Menu
RA-MICRO Logo

Anlässlich des Jahrestages der DSGVO

von Nils Möllers | 25.05.2022

4. Jahrestag und 3-2-1-Regel – Datenschutz und Datensicherung sind untrennbar miteinander verbunden.

Eine regelmäßige Datensicherung gehört zum datenschutzrechtlichen Pflichtenkatalog und ist besonders für Kanzleien wichtig. Backups sind regelmäßig, am besten quartalsweise zu erstellen, mindestens einmal im Jahr. Um die personenbezogenen Daten gem. Art. 5 DSGVO zu schützen und die Verarbeitung von personenbezogenen Daten gem. Art. 32 DSGVO zu sichern, muss ein Disaster-Recovery-Plan erstellt werden, damit die Pflichten aus der DSGVO erfüllt werden.

Ein solcher Plan sollte unter anderem die Prüfung der Kritikalität des Systems, der Daten, der Datenbank und der Informationen beinhalten. Ebenso aber auch die Wahrscheinlichkeit für die Notwendigkeit der Daten in einem Notfall und wie schnell diese wiederhergestellt werden können. Ferner sollten zudem die zugrundeliegende Datensicherungstechnologie und Methode, sowie der Standort des gesicherten Systems oder der gespeicherten Daten geprüft werden. Für die Datensicherung sollte der Verantwortliche eine eigene Policy erstellen, in der klar geregelt ist, wo die Backups aufbewahrt und wie sie geschützt werden. In der Policy sollte außerdem festgelegt sein, welche Datenbestände und Systeme wie oft und mit welcher Methode für welche Dauer gesichert werden sollen.

Grundsätzlich sollte bei der Erstellung von Backups die 3-2-1 Regel beachtet werden. Das heißt, dass drei Datensätze auf zwei Backup-Trägern, von denen einer nicht in den eigenen vier Wänden ist, erstellt werden sollten. Die Backups sollten daher auch nie an denselben Ort zurück gesichert werden. Außerdem sollten die verwendeten Datenträger von guter Qualität und nicht vom gleichen Hersteller sein. Idealerweise wird zusätzlich regelmäßig eine verschlüsselte Version eines Backups in einem Cloud-Speicher gesichert.

Wichtig ist außerdem, die Daten zu verschlüsseln und das Backup-Verfahren selbst abzusichern. Um sich vor der unfreiwilligen Verschlüsselung durch Trojaner zu schützen, sollte die Backup-Cloud nicht permanent mit dem System verbunden sein, sondern immer bei Bedarf etwa über SFTP oder einen anderen Dienst im Zuge des Backups verbunden werden. Außerdem sollte zuverlässige Technik verwendet werden, die voraussichtlich auch noch in mehreren Jahren funktionieren wird. Zu beachten ist zudem, dass ein RAID-System keine Datensicherung ersetzt. Nach dem Backup sollte überprüft werden, ob alles geklappt hat und lesbar ist.

Gastautor Nils Möllers, Geschäftsführer Keyed GmbH