Gastartikel - Recht und Regeln beim Backup

Sieben Mythen zur Compliance von Backup-Konzepten

Uhr | Aktualisiert
von Wieland Alge, General Manager EMEA von Barracuda Networks

Wie sichert ein Unternehmen Daten rechtskonform? Der Bund erlässt vor allem Vorgaben für die Archivierung steuerlich relevanter Dokumente. Nicht vorgeschrieben ist dagegen ein Backup zur Wiederherstellung anderer Daten. Dennoch darf das Thema nicht ignoriert werden.

(Quelle: Netzmedien-Archiv)
(Quelle: Netzmedien-Archiv)

Obligationenrecht, Datenschutzgesetze und Verordnungen geben Richtlinien vor und es ist hinreichend bekannt, dass Unternehmen, die ihre Daten durch Fehler, Unfälle oder Katastrophen verlieren in ihrer Existenz bedroht werden. Eine nicht ordnungsgemässe Datenverarbeitung ist daneben juristisch relevant und die Organe der Unternehmung können im Rahmen der Risikobeurteilung sogar persönlich haftbar gemacht werden.

Wieland Alge, General Manager EMEA von Barracuda Networks, räumt mit den gängigsten Irrtümern beim Thema Compliance und Backup auf und erläutert die wichtigsten technischen und juristischen Zusammenhänge.

Erster Mythos: Backup und Archivierung sind das Gleiche

Backup und Archivierung dienen unterschiedlichen Zwecken: Ein Backup beugt dem Datenverlust vor, sorgt im Ernstfall für schnelle Wiederherstellung eines Zustands von Daten und Applikationen zu einem definierten Zeitpunkt und dient dem unterbruchlosen Weiterbetrieb der Geschäfte. Die Archivierung dagegen dient der langfristigen Speicherung relevanter Unterlagen. Sie erfolgt in erster Linie, um der gesetzlichen Aufbewahrungspflicht zu genügen - aber auch, um gegebenenfalls ganz bestimmte Daten innert nützlicher Frist zugänglich machen zu können. Technisch bedeutet dies, dass Unternehmen bei der Archivierung alle dafür konfigurierten Dokumente und Daten auf lange Zeit, vollständig, inventarisierbar, lesbar und manipulationssicher speichern.

Die Archivierung nützt dazu meist ein System zur E-Mail-Archivierung. Neuere Backup-Appliances lassen sich beispielsweise so konfigurieren, dass sie geschäftskritische Daten archivieren, was für Geschäftsbücher, elektronische Buchungsbelege und E-Mail-Geschäftskorrespondenz gesetzlich für eine Dauer von 10 bzw. 20 Jahre vorgeschrieben ist. Das heisst, technisch verschmelzen Backup und Archivierung an bestimmten Punkten. Die Kernfunktion von Backup-Tools ist es jedoch, aktuelle Kopien von Systemzuständen anzulegen. Zugespitzt und vereinfacht gesagt, dient Archivierung der Compliance und Backup dem gesunden Eigeninteresse von Unternehmen. Dass sich dies nicht ganz trennen lässt, verrät der nächste Abschnitt.

Zweiter Mythos: Backup ist freiwillig

Wer ohne Backup-Konzepte lebt, lebt aufregend. Man macht sich nicht von vornherein strafbar: Im Schweizer Strafgesetz ist die redundante Speicherung von Daten nicht verankert. Die Aussage, Backup sei freiwillig und habe mit Compliance gar nichts zu tun, ginge wiederum zu weit. Ein Unternehmen, das geschäftskritische Daten verliert, hat in der Regel geringe Überlebenschancen. Mit dem neuen GmbH- und dem angepassten Aktienrecht sind Organe wie beispielsweise die Mitglieder des Verwaltungsrats, Geschäftsführer oder ein CIO bis zu einem gewissen Grad persönlich für das Übersehen von Risiken haftbar. In der seit 2008 als Anhang zum Geschäftsbericht obligatorischen Risikobeurteilung sollte zur eigenen Absicherung deshalb erläutert werden, wie dem Risiko eines Verlust von geschäftskritischen Daten begegnet wird. Zudem legt das Basel-II-Regelwerk für Banken eine verantwortungsvolle Informationstechnologie implizit als Kriterium für die Ermittlung der Bonität eines Unternehmens fest. Prozesse zur Sicherung und Wiederherstellung von IT-Systemen sind somit keine freiwilligen Aufgaben mehr. Im Fall des Falles kann ein Datenverlust aufgrund fehlender Backup-Prozesse unangenehme Folgen für ein Unternehmen haben: Sie reichen von höheren Zinsen für Kredite über die Haftung im Schadensfall, Regressansprüchen bis hin zum Image- und Vertrauensverlust.

