DSGVO: Backup ist Pflicht!

DSGVO BackupPhoto by Joshua Sortino on Unsplash

von Dr. Ronald Kandelhard, Rechtsanwalt und Mediator, Fachanwalt für Handels- und Gesellschaftsrecht.

Wie Du die Datenschutzgrundverordnung einhältst und nicht mit Abmahnungen, Schadensersatz oder Bußgeldern rechnen musst

Datensicherung ist eines der besonderen Ziele der DSGVO. Dafür sind regelmäßige Backups unverzichtbar. Deshalb alles zu DSGVO und Backups: Wie Du die DSGVO einhalten kannst. Erfahre hier zudem, wie Du Backups sogar automatisierst und als Webdesigner oder Agentur damit (passiv) Geld verdienst. 

Inhalt

I. Was kann alles passieren?

Das ein Backup vielleicht die elementarste Sicherungsmaßnahme bei Datenverarbeitung ist, braucht man eigentlich kaum mehr betonen. Ein traurig berühmtes Beispiel betrifft die Vernichtung sämtlicher Daten des US-Mail Anbieters VFEmail. Hier zerstörten Eindringlinge sämtliche Datenträger im Unternehmen, externe Sicherungen gab es offenbar nicht. 

Bist Du Administrator einer oder mehrerer Websites oder hast Ihre Wartung vertraglich übernommen? Dann wäre eine solche Situation ein riesiger Haftungsfall. Nicht erst seit der DSGVO ist Datensicherung eine glasklare Berufspflicht. Verletzt Du diese, bist Du schadensersatzpflichtig. Das wären die Kosten der Wiederherstellung der Daten, aber auch die Schäden, die durch ihren Verlust eintreten. Solche Schäden sind immer besonders umfangreich. Daneben fällt dann das sicher auch fällige Bußgeld nach der DSGVO klein aus. Sechs- oder gar siebenstellige Summen (je nach Art und Umfang der von Dir verantworteten Daten) sind dann schnell erreicht. Da hilft nur noch eine gute Versicherung, die auch ein falsches Backup-Konzept abdeckt (angeboten z.B. von der GLS).  

II. Was sagt die DSGVO zu Backups?

Die Datenschutzgrundverordnung regelt Backups nicht ausdrücklich. Nach Art. 5 DSGVO müssen Verantwortliche eine angemessene Sicherheit der verarbeiteten personenbezogenen Daten gewährleisten. Dafür sind nach Art. 32 Abs. 1 lit. c DSGVO technische und organisatorische Maßnahmen (sog. TOM) notwendig, um die Daten zu schützen. Dazu gehört

„c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen.“

III. Widersprechen Backups nicht dem Datenschutz?

Damit sind DSGVO konforme Backups unverzichtbar. Das widerspricht aber insbesondere dem Ziel der Datensparsamkeit. Beim Datenschutz geht es schließlich auch darum, dass möglichst wenig personenbezogene Daten existieren. Durch Backups werden solche Daten dagegen ständig vermehrt und länger aufbewahrt. 

Auf der ersten Ebene spricht sich die DSGVO eindeutig für Backups aus. Es muss aber trotzdem sichergestellt werden, dass personenbezogene Daten im Rahmen der Löschpflichten nach der DSGVO auch in Backups entfernt werden.

IV. Was ist ein Backup Konzept nach DSGVO?

Insgesamt brauchst Du nach der DSGVO daher ein umfassendes Backup-Konzept. Hier musst Du zunächst dafür sorgen, dass alle Daten des Unternehmens erfasst und wirklich gesichert werden. Zudem musst Du dafür sorgen, dass personenbezogene Daten, die nicht mehr benötigt werden, gelöscht oder jedenfalls anonymisiert werden. Eine umfassende Darstellung eines solchen Konzepts nebst Checkliste findest Du hier.

