Gut zu wissen

Grundlagen der DSGVO für Hausverwalter

Einstiegshilfe zur Umsetzung des Datenschutzes für Hausverwalter

Nur noch wenige Monate, dann ordnet sich der Datenschutz neu und die europäische Datenschutz-Grundverordnung (DSGVO) tritt in Kraft. Genauer gesagt werden ab dem 25. Mai 2018 die Betroffenenrechte von natürlichen Personen neu definiert und müssen zukünftig ein entsprechendes Schutzniveau vorweisen. So mancher Hausverwalter steht nun vor der Aufgabe seinen täglichen Umgang mit persönlichen Daten von Mietern, Eigentümern aber auch den eigenen Mitarbeitern zu analysieren, zu bewerten und Prozesse nach den Vorgaben der neuen Verordnung anzupassen. Den klassischen Hausverwalter plagen sowieso schon viele gesetzliche Vorgaben, so das für die meisten die neue DSGVO ein schier unüberwindliches Hindernis darstellt. Denn die DSGVO ist alles andere als ein Gesetz, dass man so nebenbei in seine tägliche Arbeit einfließen lassen könnte und sich dabei vieles von selbst erledigen würde. Für die meisten Hausverwalter fängt die Problematik schon damit an, dass sie sich die Frage stellen „womit muss ich eigentlich anfangen?“

Aufsichtsbehörden werden in Zukunft ganz anders vorgehen, als es in der Vergangenheit der Fall war. Viele Aufsichtsbehörden hatten punktuell Anfragen an Unternehmen gestellt, die dann (per Formular) etwaige datenschutzrechtliche Prozesse nachvollziehbar darstellen mussten, um der Behörde einen Überblick über den jeweiligen Vorgang zu ermöglichen. Dabei war es in den meisten Fällen sekundär, wie die übrige Datenschutzorganisation gestaltet war. In Zukunft lässt sich die Aufsichtsbehörde sozusagen einen Katalog vorlegen, welche die gesamte Datenschutzorganisation - natürlich in Kurzform - im Unternehmen darstellt. D. h., jedes Unternehmen muss auf Verlangen der Behörden mit entsprechenden Unterlagen reagieren.

Damit sich der Verwalter etwas orientieren kann, hier also eine kleine Anleitung, wie das „Anfangen“ etwas einfacher funktioniert.

1. Aufgabe: Kann mir jemand helfen?

Datenschutz ist kein Produkt, dass man kaufen und irgendwie in seine tägliche Arbeit einfließen lassen kann, sondern ein stetiger Prozess. Und dieser muss auf seine Wirkung, Einhaltung und Umsetzung stets überwacht werden. Hierzu bedarf es oft professioneller Hilfe. Ein probates Mittel ist zum Beispiel der Datenschutzbeauftragte (DSB). Für Hausverwaltungen, die mehr als neun Personen beschäftigen, die regelmäßig am Computer personenbezogene Daten verarbeiten, müssen per se einen DSB bestellen. Dies ist schon nach dem alten Bundesdatenschutzgesetz (BDSG) eine gesetzliche Pflicht und wird auch nach der neuen DSGVO weiterhin bestehen bleiben. Aber auch kleine Hausverwaltungen, die weniger als neun Personen beschäftigen sollten einen DSB - zumindest für die wichtigen Anforderungen - hinzuziehen.

Wichtiger Hinweis: ab dem 25. Mai 2018 muss jeder DSB namentlich der zugehörigen Landes-Datenschutzbehörde namentlich benannt werden. Damit wird auch gesichert, dass die entsprechende Person im Unternehmen zum einen als Ansprechpartner sofort lokalisiert werden kann und zum anderen wird die notwendige Sachkunde des DSB sozusagen amtlich. Behörden merken nämlich sehr schnell, wenn ein DSB zu wenig oder gar keine Ahnung hat und würden dann möglicherweise etwas genauer hinschauen. Wer als DSB an die Behörde stümperhafte Berichte und Auskünfte, aber auch Fragen übersendet, weckt sozusagen schlafende Hunde und zieht möglicherweise den Augenmerk der Behörden auf sich.