Dritter Mythos: Lokale Festplatten von Mitarbeitern müssen vom Backup ausgenommen werden

Jede Firma hat das Recht, auch lokale Festplatten der Mitarbeiter-PCs und so genannte persönliche Laufwerke in die Datensicherung einzubinden, wenn dort für den Arbeitgeber relevante Geschäftsdateien gespeichert werden. Wenn es sich um steuerlich relevante Dokumente handelt, ist es sogar Pflicht, auch die persönlichen Datenträger per Backup zu erfassen. Von diesen Regelungen sind jedoch Ordner ausgenommen, die deutlich als "Privat" gekennzeichnet sind. Unternehmen sollten daher ein internes Nutzungsreglement einführen, dass die Speicherung von privaten E-Mails, Dateien und Dokumenten nur in entsprechend deutlich gekennzeichneten Verzeichnissen erlaubt. Diese werden dann per Konfiguration von den Backup-Prozessen ausgeschlossen oder so gespeichert, dass nur der Urheber auf die Daten zugreifen kann. Doch selbst wenn private Ordner und E-Mails ausgenommen sind, schliesst ein umfassendes Backup immer die Speicherung personenbezogener Daten mit ein, beispielsweise solche aus der Personalabteilung oder Log-Files mit Zugriffsprotokollen von Mitarbeitern. Daher müssen weitere Vorschriften des Datenschutzgesetzes beachtet werden. Demnach sind Unternehmen dazu verpflichtet, personenbezogene Daten mit technischen Massnahmen ausreichend zu schützen und dafür besorgt zu sein, dass die Vertraulichkeit der Daten gewährleistet ist, um allfälligen Verletzungen von Persönlichkeitsrechten vorzubeugen. Generell kann gesagt werden, dass personenbezogene Daten eher früher als später gelöscht werden sollten. Womit wir zum nächsten Abschnitt kommen.

Vierter Mythos: Gelöscht ist nicht gelöscht

Das Backup speichert Systemzustände - und damit Daten - grundsätzlich nur für kurze Zeit. Je nach Backup-Konzept handelt es sich meist um einen Tag oder wenige Wochen, das ist jedem Unternehmen selbst überlassen. Die Daumenregel beim Backup lautet: Was auf dem Quellsystem gelöscht wird, wird in Kürze auch im Backup gelöscht. Ausnahmen können bei Backup-Software und Backup-Appliances jedoch leicht konfiguriert werden. Dann dient die Backup-Infrastruktur gleichzeitig der Archivierung. Neben den gesetzlich vorgeschriebenen steuerrelevanten Daten archivieren Unternehmen darüber hinaus die gesamte externe und interne E-Mail-Korrespondenz, Dateisysteme, Datenbanken und Informationen aus Kollaborations-Infrastrukturen, um bei allfälligen Streitigkeiten mit Beweismaterial gewappnet zu sein. Dabei gilt es ein Auge auf die gesetzlichen Verjährungsfristen zu werfen. Um auf der sicheren Seite zu sein, empfiehlt sich generell eher eine längere Aufbewahrungsdauer im Bereich von 15 bis 20 Jahren.

