Check­lis­te: Ist Ihr Back­up-Kon­­­zept DSGVO-kon­­­form?

Ein Back­up ist die Lebens­ver­si­che­rung Ihrer Unter­neh­mens­da­ten. Doch seit der Ein­füh­rung der DSGVO ist es auch ein recht­lich hoch­re­le­van­ter Pro­zess. Ein feh­ler­haf­tes Kon­zept schützt Sie nicht nur schlecht vor Daten­ver­lust, son­dern kann auch zu emp­find­li­chen Buß­gel­dern füh­ren. Gemäß Art. 32 DSGVO müs­sen Unter­neh­men “geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men” (TOMs) ergrei­fen, um die Sicher­heit der Daten zu gewähr­leis­ten – und das schließt das Back­up expli­zit mit ein. Nut­zen Sie die­se Check­lis­te, um Ihr aktu­el­les Kon­zept auf den Prüf­stand zu stel­len.

Tech­ni­sche Anfor­de­run­gen (Die “Wie”-Fragen)

• [ ] Ver­schlüs­se­lung: Wer­den Ihre Back­up-Daten sowohl wäh­rend der Über­tra­gung (in tran­sit) als auch am Spei­cher­ort (at rest) stark ver­schlüs­selt?
• [ ] Zugriffs­kon­trol­le: Ist der Zugriff auf die Back­up-Daten und die Wie­der­her­stel­lungs­funk­tio­nen streng auf ein Mini­mum an auto­ri­sier­ten Per­so­nen beschränkt (Need-to-know-Prin­zip)?
• [ ] Inte­gri­tät: Wer­den Ihre Back­ups regel­mä­ßig auf ihre Les­bar­keit und Voll­stän­dig­keit über­prüft, um eine erfolg­rei­che Wie­der­her­stel­lung im Ernst­fall zu garan­tie­ren?
• [ ] Lösch­kon­zept: Haben Sie einen defi­nier­ten Pro­zess, um sicher­zu­stel­len, dass Back­ups nach Ablauf der gesetz­li­chen Auf­be­wah­rungs­fris­ten sicher und unwie­der­bring­lich gelöscht wer­den?
• [ ] Recht auf Ver­ges­sen­wer­den (Art. 17 DSGVO): Kön­nen Sie (zumin­dest theo­re­tisch) nach­wei­sen, wie Sie per­so­nen­be­zo­ge­ne Daten auf Wunsch auch aus Ihren Back­ups ent­fer­nen könn­ten, ohne die Inte­gri­tät des gesam­ten Back­ups zu gefähr­den?

Orga­ni­sa­to­ri­sche Anfor­de­run­gen (Die “Wer & Was”-Fragen)

• [ ] Doku­men­ta­ti­on: Exis­tiert ein schrift­li­ches, aktu­el­les Back­up-Kon­zept, das alle Pro­zes­se, Ver­ant­wort­lich­kei­ten und tech­ni­schen Maß­nah­men beschreibt?
• [ ] Regel­mä­ßi­ge Tests: Füh­ren Sie min­des­tens quar­tals­wei­se eine voll­stän­di­ge Test-Wie­der­her­stel­lung durch und doku­men­tie­ren Sie die Ergeb­nis­se (Dau­er, Erfolg, Pro­ble­me)?
• [ ] Ver­ant­wort­lich­kei­ten: Ist klar defi­niert, wer für die Über­wa­chung der täg­li­chen Back­ups, die Durch­füh­rung der Tests und die Ein­lei­tung der Wie­der­her­stel­lung im Not­fall ver­ant­wort­lich ist?
• [ ] AV-Ver­trä­ge (Art. 28 DSGVO): Wenn Sie einen exter­nen Cloud-Back­up-Anbie­ter nut­zen: Haben Sie einen gül­ti­gen Auf­trags­ver­ar­bei­tungs­ver­trag (AVV), der den Anbie­ter zur Ein­hal­tung der DSGVO ver­pflich­tet?
• [ ] Not­fall­plan-Inte­gra­ti­on: Ist der Pro­zess zur Wie­der­her­stel­lung aus dem Back­up ein fes­ter, erprob­ter Bestand­teil Ihres IT-Not­fall­plans?

Butler’s Tipp: Ein unge­tes­te­tes Back­up ist kein Back­up, son­dern eine Hoff­nung. Die regel­mä­ßi­ge, doku­men­tier­te Test-Wie­der­her­stel­lung ist der ein­zi­ge, rechts­si­che­re Beweis dafür, dass Ihr Kon­zept im Ernst­fall auch funk­tio­niert.

Ihr nächs­ter Schritt

Sie haben bei meh­re­ren Punk­ten gezö­gert oder “Nein” ange­kreuzt? Ein nicht-kon­for­mes Back­up-Kon­zept ist ein unkal­ku­lier­ba­res Geschäfts­ri­si­ko. Spre­chen Sie mit uns, um Ihr Kon­zept von Grund auf zu här­ten. Ver­ein­ba­ren Sie eine unver­bind­li­che Back­up & Reco­very Ana­ly­se mit unse­ren Archi­tek­ten.