V. Muss ich Backups überprüfen?

Mit einem einfachen Backup ist es aber nicht getan. Ein Backup nach DSGVO stellt hohe Anforderungen an die Sicherheit der Daten. Daher fordert Art. 32 Abs. 1 lit. d DSGVO

d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Du musst Dein DSGVO konformes Backup also nicht nur einfach erstellen, sondern auch regelmäßig kontrollieren, ob die Backup-Routine funktioniert und die gesicherten Daten vollständig und unbeschädigt sind. Damit wird ein Tool zur Überprüfung Deiner Backups fast schon zur Pflicht. Ein solches ist für das beliebte CMS Joomla etwa BackupMonkey. Hier wird Dein Backup hochgeladen, auf einem Testsystem auf Vollständigkeit und Funktionsfähigkeit des Datensatzes geprüft und dann (DSGVO-konform) gelöscht. So kannst Du sicher sein, dass Dein Backup in Übereinstimmung mit Art. 32 Abs. 1 lit. d DSGVO immer überprüft wird. So ganz nebenbei nimmt Dir als Administrator, Webdesigner oder Agentur so ein Tool auch viel Arbeit ab, weil Du mit BackupMonkey Deine Backups über viele Instanzen automatisiert einstellen und erledigen (lassen) kannst. 

VI. Muss ich Backups in der Datenschutzerklärung angeben?

Bekanntlich ist jeder Betreiber einer Website nach der DSGVO verpflichtet, den Nutzer über die Verarbeitung seiner personenbezogenen Daten zu informieren. Dazu dient die Datenschutzerklärung auf Deiner Website. 

Einfache Backups innerhalb Deines Unternehmens brauchst Du nicht in der Datenschutzerklärung angeben. Hier bleiben die Daten bei Dir, auf Deinen Servern, Du musst nicht angeben, ob und wie oft Du ein DSGVO Backup machst. Anders wird das aber gegebenenfalls, wenn Du Dein Backup (auch) in der Cloud sicherst oder für das Backup einen Drittanbieter verwendest, an den die gesicherten Daten weitergegeben werden – wie z.B. bei BackupMonkey.

Nutzt Du ein Tool, mit dem die Daten geprüft werden (was sich nach den Grundsätzen zu Frage 5 durchaus empfiehlt), ist evtl. eine Ergänzung der Datenschutzerklärung der betroffenen Website erforderlich. 

Jede Weitergabe der Daten ist anzugeben, wenn sie im Rahmen einer sog. Auftragsverarbeitung erfolgt (Näheres dazu und zur Abgrenzung von anderen Formen der Weitergabe von Daten hier). Ob die Prüfung eines Backups, erst Recht, wenn sie ohne das Auslesen der enthaltenen Daten erfolgt, wirklich eine Auftragsverarbeitung ist, ist durchaus fraglich. Nach dem Grundsatz des sichersten Weges empfiehlt sich aber ein Auftragsverarbeitungsvertrag und die Angabe des Backup-Tools in der Datenschutzerklärung.  

VII. Wie kann ich mit Backups Geld verdienen?

Jede Last ist aber gleichzeitig Chance. Bist Du Administrator, Webdesiger oder Agentur und verfügst Du über die erforderlichen Fertigkeiten, kannst Du Deinen Kunden regelmäßige Backups als Service anbieten. Statte Dich mit einem passenden Wartungsvertrag aus (z.B. dem von easyContracts), suche Dir ein passendes Tool (wie z.B. BackupMonkey) und einen geeigneten Anbieter für die erforderliche Datenschutzerklärung (wie z.B. easyRechtssicher) und kreiere monatlich wiederkehrende Einnahmen. 

Gutes Gelingen mit Deiner Datensicherung – mehr über die DSGVO erfährst Du hier.

Dr. Ronald Kandelhard

Dr. Ronald Kandelhard, Rechtsanwalt und Mediator, Fachanwalt für Handels- und Gesellschaftsrecht. Ronald war lange Zeit an der Universität, in der Rechtsberatung von Staaten und als Rechtsanwalt tätig. Jetzt entwickelt er mit seinem Startup Paragraf7 automatisierte Lösungen für rechtliche Probleme von Unternehmen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.