So klappt es mit der Datensicherung

Daten erfolgreich gesichert?

Ein Beispiel aus der Praxis

In einem Kleinunternehmen wurden jeden Abend Datensicherungen vorgenommen. Eine Mitarbeiterin legte das Sicherungsband in das Sicherungsgerät ein, wartete, bis die LED grün blinkte, startete die Datensicherung und ging nach Hause. Als sich eines Tages die mehrere Jahre alte Festplatte des Computers in den Ruhestand verabschiedete, wollte man aufgrund der abendlichen Back-ups eine Rücksicherung vornehmen. Man stellte fest: Das zum Sichern genutzte Magnetband war so oft verwendet worden, dass es nahezu durchsichtig, sprich: komplett blankgescheuert war. Allgemeines Entsetzen. Man fand ein anderes Band mit einer Datensicherung, allerdings sechs Wochen alt. Der entstandene Schaden – Abrechnungsausfall, erforderliche Nachbearbeitung usw. – betrug ca. 25.000 €. Hätte man einmal getestet, ob die Sicherung erfolgreich war, hätte man rechtzeitig ein neues Band kaufen können. Die deutlich günstigere Lösung.

Gute Gründe für die Datensicherung

Es gibt viele gute Gründe, Datensicherungen vorzunehmen. Daten werden versehentlich gelöscht und können nicht ohne Weiteres (etwa vom mobilen Gerät unterwegs) rekonstruiert werden. Datenträger wie mobile Festplatten oder USB-Sticks werden beschädigt und die Daten lassen sich von dort nicht mehr ins System einlesen. Oder zuvor genutzte Funktionen sind nach einem Update nicht mehr vorhanden. In allen diesen Fällen ist es nötig, eine Datensicherung zu haben. Und zwar eine, die sich erfolgreich zurückspielen lässt.

Datenverlust und die Folgen

Je nachdem, wie wichtig die Daten für die laufende Arbeit oder für ein bestimmtes Projekt sind, kann das Risiko, wenn Daten möglicherweise unwiederbringlich verloren gegangen sind, erheblich sein. Die Wahrscheinlichkeit, dass es zu einem Datenverlust kommt, ist leider nicht so gering, wie man denkt. Vor allem kommt es immer dann zum Datenverlust, wenn man das am wenigsten brauchen kann. Welchen Schaden kann das anrichten? Die Schadenshöhe richtet sich danach, wie bedeutend die verlorenen Daten für die laufende Arbeit oder das aktuelle Projekt sind. Es gibt zwei Fälle, in denen das Risiko sogar erheblich sein kann: Es gehen Daten aus einem Projekt verloren, für dessen Nichterfüllung eine Konventionalstrafe vereinbart wurde. Oder es gehen wichtige personenbezogene Daten unwiederbringlich verloren, obwohl laut DSGVO die Verfügbarkeit sichergestellt sein muss. Besonders ärgerlich ist es, wenn man glaubt, eine Sicherungskopie vorgenommen zu haben - und dann festzustellen, dass diese nicht funktioniert hat.

Datensicherungen und Datenschutz

Zu den technischen und organisatorischen Maßnahmen, zu deren Umsetzung der Verantwortliche gemäß den Artikeln 24 und 32 DSGVO verpflichtet ist, gehört unter anderem die Verfügbarkeit. Daten müssen, solange sie verarbeitet werden dürfen oder solange eine gesetzliche Aufbewahrungspflicht besteht, verfügbar sein, sie müssen also in angemessener Zeit nach einem Zwischenfall wieder zur Verfügung stehen. Ein Verstoß gegen diese gesetzliche Verpflichtung kann mit einer erheblichen Geldbuße geahndet werden. Insofern sind Datenschutzbeauftragte verpflichtet, im Rahmen ihrer Überwachungsaufgabe gemäß Art. 39 auch festzustellen, ob es zum einen tatsächlich eine Sicherheitskopie gibt, und zum anderen, ob diese Sicherheitskopie im Notfall zum erneuten Einspielen geeignet ist.
In vielen Fällen hakt es genau daran: Man glaubt, eine Datensicherung vorgenommen zu haben, muss aber im Ernstfall feststellen, dass sie fehlerhaft war oder gar nicht funktioniert hat. Dann liegt eine Datenschutzverletzung vor, die unter Umständen eine Meldepflicht an die Aufsichtsbürde auslöst. Darum: Datensicherungen überprüfen!

Back-ups prüfen

Es gibt Sicherungen, bei denen einzelne Dateien oder Dateiordner synchronisiert werden. Die einfachste Möglichkeit zu testen, ob die Sicherung vorgenommen wurde, ist hier, eine der Dateien oder einen Ordner zu öffnen und die Datei zu laden. Komplexer wird es, wenn ganze Rechnerinhalte gespeichert werden. Da hilft es in der Tat nur, ab und zu auf einem anderen Gerät zu testen, ob die Daten tatsächlich abgespeichert wurden. Ersatzweise kann man die Prüfsummen-Funktion nutzen, bei der vor dem Backup und danach aus verschiedenen technischen Parametern Prüfsummen gebildet werden, die nach dem Backup verglichen werden. Sind diese identisch, kann man davon ausgehen, dass die Datensicherung erfolgreich war. Dann muss man sicherstellen, dass die genutzten Speichermedien sicher aufbewahrt werden und im Falle eines Datenverlustes zur Verfügung stehen.

Tipps für gelungene Datensicherung

• planen, wann und von welchen Dateien Sicherungskopien zu erstellen sind
• die erforderlichen organisatorischen Maßnahmen vornehmen, damit alle Beteiligten wissen, wie sie sich hinsichtlich der Datensicherung zu verhalten haben
• sicherstellen, dass tatsächlich regelmäßige Datensicherungen durchgeführt werden
• in regelmäßigen Abständen prüfen, ob die Datensicherung vorgenommen wurde und eine Rücksicherung funktioniert
• die erfolgten Überprüfungen protokollieren

Die Kernfrage lautet also: Kann aufgrund von Überprüfungen davon ausgegangen werden, dass vorgenommene Datensicherungen tatsächlich erfolgt sind und die Daten im Zweifelsfall wieder zurückgespielt werden können?

Wir wünschen erfolgreiches Datensichern!