Backups und Datensicherung
Backups und Datensicherung - Anforderungen der DSGVO
Grundsätze der Datenverarbeitung und Sicherheit
Verantwortliche müssen personenbezogene Daten in einer Weise verarbeiten, die eine angemessene Sicherheit der personenbezogenen Daten – mittels geeignete technischer und organisatorischer Maßnahmen - gewährleistet, Art. 5 DSGVO.
Der Verantwortliche soll Sorge dafür tragen, dass personenbezogene Daten vor Verlust, Zerstörung und Schädigung geschützt werden.
Art. 32 DSGVO sieht u.a. vor, dass die Verfügbarkeit personenbezogener Daten und der Zugang zu diesen bei technischen oder physischen Zwischenfällen schnellstmöglich wiederhergestellt werden kann. Der Verantwortliche soll die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen. Dies ist u.a. mittels regelmäßigen Backups möglich. Die Wiederherstellbarkeit kann mittels vollständiger Backups sichergestellt werden.
Worin besteht die Schwierigkeit?
Es kann trotzregelmäßigen und vollständigen Backups zu Datenverlust kommen, wenn bspw. nicht alle Endgeräte im Backup eingebunden sind oder Backup-Dateien nicht vor unberechtigtem Zugriff Dritter geschützt werden. Von großer Bedeutung ist daher ein lückenloses Backup-Konzept.
Datensicherung und Speicherbegrenzung
Neben der Vertraulichkeit und der Integrität zu den drei Schutzzielen im Bereich IT-Sicherheit.
Der Datenschutz gemäß den Bestimmungen der DSGVO kennt darüber hinaus den Grundsatz der Speicherbegrenzung - personenbezogene Daten sollen demnach in einer Form gespeichert werden, die es nur so lange ermöglicht, betroffene Personen zu identifizieren, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Entfällt der Zweck, so sind seitens des Verantwortlichen die Daten wieder aus dem Backup zu löschen.
Problemstellungen bei Backups:
Wie kann man diese Problemstellungen Beheben?
Mittels vollständiger und genauer Vorgaben zum Backup-Verfahren können Mängel in der Datensicherung vermieden werden.
Vorgehensweise:
- Finden Sie heraus, welche Daten aus welchen Datenquellen das Backup umfassen muss. Vergessen Sie dabei nicht die Vollständigkeit der Systeme zu überprüfen (mobile Systeme, Cloud-Dienste etc.)
- Legen Sie fest, welche Datenbestände und Systeme wie oft und mit welcher Methode für welche Dauer gesichert werden sollen.
- Legen Sie fest, wo Backups aufbewahrt und wie sie geschützt werden sollen.
- Erstellen Sie eine Richtlinie.
- Erstellen Sie ein Notfall-Handbuch, welches die getroffenen Regelungen zur Sicherung von Daten beinhaltet.
- Achtung: Sichern Sie das Backup-Verfahren selbst ab, indem Sie etwa die Datenübertragung zum Backup-Server sichern.
Sie haben bereits ein Backup-Konzept? Prüfung vorhandener Backup-Konzepte
Papier ist geduldig, stellen Sie sicher, dass es nicht nur eine Richtlinie gibt, sondern die festgehaltenen Lösungen auch funktionieren – Stichwort: Leistungsfähigkeit.
Prüfen Sie die Anwendungen zur Datensicherung auf Herz und Nieren – was gehört dazu:
- Backup-Funktionen sind automatisierbar und laufen im Hintergrund,
- Verfügbarkeit einer Benutzerverwaltung,
- Protokollfähigkeit (Protokolle über Backups werden erstellt),
- zu sichernden Daten können übersichtlich ausgewählt werden,
- Schutz vor versehentlichen Änderungen im Backup: Änderung müssen bestätigt werden,
- Es werden alle zu sichernden Systeme unterstützt (Hardware, Betriebssysteme und Anwendungen, mobile Systeme, Cloud etc.),
- Zuverlässige Benachrichtigung über Backup-Probleme (bspw. per E-Mail oder SMS),
- automatisch zum Restart bei Problemen möglich.
Sicherheit von Backups
Achtung: Backups haben den gleichen Schutzbedarf wie Daten, die mittels Backups vor Verlust geschützt werden sollen.
Problem 1: personenbezogene und andere vertrauliche Daten müssen auch nach dem Backup genauso geschützt werden: Stichwort Verschlüsselungs-Konzept. KEINE unverschlüsselte Ablage gesicherter Daten! Dies ist oftmals nicht gewährleistet, viele Backup-Lösungen bieten keine automatische Verschlüsselung an. Gesonderte Verschlüsselungen werden von Mitarbeitern oft vergessen.
Problem 2: Backups müssen denselben Zugriffsbeschränkungen unterliegen, wie die ursprünglichen Netzwerkbereiche, Ordner und Dateien. Die Einrichtung muss sicherstellen, dass nur Berechtigte und nicht jedermann Zugriff hat.
Sicherheit kann erlangt werden, indem
- die Vollständigkeit der Datensicherung gewährleistet wird,
- die Sicherung regelmäßig erfolgt und die zeitliche Frequenz der Sicherung festgelegt wird,
- die Datensicherheit der personenbezogenen Daten auch in den Backups gesichert wird.
Gerne unterstützen wir Sie bei der Erstellung von Konzepten oder der Überprüfung vorhandener Konzepte.
Hinweis: Wir haben die Rechtslage ausschließlich unverbindlich zusammengefasst. Der Artikel spiegelt darüber hinaus die persönliche Auffassung des Verfassers wider und ersetzt weder eine individuelle Rechtsberatung noch die weiteren Entwicklungen zu diesem Thema.