Datensicherungskonzept

Worum geht es?

Ein Grundsatz der Datenschutz-Grundverordnung ist, dass durch angemessene technische und organisatorische Maßnahmen die Sicherheit der personenbezogenen Daten zu gewährleisten ist. Dies schließt neben dem Schutz vor unbefugter oder unrechtmäßiger Verarbeitung auch den unbeabsichtigten Verlust mit ein (Artikel 5 (1) lit. f DS-GVO). Somit ist die verantwortliche Stelle auf Basis der Rechenschaftspflicht gezwungen eine entsprechende Dokumentation anzufertigen, die als Nachweis dient, dass die personenbezogenen Daten angemessen vor Verlust geschützt werden. Das ist das Datensicherungskonzept.

Ziel und Inhalte eines Datensicherungskonzepts

Ziel eines Datensicherungskonzeptes ist es, klar und verständlich zu dokumentieren, welche Maßnahmen ergriffen werden um IT-Systeme und Daten vor versehentlichen Verlust zu schützen und wie im Verlustfall Daten schnell rekonstruiert werden können.

Um diese Ziele erreichen zu können, muss/sollte das Datensicherungskonzept folgende Punkte berücksichtigen:

  • Verantwortliche Personen
  • Betrachtete IT-Systeme (Server, Clients, ggf. mobile Geräte)
  • Betrachtete Datenspeicherarten (Datenbanken, Files oder auch ganze Festplatten)
  • Betroffene Daten und Datenarten (Personaldaten, Kundendaten etc.)
  • Art der Datensicherung (Vollsicherung, Inkrementell oder Differenziell)
  • Häufigkeit der Sicherungen (täglich, wöchentlich, jährlich)
  • Kombinationen aus Art und Häufigkeit
  • Verwendetes Raid im Backup-Server
  • Sicherungen der Backup Server: Bandsicherungen, Co-Location, etc.
  • Sicherungsmaßnahmen für den Backup-Server
    • Räumlichkeiten (Zugang, Gefahr von Brand- und Wasserschäden)
    • Hardware Monitoring (Speicherkapazität, Temperatur, allgemein Zustand, Benachrichtigung über fehlgeschlagene Backups)
    • Zutritts- und Zugangsberechtigungen
    • Verschlüsselung der Datenträger des Backup-Servers
  • Prozesse zum Zurückspielen/Wiederherstellen von Daten (ggf. in Kombination zum Notfallhandbuch)
  • Vorgaben zur Nutzung der Daten für andere Zwecke (Beweissicherung, Abgleich von Versionsständen, Erfüllung von Nachweispflichten etc.)

Neben der Erstellung des Datensicherungskonzeptes ist es essentiell, die Datensicherungen testweise zurück ins System zu spielen. So können sowohl die Funktionstüchtigkeit der Sicherungen geprüft werden, als auch die grundsätzliche Vorgehensweise für den Notfall erprobt werden. Solche Testläufe sollten in regelmäßigen Abständen erfolgen und sind im Datensicherungskonzept zu beschreiben.

Ihr Nutzen eines Datensicherungskonzepts

Ein gut ausgearbeitetes Datensicherungskonzept ist nicht nur Bestandteil eines jeden Datenschutzkonzeptes, vielmehr trägt es von vorn herein dazu bei, unnötigen Datenverlust zu vermeiden und im schlimmsten Fall als konkrete Herangehensweise wie Datensicherungen wieder in das Live-System überspielt werden können. Es ist somit auf der einen Seite Teil der Datenschutzdokumentation und auf der anderen Seite ein sehr nützliches Dokument, um im Krisenfall schnell und gezielt agieren zu können. Bei der Bewertung Ihrer technischen und organisatorischen Maßnahmen durch Ihren Auftraggeber ist es zudem ein Schlüsselthema!

Hilfreiche Links:

Verfasser: Steven Bösel, 24.06.2020

Sie wollen mehr erfahren? Lassen Sie sich von uns beraten und nehmen Sie jetzt Kontakt auf!