Beim Sichern und Archivieren von Daten ist – leider – nicht nur die Technik wichtig. Unternehmen müssen eine ganze Reihe von gesetzlichen Vorgaben und Compliance-Regeln beachten. Dr. Wieland Alge, General Manager EMEA von Barracuda Networks, einem Hersteller von Security-, Storage- und Networking-Lösungen, und Dr. Alexander Bayer, ein auf IT-Recht spezialisierter Rechtsanwalt der Kanzlei Wragge & Co., erläutern, worauf bei Archivierung und Backup ankommt.

Mythos Nummer eins: Backup und Archivierung sind das Gleiche

Falsch ist, dass Sichern und Archivieren identisch sind. Backup beugt dem Datenverlust vor, sorgt im Ernstfall für schnelle Wiederherstellung eines Zustands von Daten und Applikationen zu einem definierten Zeitpunkt und dient somit der Geschäftskontinuität. Das Archivieren von Informationsbeständen zielt dagegen auf die langfristige Speicherung von Geschäftsdokumenten ab. Sie erfolgt in erster Linie, um dem Zugriffsrecht von Steuerbehörden und anderen staatlichen Stellen zu entsprechen, aber auch, um nötigenfalls Daten wiederherzustellen, die am ursprünglichen Speicherort bereits gelöscht wurden.

Technisch heißt das, dass Unternehmen bei der Archivierung alle dafür vorgesehenen Dokumente und Daten, vor allem E-Mails, langfristig, vollständig, untersuchbar und manipulationssicher speichern müssen. Allerdings sind Backup-Appliances durchaus in der Lage, geschäftskritische Daten nicht nur zu sichern, sondern auch zu archivieren. Es gibt somit sehr wohl Überschneidungen. Allerdings ist es die Hauptfunktion von Backup-Tools, aktuelle Kopien von Systemzuständen anzulegen.

Mythos Nummer zwei: Backup ist freiwillig.

Wer keine Backups erstellt, macht sich nicht von vornherein strafbar. Denn im deutschen Strafgesetzbuch ist die Datensicherungsspiegelung nicht verankert. Andererseits ist es falsch, dass Backup freiwillig ist und mit Compliance gar nichts zu tun hat. Zum Schutz von Kreditgebern und Investoren gibt es Richtlinien, die verlangen, dass Unternehmen eine Backup-Funktion implementiert haben. Dies soll verhindern, dass wichtige Daten verlorengehen und eine Firma deshalb in Probleme gerät.

So legt Basel II eine verantwortungsvolle Informationstechnologie implizit als Kriterium für die Bonität eines Unternehmens fest. Auch das Oberlandesgericht Hamm hat bereits im Jahr 2003 festgestellt, dass Datensicherung eine Selbstverständlichkeit ist. Prozesse zur Sicherung und Wiederherstellung von IT-Systemen sind somit keine freiwillige Leistung. Ein Datenverlust wegen fehlender Backup-Prozesse kann unangenehme Folgen für ein Unternehmen haben, von höheren Zinsen über Haftung im Schadensfall bis hin zu Regressansprüchen.

Mythos Nummer drei: Lokale Festplatten von Arbeitsplatzrechnern müssen vom Backup ausgenommen werden

Jede Firma hat das Recht, auch lokale Festplatten der Mitarbeiter-PCs und so genannte persönliche Laufwerke in die Datensicherung einzubinden, wenn dort für den Arbeitgeber relevante Geschäftsdateien gespeichert werden. Wenn es sich um steuerlich relevante Dokumente handelt, ist das sogar Pflicht. Bereits seit 2002 haben die Finanzbehörden das Recht, auch auf lokale Festplatten zuzugreifen. Von diesen Regelungen sind jedoch Ordner ausgenommen, die deutlich als "Privat" gekennzeichnet sind.

Unternehmen sollten also eine Richtlinie einführen, dass persönliche Dateien und Dokumente nur in einem entsprechend deutlich gekennzeichneten Verzeichnis gespeichert werden. Dieses wird dann per Konfiguration von den Backup-Prozessen ausgenommen oder so gespeichert, dass nur der Urheber auf die Daten zugreifen kann.

Doch selbst wenn private Ordner ausgenommen sind, schließt ein umfassendes Backup immer die Speicherung personenbezogener Daten mit ein, beispielsweise aus der Personalabteilung. Daher müssen weitere Vorschriften des Bundesdatenschutzgesetzes (BDSG) beachtet werden. Demnach sind Unternehmen dazu verpflichtet, personenbezogene Daten zu löschen, wenn sie für den weiteren Geschäftsbetrieb nicht länger benötigt werden.

