Datensicherung oder Image-Backup? Beides!

Unternehmens-Back-ups im Homeoffice

Ob man nun im Home-Office arbeitet, am Arbeitsplatz im Unternehmen oder von unterwegs – Back-ups müssen sein. Normalerweise ist die Datensicherung von Unternehmensseite aus geregelt und organisiert. Allerdings gibt es nicht die Datensicherung, sondern es gibt mehrere sich ergänzende Arten der Datensicherung.

Für Anwender ist zunächst wichtig, eine Datei, an der sie gearbeitet haben und weiterarbeiten möchten, wieder öffnen zu können. Deshalb denken Anwender bei Back-ups in der Regel zunächst daran, ihre für die Arbeit benötigten Dateien zu sichern. Das hat zu Zeiten, in denen verstärkt im Homeoffice gearbeitet wird, besonderes Gewicht und gilt vor allem dann, wenn Geräte im Homeoffice wie Computer, Notebook oder Tablet nicht direkt in die Infrastruktur des Unternehmens eingebunden sind. Wären sie es, würde die Datensicherung über das Laufwerk des Benutzers im Unternehmen in aller Regel direkt erfolgen. Sind Notebook & Co. hingegen nicht ins Unternehmensnetz integriert, etwa aus technischen Gründen, müssen Anwender im eigenen Interesse selbst darauf achten, dass ihre Daten gesichert werden.

Image-Back-ups

So weit, so gut. Allerdings: Bei Problemen mit dem Betriebssystem, etwa nach einem Update oder der Neuinstallation von Programmen, funktionieren manchmal bestimmte Bereiche des Computers nicht mehr. Gründe gibt es viele. Wenn das eintritt, kommt es den meisten weniger darauf an, was die Gründe waren, und vor allem darauf, möglichst schnell weiterarbeiten zu können.

In diesem Fall ist die sogenannte Image-Sicherung normalerweise in der Lage, beschädigte Systeme schnell wieder verfügbar zu machen. Voraussetzung ist, dass ein komplettes Image-Back-up durchgeführt wurde. Ein solches Back-up umfasst den gesamten Computer, gilt also nicht nur für das Betriebssystem und das derzeit angewendete Office-Programm, sondern spiegelt den gesamten Rechner auf einer Festplatte. Wird es zurückgespielt, ist im Idealfall eine Weiterarbeit gleich nach dem Crash möglich.

Das Image-Back-up birgt zwei Herausforderungen: Die Datensicherung dauert lange, unter Umständen mehrere Stunden, und ist damit organisatorisch nicht immer ganz einfach im Alltag unterzubringen. Und: Bei einem kompletten Image-Back-up lässt sich schwer prüfen, ob es erfolgreich war. Dennoch sollten beide Sicherungsmethoden zum Einsatz kommen, denn nur Dateien zu sichern oder nur ein Image-Back-up anzufertigen, ist riskant. Der Königsweg liegt darin, beide Sicherungsmethoden zu kombinieren.

Datenvernichtung als Datenschutzverstoß

Einzelne Dateien können unbrauchbar werden, wenn keine Sicherung vorgenommen wurde und eine Datei gelöscht wird oder nicht mehr lesbar ist. Das kommt in der Praxis häufiger vor, als man vermuten mag. Entscheidend ist, dass die betroffenen Daten dann nicht mehr vorhanden sind. Damit handelt es sich um die Vernichtung von Daten, was einer Schutzverletzung im Sinne der DSGVO entspricht und möglicherweise eine Meldepflicht an die Datenschutz-Aufsichtsbehörde auslöst.

Warum ist die Vernichtung von Daten eine Schutzverletzung? Die Verarbeitung personenbezogener Daten, so sieht es Artikel 8 der europäischen Grundrechtecharta, ist immer ein Eingriff in die Grundrechte und Grundfreiheiten betroffener Personen. Aus diesem Grund haben Betroffene rechtliche Möglichkeiten, zu überprüfen, ob die Verarbeitung ihrer Personendaten im Sinne der DSGVO erfolgt ist. Dazu müssen diese Daten aber vorhanden sein, und das wiederum bedeutet, dass personenbezogene Daten, die erlaubt verarbeitet werden, nicht einfach vernichtet werden dürfen. Man kann es auch so ausdrücken: Die Datenschutzgrundverordnung zwingt jene, die Daten verarbeiten, Ordnung in ihre Systeme zu bringen und Daten angemessen zu sichern.

Und vom Datenschutz einmal abgesehen: Verarbeitete Daten können natürlich auch für die Informationssicherheit des Unternehmens eine Rolle spielen. Aus Sicht der Informationssicherheit ist es also ebenfalls wichtig, Dateien so zu sichern, dass eine Rücksicherung zu jeder Zeit möglich ist.

Hintergrund: Datenverlust und Datenschutz

Gemäß Art. 4 Ziffer 12 der Datenschutz-Grundverordnung gehört es zu den fünf Mindestschutzmaßnahmen, die der Datenschutz fordert, Daten vor Vernichtung zu schützen. Gleichzeitig verlangt Art. 32 Abs. 1 DSGVO, dass Daten verfügbar sein müssen. Das gewährleisten Datensicherungen einzelner Dateien ebenso wie Image-Sicherungen. Der Datenschutz sagt jedoch auch: Ein informationstechnisches System muss nach physischen oder physikalischen Zwischenfällen rasch wiederherstellbar sein. Und das geht nur mit kompletten Image-Sicherungen. Wenn also Dateien oder gesamte Systeme nicht korrekt abgesichert werden und nicht zurückgespielt werden können, liegt ein Verstoß gegen die Grundsätze, Schutzmaßnahmen und die vorzunehmenden technischen und organisatorischen Maßnahmen der Datenschutzgrundverordnung vor.
Datenschutzbeauftragte haben nach Art. 39 Abs. 1 lit. b die Verpflichtung, im Sinne des Monitoring zu überwachen, ob die Regelungen der Datenschutzgrundverordnung beim Verantwortlichen eingehalten sind. Dazu gehört demzufolge auch, dass Datenschutzbeauftragte prüfen, ob die Datensicherungen einzelner Dateien und gesamter Systeme korrekt durchgeführt worden sind. Und das gilt unabhängig davon, wo jemand arbeitet, also sowohl für den Arbeitsplatz im Unternehmen als auch für mobiles Arbeiten und die Arbeit im Home-Office.