Der Weg zum gesetzeskonformen Backup

Dennoch kann man nicht einfach darauf verzichten: Kreditgeber und Investoren wissen, dass Unternehmen, die ihre Daten durch Fehler, Unfälle oder Katastrophen verlieren, existenziell bedroht sind. Die entsprechenden Richtlinien sind als gängige Geschäftspraktiken auch juristisch relevant. Darüber hinaus gibt der Datenschutz Regeln vor, für deren Einhaltung die Geschäftsführung eines Unternehmens persönlich haftet.

Zwei Experten räumen mit den sieben gängigsten Irrtümern beim Thema Compliance und Backup auf und erläutern die wichtigsten Leitlinien: Dr. Wieland Alge, General Manager EMEA von Barracuda Networks, einem Hersteller von Security-, Storage- und Networking-Lösungen, und Dr. Alexander Bayer, auf IT-Recht spezialisierter Rechtsanwalt der Kanzlei Wragge & Co.

Backup und Archivierung dienen unterschiedlichen Zwecken: Backup beugt dem Datenverlust vor, sorgt im Ernstfall für schnelle Wiederherstellung eines Zustands von Daten und Applikationen zu einem definierten Zeitpunkt und dient somit der Geschäftskontinuität.

Archivierung dagegen dient der langfristigen Speicherung von relevanten Geschäftsdokumenten. Sie erfolgt in erster Linie, um dem Zugriffsrecht von Steuerbehörden und anderen staatlichen Stellen zu entsprechen - aber auch, um gegebenenfalls ganz bestimmte Daten wiederherzustellen, die am ursprünglichen Speicherort bereits gelöscht sind. Technisch bedeutet dies, dass Unternehmen bei der Archivierung alle dafür konfigurierten Dokumente und Daten auf lange Zeit, vollständig, untersuchbar und manipulationssicher speichern. Die Archivierung konzentriert sich meist auf ein System zur E-Mail-Archivierung.

Neuere Backup-Appliances lassen sich so konfigurieren, dass sie geschäftskritische Daten dauerhaft archivieren, was für Jahresabschlüsse und andere Dokumente und Daten der Buchführung gesetzlich vorgeschrieben ist. Das heißt, technisch verschmelzen Backup und Archivierung an bestimmten Punkten. Die Kernfunktion von Backup-Tools ist es jedoch, aktuelle Kopien von Systemzuständen anzulegen. Zugespitzt und vereinfacht gesagt, dient Archivierung der Compliance und Backup dem gesunden Eigeninteresse von Unternehmen. Dass sich dies nicht ganz trennen lässt, verrät der nächste Abschnitt.

Wer ohne Backup-Konzepte lebt, lebt aufregend. Er macht sich nicht von vornherein strafbar: Im deutschen Strafgesetzbuch ist die Datensicherungsspiegelung nicht verankert. Die Aussage, Backup sei freiwillig und habe mit Compliance gar nichts zu tun, ginge wiederum zu weit. Ein Unternehmen, das geschäftskritische Daten verliert, hat in der Regel geringe Überlebenschancen. Diesem Risiko sollte es sich daher nicht fahrlässig aussetzen.

Zum Schutz von Kreditgebern und Investoren gibt es Richtlinien, die Wert darauf legen, dass Unternehmen eine Backup-Funktion implementiert haben. Basel II legt eine verantwortungsvolle Informationstechnologie implizit als Kriterium für die Bonität eines Unternehmens fest. Und das Oberlandesgericht Hamm hat schon im Jahr 2003 festgestellt, dass Datensicherung eine Selbstverständlichkeit sei.

Prozesse zur Sicherung und Wiederherstellung von IT-Systemen sind somit keine freiwillige Leistung mehr. Im Fall des Falles kann ein Datenverlust aufgrund fehlender Backup-Prozesse unangenehme Folgen für ein Unternehmen haben - sie reichen von höheren Zinsen für Kredite über Haftung im Schadensfall bis hin zu Regressansprüchen.