Werden die Daten als zusätzliche Sicherung beispielsweise einem Dienstleister übergeben, ist dies aus juristischer Sicht eine Datenverarbeitung im Auftrag. Der Auftraggeber muss somit, neben Ausschöpfung der technischen Möglichkeiten, mittels vertraglichen Regeln und Kontrollen die Einhaltung der Datenschutzregeln sicherstellen.

Mythos Nummer vier: Gelöscht ist nicht gelöscht

Das Backup speichert Systemzustände und damit Daten nur für kurze Zeit. Je nach Backup-Konzept handelt es sich meist um einen Tag oder wenige Wochen. Die Daumenregel beim Backup lautet: Was auf dem Quellsystem gelöscht wird, wird zeitnah auch im Backup gelöscht.

Ausnahmen können bei Backup-Software und Backup-Appliances jedoch auf einfache Weise konfiguriert werden. Dann dient die Backup-Infrastruktur gleichzeitig der Archivierung. Neben Daten aus der Finanzbuchhaltung halten Unternehmen oft solche aus der Produktentwicklung sowie die Kunden-Datenbanken länger vor, um auch gegen Situationen gewappnet zu sein, in denen ein Datenverlust spät erkannt wird und die Daten noch benötigt werden.

Mythos Nummer fünf: Backup ist der Einsatz von Tapes

Backup-Tapes waren über Jahre lang das Standard-Medium für Datensicherungen. Derzeit werden sie durch das Speichern auf Festplatten in speziellen Appliances abgelöst. Außerdem lassen sich Backups auf Speicherressourcen in einer Cloud ablegen. Ein Vorteil ist das kürzere Backup-Fenster, weil die Appliance nach dem ersten Voll-Backup nur noch das "Delta" speichert, also den Unterschied zum vorangegangen Speicherdurchgang.

Der größte Vorteil der Kombination aus Appliance und Cloud aus Compliance-Sicht besteht jedoch darin, dass jedes Backup-Image täglich, oder auch öfter, automatisch an entfernte Standorte gesendet werden kann. Eine so häufige Sicherung für den Katastrophenfall hätte in der Zeit der Backup-Bänder eine teure Logistik-Kette erfordert. Das heißt, obwohl das Tape im Vergleich zur einzelnen Festplatte als das robustere Speichermedium gilt, ist die Wiederherstellungsfähigkeit und Geschäftskontinuität unter verschiedenen Katastrophen-Szenarien heute besser mit der Lösung Appliance/Cloud zu gewährleisten.

Mythos Nummer sechs: Das Backup darf nicht in die Cloud

Ein "Cloud-Verbot" für das Speichern von Daten gibt es nicht. Es kommt auf die Art der Daten an. Grundsätzlich ist gegen die aktive Speicherung von Backups in der Cloud nichts einzuwenden. Sind personenbezogene Daten Teil des Backups, so ist vorgeschrieben, dass der Cloud-Betreiber die Daten innerhalb der EU lagert.

Die Einhaltung deutscher Gesetze und EU-Datenschutzrichtlinien muss zusätzlich vertraglich zwischen Auftraggeber und Auftragnehmer geregelt werden. Der Zugriff von nicht befugten Personen auf die Daten muss über Verschlüsselungen oder Zugriffssperren verhindert werden. Dazu gehört beispielsweise die technische Anforderung, dass Auditoren und Administratoren ihre Aufgaben erledigen können, ohne gleichzeitig Zugriff auf die gespeicherten Daten zu haben.

Großunternehmen, die eine Private Cloud betreiben, können auch eigene Ressourcen für das Backup nutzen. Eine dritte Möglichkeit ist, aus einem Verbund von Appliances an verschiedenen Standorten eine Backup-Cloud aufzubauen. In jedem Fall gilt: Höchste Performance bei der Datenwiederherstellung bietet ein Backup in einer Appliance vor Ort, eine optimale Disaster Recovery bieten zwei räumlich getrennte Systeme.

Mythos Nummer sieben: Durch Backup-Outsourcing ist man die Haftung los

Wer einen Dienstleister mit dem Backup beauftragt, ist viele Sorgen los, aber nicht alle. Anbieter mit einem Gesamtpaket aus Software, Hardware und Services sichern die Daten und prüfen auch deren Vollständigkeit und Integrität. Doch in welchem Umfang ein Dienstleister haftet, wenn einmal durch ein mangelhaftes Backup ein Schaden entsteht, muss im Vertrag genau geregelt werden.

Denn die übergeordnete Haftung liegt nach wie vor beim Geschäftsführer des Auftraggebers, also des Unternehmens, das den Dienstleister mit dem Erstellen von Backups beauftragt. Er steht in der Verantwortung, den Vertrag mit Dienstleistern so zu gestalten, dass die Daten revisions- und zugriffssicher verwahrt werden.