2. Aufgabe: Verarbeitungsverzeichnis!

Erstellen einer Übersicht wo, wie und mit welchen Mitteln personenbezogene Daten verarbeitet werden. (Art. 30 DSGVO). Dies wird zukünftig besonders von den Aufsichtsbehörden kontrolliert werden. Jedes Unternehmen ist nun verpflichtet eine Übersicht sämtlicher Verarbeitungsprozesse zu analysieren und zu dokumentieren. Die Aufsichtsbehörden werden zukünftig Unternehmen anschreiben und auffordern eine Übersicht der Verfahren vorzulegen. Wer kein Verarbeitungsverzeichnis angelegt und führt, begeht einen datenschutzrechtlichen Verstoß, welcher mit einem Bußgeld geahndet werden kann.

Aber: der Art. 30 DSGVO Abs. 5 besagt aber auch, dass das Führen eines Verarbeitungsverzeichnisses nicht für Unternehmen oder Einrichtungen gilt,

„..die weniger als 250 Mitarbeiter beschäftigen, es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1“
Hausverwalter verarbeiten sogar sehr häufig besondere Kategorien personenbezogener Daten, ohne dass sie es besonders wahrnehmen. Ein Beispiel sei nur ein Mieter, der im Rollstuhl sitzt. Auch Bankdaten sind im entfernten Sinne besondere Kategorien personenbezogener Daten. Oder Lohnabrechnungen für Mitarbeiter erfüllen bereits den Tatbestand zum Führen eines Verarbeitungsverzeichnisses. Daher ist das Anlegen eines Verarbeitungsverzeichnisses eine gesetzliche Pflicht.

Achtung: nach der DSGVO ist nun nicht mehr der Datenschutzbeauftragte für die Führung der Verzeichnisse verantwortlich, sondern der Verantwortliche (also der Hausverwalter). Nachfolgende Verfahren (Auszug von Beispielen) müssen in das Verarbeitungsverzeichnis aufgenommen werden:

  • Kommunikationssoftware (zum Beispiel MS Outlook) Jede Software, die zur Korrespondenz mit Eigentümern, Mietern, Kunden, Partnerunternehmen eingesetzt wird muss in das Verarbeitungsverzeichnis aufgenommen werden.
  • Hausverwalterprogramm Jegliche Software, die den Hausverwalter bei seiner täglichen Arbeit unterstützt (z.B. HausPerfekt, Domus, Haufe, etc.), muss in das Verarbeitungsverzeichnis aufgenommen werden.
  • Buchhaltung Jegliche Software, wie etwa Lohn- und Gehaltsprogramme (zum Beispiel DATEV), aber auch Software die unterstützend zur Buchhaltung eingesetzt wird, müssen in das Verarbeitungsverzeichnis aufgenommen werden.
  • Webportal Nutzt ein Hausverwalter ein sogenanntes Webportal, um dort Dokumente (Protokolle, Abrechnungen, etc.) für seine Kunden bereitzustellen, muss dieses in ein Verarbeitungsverzeichnis aufgenommen werden.
  • Dokumentenmanagementsystem (DMS) Alle DMS-Systeme müssen nicht nur nach den Grundsätzen der GoBD dokumentiert werden, sondern auch in das Verarbeitungsverzeichnis aufgenommen werden.
  • Termin- und Kontaktverwaltung Programme die zur Koordination von Terminen, sowie elektronische Adressbücher (Adressdatenbank) müssen in das Verarbeitungsverzeichnis aufgenommen werden.
  • Zeiterfassungs- und Zutrittskontrollsysteme Jegliche Systeme die Arbeitsbeginn und Ende von Mitarbeitern (aber auch Besuchern) erfassen müssen in das Verarbeitungsverzeichnis aufgenommen werden.
Wie gesagt, handelt es sich hierbei nur um einen Auszug der möglichen Verfahren und Prozesse, die in einem Verarbeitungsverzeichnis aufgenommen werden müssen. Nun stellt sich aber die Frage, wen man denn so ein Verzeichnis aufbauen muss? Die DSGVO sieht hierfür keine bestimmte Form vor. D. h., es könnte so ein Verzeichnis sogar handschriftlich ausgefüllt werden. Aber Hauptsache schriftlich.

