Vorgaben beim Backup von virtuellen Umgebungen

Einschlägige Backup-Richtlinien sind als gängige Geschäftspraktiken juristisch relevant. Zudem gibt der Datenschutz Regeln vor, für deren Einhaltung die Geschäftsführung persönlich haftet. Dabei ist es unerheblich, ob die IT-Architektur mit virtuellen Umgebungen oder auch auf der Basis des Cloud Computing betrieben wird.

Bei den technischen Aspekten zum Backup virtueller Systeme konkurrieren verschiedene Ansätze um die beste Abdeckung der Anforderungen. Doch wichtig sind im Umfeld »Sicherung, Archivierung und Wiederherstellung« vor allem die gesetzlichen Vorgaben. Hier stehen speziell die steuerlich relevanten Dokumente im Mittelpunkt des Interesses. Eine konkrete und explizite, rechtliche Vorschrift für das Anfertigen von Sicherungen gibt es allerdings nicht. Doch darauf sollte kein verantwortungsbewusster IT-Leiter in einem Unternehmen verzichten.

Wer jedoch glaubt, dass ein Backup lediglich freiwillig sei und mit Compliance-Vorgaben gar nichts zu tun habe, der geht allerdings zu weit. Denn einschlägige Untersuchungen von verschiedenen Marktforschern belegen: Verliert ein Unternehmen geschäftskritische Daten, dann reduzieren sich seine Überlebenschancen auf dem Markt sehr stark. Daher sollte man dieses Risiko nicht eingehen.

EU-weit gültige »Paragraphen«, wie etwa das als »Basel II« bezeichnete Gesetz, definieren den verantwortungsvollen Umgang mit Informationstechnologie im Unternehmen als ein wichtiges Kriterium für die Bonität einer Firma. Zudem ist die Datensicherung eine Selbstverständlichkeit – das hat das Oberlandesgericht Hamm bereits in einem Urteil 2003 festgestellt. Komplette Prozesse zur Sicherung und Wiederherstellung von IT-Systemen gelten somit nicht mehr als eine freiwillige Leistung. Im Katastrophenfall kann ein Datenverlust aufgrund fehlender Backup-Prozesse unangenehme Folgen für ein Unternehmen nach sich ziehen: Das Spektrum reicht von höheren Zinsen für Kredite über Haftung im Schadensfall bis hin zu Regressansprüchen.

Unterschiede zwischen Archivierung und Sicherung

Wer nicht nur den rechtlichen Kontext beachtet, der wird feststellen: Sicherung und Archivierung verfolgen unterschiedliche Zwecke. Die eine beugt dem Datenverlust vor und sorgt im Ernstfall für eine möglichst schnelle Wiederherstellung und eines produktiven Zustands von Daten und Anwendungen zu einem definierten Zeitpunkt. Damit wird letztendlich die Anforderung nach Geschäftskontinuität erfüllt. Aktionen und Informationen, die seit der letzten Sicherung ausgeführt wurden und somit nicht mehr wiederherstellbar sind, bedeuten allerdings einen Verlust – und damit muss man in seiner Backup-Strategie umgehen können.

Die Archivierung dagegen dient einer langfristigen Speicherung von relevanten Geschäftsdokumenten. Sie erfolgt in erster Linie, um dem Zugriffsrecht von Steuerbehörden und anderen staatlichen Stellen zu entsprechen. Hier kommt der Begriff »GdPDU« (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen) ins Spiel, und somit die Anforderung, Daten vollständig, untersuchbar und manipulationssicher zu speichern.

Unterschied zwischen Archivierung und Sicherung

Archivierung deckt aber auch andere Aspekte ab, etwa wenn es darum geht, bestimmte Daten wiederherzustellen, die am ursprünglichen Speicherort bereits gelöscht wurden und zum Beispiel auf ein kostengünstigeres (und langsameres) Speichermedium ausgelagert wurden.

