Datensicherungskonzept

Worum geht es?

Ein Grundsatz der Datenschutz-Grundverordnung ist, dass durch angemessene technische und organisatorische Maßnahmen die Sicherheit der personenbezogenen Daten zu gewährleisten ist. Dies schließt dabei neben dem Schutz vor unbefugter oder unrechtmäßiger Verarbeitung auch den unbeabsichtigten Verlust mit ein (Art. 5 (1) lit. f DS-GVO). Somit ist die verantwortliche Stelle auf Basis der Rechenschaftspflicht gezwungen eine entsprechende Dokumentation anzufertigen. Diese dient dann als Nachweis, dass die personenbezogenen Daten angemessen vor Verlust geschützt sind. Das ist das Datensicherungskonzept.

Ziel und Inhalte eines Datensicherungskonzepts

Ziel eines Datensicherungskonzeptes ist es, klar und verständlich zu dokumentieren, welche Maßnahmen IT-Systeme und Daten vor versehentlichem Verlust schützen und wie im Verlustfall Daten schnell rekonstruiert werden können.

Um diese Ziele erreichen zu können, muss/sollte das Datensicherungskonzept folgende Punkte berücksichtigen:

  • Verantwortliche Personen
  • Betrachtete IT-Systeme (Server, Clients, ggf. mobile Geräte)
  • Betrachtete Datenspeicherarten (Datenbanken, Files oder auch ganze Festplatten)
  • Betroffene Daten und Datenarten (Personaldaten, Kundendaten etc.)
  • Art der Datensicherung (Vollsicherung, Inkrementell oder Differenziell)
  • Häufigkeit der Sicherungen (täglich, wöchentlich, jährlich)
  • Kombinationen aus Art und Häufigkeit
  • Verwendetes Raid im Backup-Server
  • Sicherungen der Backup Server: Bandsicherungen, Co-Location, etc.
  • Sicherungsmaßnahmen für den Backup-Server
    • Räumlichkeiten (Zugang, Gefahr von Brand- und Wasserschäden)
    • Hardware Monitoring (Speicherkapazität, Temperatur, allgemein Zustand, Benachrichtigung über fehlgeschlagene Backups)
    • Zutritts- und Zugangsberechtigungen
    • Verschlüsselung der Datenträger des Backup-Servers
  • Prozesse zum Zurückspielen/Wiederherstellen von Daten (ggf. in Kombination zum Notfallhandbuch)
  • Vorgaben zur Nutzung der Daten für andere Zwecke (Beweissicherung, Abgleich von Versionsständen, Erfüllung von Nachweispflichten etc.)

Neben der Erstellung des Datensicherungskonzeptes ist es zudem essentiell, die Datensicherungen testweise zurück ins System zu spielen. So können sowohl die Funktionstüchtigkeit der Sicherungen geprüft, als auch die grundsätzliche Vorgehensweise für den Notfall erprobt werden. Solche Testläufe sollten in regelmäßigen Abständen erfolgen und sind im Datensicherungskonzept zu beschreiben.

Ihr Nutzen eines Datensicherungskonzepts

Ein gut ausgearbeitetes Datensicherungskonzept ist daher nicht nur Bestandteil eines jeden Datenschutzkonzeptes. Vielmehr trägt es von vorn herein dazu bei, unnötigen Datenverlust zu vermeiden. Im schlimmsten Fall dient es dabei als konkrete Herangehensweise, wie Datensicherungen wieder in das Live-System überspielt werden. Es ist somit auf der einen Seite Teil der Datenschutzdokumentation. Auf der anderen Seite ist es ein sehr nützliches Dokument, um im Krisenfall außerdem schnell und gezielt agieren zu können. Bei der Bewertung Ihrer technischen und organisatorischen Maßnahmen durch Ihren Auftraggeber ist es zudem ein Schlüsselthema!

Hilfreiche Links:

Verfasser: Steven Bösel, 24.06.2020

Sie wollen mehr erfahren? Lassen Sie sich von uns beraten und nehmen Sie jetzt Kontakt auf!