Was muss alles drinstehen? (Kurzform)

  • Angaben zum Verantwortlichen (Kontaktdaten des Unternehmens und des Inhabers/Geschäftsführers)
  • Kontaktdaten und Namen des Datenschutzbeauftragten (auch externe Datenschutzbeauftragte müssen mit Adresse benannt werden)
  • Bezeichnung der Verarbeitungstätigkeit
  • Zweck der Verarbeitung
  • Angaben zu den Personen, deren Daten verarbeitet werden (zum Beispiel Mieter, Eigentümer, Mitarbeiter etc.)
  • Die Art der zu verarbeitenden Daten (also Adressen, Telefonnummern, E-Mail-Adressen, Wohnungsnummern, etc.)
  • Empfänger denen diese Daten offengelegt wurden oder offengelegt werden
  • Datenübermittlung (hier ist gemeint, ob die Daten in sogenannte Drittländer übermittelt werden. Zum Beispiel der Einsatz von sogenannten Cloud-Diensten, die von Unternehmen außerhalb der EU angeboten werden)
  • Löschfristen (hier muss peinlichst darauf geachtet werden, dass die Löschfristen entsprechend eingehalten werden)
  • Allgemeine Beschreibungen der technischen und organisatorischen Maßnahmen. Hier muss dargelegt werden, welche Sicherheitsmaßnahmen innerhalb des Unternehmens ergriffen wurden, um ein angemessenes Schutzniveau zu gewährleisten.

    Beispiele hierfür sind:

    1. Verschlüsselung oder Pseudonymen von personenbezogenen Daten (gerade E-Mails mit personenbezogenen Daten dürfen nur noch verschlüsselt übersendet werden)
    2. Darstellung von Maßnahmen um ein System bei Ausfall wieder rasch herstellen zu können
    3. Sensibilisierung und Unterweisung von Mitarbeitern
    4. Darstellung etwaiger Berechtigungskonzepte innerhalb des Unternehmens (wer darf auf welche Daten zugreifen)
    5. Prüfung über die Stabilität des eingesetzten DV-Systems (hier soll dargestellt werden, in welchem Zustand sich das System befindet und wie hoch die Anfälligkeit für einen Ausfall ist)
Unter folgendem Link finden Sie eine detaillierte Anleitung und Hilfe, wie Sie ein Verzeichnis von Verarbeitungstätigkeiten erstellen können. Die Broschüre ist kostenlos und kann als PDF heruntergeladen werden.

▶ GDD-Praxishilfe DS-GVO V (PDF)


Nehmen Sie die Erstellung dieses Verzeichnisses nicht auf die leichte Schulter. Was so einfach formularmäßig dargestellt wird, ist tatsächlich ein in sich geschlossener Prozess. Es wird ausdrücklich davor gewarnt das Formular so auszufüllen, als würden die oben genannten Anforderungen irgendwann einmal umgesetzt werden. Sie sollten sich ernsthaft mit der ist Situation in Ihrem Unternehmen auseinandersetzen und analysieren, welche der vorgenannten Anforderungen erfüllt werden und welche nicht. Um sich hier besser zurechtzufinden gibt es genügend Checklisten, die die Herangehensweise vereinfachen und damit zum Ziel führen. Datenschutzbeauftragte sind meistens mit allen entsprechenden Checklisten ausgestattet und durch ihre Erfahrung mit den Anforderungen bestens betraut. Auch wenn der Datenschutzbeauftragte dafür nicht mehr verantwortlich ist, so wird er jedenfalls mit Rat und Tat zur Seite stehen.