Daher verwenden viele Unternehmen für die Archivierung meist nur ein System zur E-Mail-Archivierung. Doch mittlerweile lassen sich Backup-Appliances so konfigurieren, dass sie geschäftskritische Daten dauerhaft archivieren und somit die für Jahresabschlüsse und andere Dokumente und Daten der Buchführung gesetzlich vorgeschrieben Anforderungen abdecken. Anders ausgedrückt: Technisch verschmelzen Backup und Archivierung dann an bestimmten Punkten erneut.

Persönliche Daten von Mitarbeitern

Bei der Unterscheidung der gespeicherten Informationen sind allerdings auch wieder rechtliche Fallstricke zu beachten. Denn oftmals wollen die IT-Verantwortlichen auch lokale Festplatten der Mitarbeiter-PCs und die »persönlichen Laufwerke« in die Datensicherung einbinden. Sollten dort für den Arbeitgeber relevante Geschäftsdateien liegen, gehören sie ja unter Umständen auch zu den geschäftskritischen Informationen.

Mehr noch: Geht es dabei um steuerlich relevante Dokumente, besteht für den Arbeitgeber sogar eine Pflicht, auch die »persönlichen Datenträger« per Sicherung zu erfassen. Bereits seit 2002 haben die Finanzbehörden das Recht, auch auf lokale Festplatten zuzugreifen. Von diesen Regelungen sind jedoch Ordner ausgenommen, die deutlich als »Privat« gekennzeichnet sind und in denen auch keine geschäftsrelevanten Daten liegen. Daher sollten Unternehmen eine Richtlinie einführen, die besagt: »Persönliche Dateien und Dokumente werden nur in einem entsprechend deutlich gekennzeichneten Verzeichnis gespeichert.« Diese Ordner gilt es dann per Konfiguration der Sicherungs-Software in den vordefinierten Backup-Prozessen vom Backup-Vorgang auszuschließen.

Gesetzlich strengere Regeln gelten allerdings immer dann, wenn Daten, aus denen sich ein Personenbezug ableiten lässt, ins Spiel kommen. Das ist in aller Regel bei vielen Daten der Fall, die im Bereich der Personalabteilung anfallen. Deswegen sind weitere Vorschriften des Bundesdatenschutzgesetzes (BDSG) einzuhalten. Es verpflichtet Unternehmen dazu, personenbezogene Daten zu löschen, wenn sie für den weiteren Geschäftsbetrieb nicht länger nötig sind. Zudem – und das ist eine wichtige Anforderung – muss der Zugriff von »unbefugter Seite« unterbunden werden.

Werden die Daten als zusätzliche Sicherung beispielsweise einem Dienstleister übergeben, so ist dies aus juristischer Sicht »Datenverarbeitung im Auftrag« – selbst wenn mit den Daten nichts passiert und niemand Zugriff darauf hat. Der Auftraggeber ist daher auch verpflichtet, mit Hilfe von vertraglichen Regeln und Kontrollen die Einhaltung der Datenschutzregeln sicherzustellen.

Backup-Auslagerung an Dienstleister

Generell erscheint die Auslagerung der kompletten Backup-Aufgabenstellung an einen externen Dienstleister als eine interessante Alternative. Doch aus rechtlicher Sicht wird ein Unternehmen damit nicht die Verantwortung los: Nach wie vor haftet die Geschäftsführung des beauftragenden Unternehmens. Wenn es durch ein nicht ordnungsgemäß ausgeführtes Backup zu einem Schaden kommt, muss der geschlossene Vertrag zwischen auftraggebenden Unternehmen und Dienstleister diese Aspekte alle abhandeln. Denn diese Aufgabe liegt in der gesetzlichen Verantwortung der Geschäftsführung des Auftraggebers.

Ein dringend nötiger Punkt in dem Vertrag ist die Angabe der Laufzeit. Wie bei allen Verträgen im Umfeld der Auftragsdatenverarbeitung können die Verträge auch auf unbestimmte Zeit geschlossen werden – mit der Möglichkeit zur ordentlichen Kündigung. Eine Rückgabe der personenbezogenen Daten bei Vertragsbeendigung muss aufgrund der gesetzlichen Vorgabe im BDSG (genauer: in Paragraf 11 Absatz 2) ebenfalls vereinbart werden.