von Jahr zu Jahr zunimmt. Gerade für kleine und mittlere Unternehmen empfiehlt es sich zusätzlich zur lokalen Sicherung auch eine Online-Speicherung geschäftskritischer Daten durchzuführen. Da die Infrastruktur in kleineren Unternehmen oftmals nicht über ausreichende physikalische und IT-spezifische Schutzmaßnahmen verfügt, stellen Gefahren wie Brand, Diebstahl oder Vandalismus, aber auch Virenbefall und Cyberkriminalität ein hohes Risiko für den eigenen Datenbestand dar. Das ist auch der Ansatz von Carbonite. Wir verbinden die lokale Sicherung mit einer zusätzlichen Archivierung in einem hochsicheren deutschen Rechenzentrum.
Die Datensicherung in der Cloud bietet unstrittige Vorteile, aber birgt auch Risiken. Was sollten Unternehmen hier unbedingt beachten?
Thomas Kasper: Da VPN- oder WAN-Verbindungen für kleinere Unternehmen meist zu kostspielig sind, werden die Daten natürlich via Internet an das Rechenzentrum übertragen. Der Austausch von Daten zwischen Client und Rechenzentrum sollte daher nur über eine verschlüsselte Verbindung erfolgen. Zum Schutz der Online-Sicherungssätze empfiehlt sich eine Vorverschlüsselung auf Dateisystemebene. Wir bieten unseren Kunden zusätzlich zur SSL-Verschlüsselung auf Verbindungsebene eine 256-Bit AES-Verschlüsselung nach dem Private-Key-Verfahren. Deutsche Unternehmen, die ihre Daten langfristig und rechtskonform im Cloud- Speicher archivieren möchten, sollten darauf achten, dass das Rechenzentrum des gewählten Anbieters in Deutschland steht und die Daten ausschließlich dort verbleiben und nach deutschen Datenschutzvorgaben archiviert werden.
Herr Kasper, wir danken für dieses interessante Gespräch.
