01.10.2018

DSGVO: So gewährleisten Sie die Wiederherstellbarkeit von Daten

Zur Sicherheit der Verarbeitung personenbezogener Daten nach DSGVO gehört die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen. Das erfordert mehr als regelmäßige Backups.

DSGVO Wiederherstellbarkeit

Technischer Zwischenfall als Datenschutzverletzung

Speichern Unternehmen Passwörter unverschlüsselt oder legen sie Kundendaten ungewollt im Internet offen, ist der Gedanke an eine Datenschutzverletzung naheliegend.

Anders sieht das bei einem IT-Vorfall aus, bei dem ein Wasserschaden im Rechenzentrum oder die Überhitzung von Servern personenbezogene Daten zerstört, nachdem die Klimaanlage ausgefallen ist.

Doch Unternehmen müssen personenbezogene Daten nicht nur vor Verlust der Vertraulichkeit und Integrität schützen. Die Daten müssen auch verfügbar sein.

Die Schutzziele der Datenschutz-Grundverordnung (DSGVO) sind an sich gut bekannt. Weniger im Blick sind jedoch die Maßnahmen, die nötig sind, um die Verfügbarkeit sicherzustellen.

Viele Unternehmen denken dabei an regelmäßige Backups. Doch ob sie die Datensicherung wirklich ausführen, steht auf einem anderen Blatt.

Belastbarkeit und Wiederherstellbarkeit

Die Datenschutz-Grundverordnung fordert allerdings mehr als eine Datensicherung, um die Verfügbarkeit zu gewährleisten:

  • Zum einen müssen die Systeme und Dienste belastbar sein.
  • Zum anderen darf die Wiederherstellbarkeit nicht unter den Tisch fallen. Lassen sich die Daten nach einem Zwischenfall nicht wiederherstellen, verletzt das die Vorgaben der DSGVO. Denn die Daten sind nicht mehr verfügbar.

Anforderung an Wiederherstellbarkeit beachten

Artikel 32 DSGVO spricht von der „Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen“.

Das bedeutet, dass Unternehmen zum einen die Daten wieder verfügbar machen können müssen. An dieser Stelle helfen die hoffentlich vorhandenen regelmäßigen Backups.

Die DSGVO fordert aber auch den Zugang zu den Daten. Diese weitere Forderung ist einerseits logisch. Denn Daten, die in einem Backup gesichert sind, helfen wenig, wenn man nicht an sie herankommt. Andererseits ist die Forderung nicht trivial.

Wiederherstellbarkeit regelmäßig testen

Damit die Daten zugänglich sind, muss die IT sie von den Backup-Medien wieder einspielen können. Voraussetzungen dafür:

  • Die Anwendungen, die für den Zugang zu den Daten erforderlich sind, müssen ebenfalls verfügbar sein.
  • Ist dafür eine spezielle Hardware nötig, muss auch diese einwandfrei laufen.
  • Nicht zuletzt müssen die Berechtigungen und digitalen Identitäten verfügbar sein, damit die Nutzer zugreifen können.

Sehr anschaulich machen den Unterschied zwischen Backup und Zugang zum Backup die zunehmend beliebten Cloud-Datensicherungen.

Befinden sich die verlorenen Daten in einem Online-Backup, ist dies erst der Anfang der Wiederherstellung. Fehlt nämlich die Verbindung zur Backup-Cloud, lassen sich die Daten nicht rasch wiederherstellen.

Deshalb müssen Unternehmen die Wiederherstellbarkeit regelmäßig überprüfen. Im Idealfall ist das Teil des Verfahrens, das die DSGVO fordert, um die Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung regelmäßig zu überprüfen und zu bewerten.

Datensicherheitskonzept

In einem Datensicherheitskonzept nach DSGVO dürfen deshalb Tools nicht fehlen, die die Wiederherstellbarkeit prüfen.

Solche Tools gibt es auch als Teil einer professionellen Backup-Lösung, die regelmäßig und automatisch testen, ob sich die Daten tatsächlich wiederherstellen lassen. Bei Online-Backups fängt das damit an, die Internet-Verbindung zur Cloud zu prüfen.

Autor: Oliver Schonschek (Diplom-Physiker, IT-Analyst und Fachjournalist)