Fünfter Mythos: Backup, das sind Tapes

Der Gesetzgeber hat in der Verordnung über die Führung und Aufbewahrung der Geschäftsbücher die zulässigen Informationsträger zur Aufbewahrung von Unterlagen klar umschrieben. Einerseits die unveränderbaren Informationsträger wie Papier, Bildträger, Lochstreifen; Steckmodule; Daten-CD oder DVDs; andererseits die veränderbaren Informationsträger wie Magnetbänder, Tapes, Disketten, Fest- oder Wechselplatten und Solid-State-Speicher. Besonders zu beachten gilt es dabei, dass für die genannten veränderbaren Informationsträger anhand digitaler Signaturverfahren, Zeitstempel, Protokolle und Log-Files die Integrität der gespeicherten Informationen belegt werden muss

Als Standard-Medium für das Backup galten über Jahre hinweg die Tapes. Derzeit werden sie abgelöst durch Speicherung auf die Festplatten dedizierter Appliances, ergänzt durch zusätzliche Spiegelungen in der Cloud. Ein wichtiger technischer Vorteil ist das kürzere Backup-Fenster, weil die Appliance nach dem ersten Voll-Backup nur noch das "Delta" – den Unterschied zum vorangegangen Stadium – speichert. Der wichtigste Vorteil der Kombination aus Appliance und Cloud aus Compliance-Sicht besteht jedoch darin, dass jedes Backup-Image täglich (oder auch öfter), automatisch an entfernte Standorte übermittelt werden kann. Eine so häufige Sicherung für den Katastrophenfall hätte in der Zeit der Backup-Bänder eine ausgefeilte und teure Logistikkette erfordert. Das heisst, obwohl das einzelne Tape im Vergleich zur einzelnen Festplatte als das robustere Speichermedium gilt, ist die langfristige Wiederherstellungsfähigkeit und Geschäftskontinuität unter verschiedenen Katastrophen-Szenarien heute besser mit einer Kombination aus Appliance und Cloud zu gewährleisten.

Sechster Mythos: Das Backup darf nicht in die Cloud

Es kommt auf die Art der Daten an, um zu bestimmen, wo sie gespeichert werden dürfen. Grundsätzlich ist gegen die preislich attraktive Speicherung von Backups in der Cloud nichts einzuwenden. Stammen die Daten aus Bereichen des Rüstungs-, Finanz- und Medizinalwesens sind spezielle Geheimnisschutzvorschriften zu beachten, wo beispielsweise die Daten das Land nicht verlassen dürfen. Generell sollte darauf geachtet werden, dass der Zugriff auf die Daten von nicht befugten Personen über vorgängig durchzuführende Verschlüsselungsprozesse oder Zugriffssperren verhindert wird. Dazu gehört z.B. die technische Anforderung, dass Administratoren ihre Aufgaben erledigen können, ohne dabei gleichzeitig Zugriff auf die gespeicherten Daten erhalten zu müssen. In Grossunternehmen, die ohnehin eine eigene Cloud betreiben (lassen), können auch diese Rechenzentren-Ressourcen für den Backup genutzt werden. Eine dritte Möglichkeit ist es, aus einem Verbund von Appliances an verschiedenen Standorten eine in sich geschlossene Backup-Cloud aufzubauen. In jedem Fall gilt: Höchste Performance bei der Datenwiederherstellung bietet ein Backup in einer Appliance vor Ort, eine optimale Disaster Recovery bieten zwei räumlich getrennte Kopien.

Siebter Mythos: Durch Backup-Outsourcing ist man die Haftung los

Wer einen Dienstleister mit dem Backup beauftragt, ist viele Sorgen los. Aber nicht alle. Anbieter mit einer Lösung aus Software, Hardware und Services, sichern die Daten nicht nur, sondern prüfen auch die Vollständigkeit und Integrität der Daten. Werden die Daten einem Dienstleister übergeben, so ist darauf zu achten, dass der Übertrag protokolliert wird, den Daten nichts passiert und niemand Zugriff darauf hat. Der Auftraggeber muss somit, nebst Ausschöpfung der technischen Sicherungsmöglichkeiten, mittels vertraglichen Regeln und Kontrollen die Einhaltung der Datenschutzregeln und Geschäftsbücherverordnung sicherstellen. Die rechtlichen Aspekte lassen sich somit nicht gänzlich auslagern. Und auch die Haftungsfrage - sollte einmal durch ein mangelhaftes Backup oder eine unbeabsichtigte Veröffentlichung ein Schaden entstehen - muss in einem Vertrag genau geregelt werden. Denn die übergeordnete Haftung liegt nach wie vor beim Verwaltungsrat, der Geschäftsführung und dem CIO. Sie stehen teilweise auch in der persönlichen Verantwortung, den Vertrag mit Dienstleistern so auszugestalten, dass die technischen, rechtlichen und kaufmännischen Risiken im Umgang mit Daten minimiert werden.

Juristisches Pflichtenheft für die Archivierung von E-Mails

Folgende Schweizer Gesetze und Vorschriften sollte ein E-Mail-Archivierungssystem minimal abdecken:

Obligationenrecht (Art. 957 und 962 OR)

  • Aufbewahrungspflicht für Geschäftsbücher sowie elektronische Buchungsbelege und E-Mail- Geschäftskorrespondenz
  • Pflicht, die Geschäftsbücher sowie elektronische Buchungsbelege und E-Mail- Geschäftskorrespondenz jederzeit lesbar machen zu können
  • Aufbewahrungspflicht von zehn Jahren

Geschäftsbücherverordnung (Art. 2 ff. GeBüV)

  • Pflicht zur Einhaltung der Grundsätze der ordnungsgemässen Datenverarbeitung
  • Pflicht zur Einhaltung des Grundsatzes der Integrität (Echtheit und Unverfälschbarkeit)
  • Pflicht zur Einhaltung des Dokumentationsgrundsatzes
  • Pflicht zu einer Aufbewahrung, die vor schädlichen Einwirkungen schützt
  • Pflicht zu einer Aufbewahrung, die ermöglicht, dass die Geschäftsbücher innert angemessener Frist eingesehen und geprüft werden können
  • Pflicht, die Geschäftsbücher auf Begehren einer berechtigten Person ohne Hilfsmittel lesbar machen zu können
  • Pflicht, archivierte Informationen von aktuellen Informationen zu trennen bzw. so zu kennzeichnen, dass eine Unterscheidung möglich ist
  • Pflicht, archivierte Daten innert nützlicher Frist zugänglich machen zu können
  • Pflicht, systematisch zu inventarisieren und vor unbefugtem Zugriff zu schützen
  • Pflicht zur Verwendung von zulässigen Informationsträgern gemäss Art. 9 GeBüV
  • Pflicht zur regelmässigen Überprüfung der Informationsträger auf Integrität und Lesbarkeit Protokollierungspflicht bei der Übertragung von Daten von einem Informationsträger auf einen anderen

Datenschutzgesetz (Art. 5, 7, 8 und 12 DSG)

  • Pflicht zu technischen Massnahmen zum Schutz der archivierten personenbezogenen Daten
  • Pflicht, berechtigten Personen über personenbezogene Daten Auskunft zu geben

Datenschutzverordnung (Art. 8, 9 und 10 VDSG)

  • Pflicht, dafür besorgt zu sein, dass die Vertraulichkeit, die Verfügbarkeit und die Integrität der Daten gewährleistet ist
  • Pflicht, bei automatisierter Bearbeitung von Personendaten durch technische Massnahmen zu erreichen, dass die Zugangskontrolle, die Personendatenträgerkontrolle, die Transportkontrolle, die Bekanntgabekontrolle, die Speicherkontrolle, die Benutzerkontrolle, die Zugriffskontrolle und die Eingabekontrolle gewährleistet sind

Bundesgesetz über die direkte Bundessteuer (Art. 126 Abs. 2 und 3 DBG)

  • Pflicht zur Vorlage von Geschäftsbücher, Belegen und weiteren Urkunden über den Geschäftsverkehr
  • Aufbewahrungspflicht von zehn Jahren

Mehrwertsteuergesetz (Art. 42 Abs. 6 und 70 MWSTG)

  • Pflicht zur Aufbewahrung von Geschäftsbüchern, Belege und Geschäftspapiere während zehn bzw. zwanzig Jahren

Mehrwertsteuerverordnung (Art. 122 und 123 MWSTV)

  • Pflicht des Nachweises des Ursprungs, der Integrität und der Nichtabstreitbarkeit des Versands
  • Pflicht zur Sicherstellung der Lesbarkeit der Daten

Kommentare

« Mehr