3. Aufgabe: Mit wem arbeite ich zusammen?

Und wie sicher verarbeitet dieser die ihm zur Verfügung gestellten Daten? Wer sind meine externen Dienstleister?

Der Art. 28 DSGVO Abs. 1 beschreibt die Anforderung.

Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.
Der externe Dienstleister steht als leuchtendes Beispiel dafür, dass er zwar bestens das EDV-System, den Kopierer, die Telefonanlage, die Aktenvernichtung des Unternehmens warten ausführen kann, jedoch müssen Sie sich davon überzeugen, dass der Dienstleister innerhalb seines Unternehmens ebenfalls entsprechend datenschutzkonform aufgestellt ist und arbeitet. D. h., allein die Vorlage eines z.B. schönen Schriftstücks, welches eine besondere Fähigkeit ausweist, reicht bei weitem nicht aus, um davon auszugehen, dass der Dienstleister ebenfalls „sauber und datenschutzkonform“ arbeitet. Sie haben als Verantwortlicher (also der Auftraggeber) die Pflicht das Unternehmen entsprechend zu überprüfen.

Merke: wer Dienstleistungen durch externe Servicefirmen in Anspruch nimmt, muss eine entsprechende schriftliche Vereinbarung (Vereinbarung zur Auftragsverarbeitung) schließen. Diese Vereinbarung zur Auftragsverarbeitung beinhaltet ebenfalls eine Auflistung der technischen und organisatorischen Maßnahmen innerhalb des Unternehmens des externen Dienstleisters. Ganz egal, ob der externe Dienstleister 500 Mitarbeiter beschäftigt oder ob ein klassischer „Einzelkämpfer“ verpflichtet worden ist. Die Vereinbarung zur Auftragsverarbeitung ist das Bindeglied zur datenschutzkonformen Zusammenarbeit.

Hier sei aber erwähnt, dass man diese Vereinbarung nicht für jeden Dienstleister pauschal anwenden kann. Ein EDV-Dienstleister hat ganz andere Zugriffsmöglichkeiten auf personenbezogene Daten, als ein Techniker, der die Telefonanlage wartet. Eine Aktenvernichtungsfirma hat wiederum einen ganz anderen Zugriff auf Daten, als das Unternehmen, das den Kopierer (inklusive Festplatte) austauscht und erneuert.

Die schriftliche Vereinbarung zur Auftragsverarbeitung bedarf intensiver Vorgespräche und sollte unter Beteiligung aller verantwortlichen Personen stattfinden. Auch hier wird der DSB die beste Adresse für eine korrekte Vereinbarung zur Auftragsverarbeitung sein.

4. Aufgabe: Datensparsamkeit!

Wenn der Eigentümer dem Hausverwalter die Pistole auf die Brust setzt. Beispiel Mieterselbstauskunft.

Natürlich möchte jeder Eigentümer, der seine Immobilie vermietet gerne wissen, mit wem er es zukünftig zu tun hat. Viele Hausverwalter werden seitens der Eigentümer angewiesen den zukünftigen Mieter entsprechend zu durchleuchten, die Bonität zu erfragen, um anhand der gewonnenen Daten entscheiden zu können. Natürlich möchte man sein „Eigentum“ an solvente, ehrliche und ruhige Mieter übergeben. Leider neigen aber viele Eigentümer dazu, dem Hausverwalter regelrecht die Pistole auf die Brust zu setzen und zu fordern, dass man schon bei der Besichtigung der Wohnung nahezu alles mögliche an Daten aufnehmen möge um schon im Vorfeld entscheiden zu können, wer die Wohnung zukünftig beziehen darf. Hier wird leider viel zu oft vergessen, dass zum Zeitpunkt der Besichtigung nur sehr wenige personenbezogene Daten erhoben werden dürfen. Damit in Zukunft die Aufsichtsbehörden hier weniger kontrollieren müssen ist es sinnvoll, wenn die Selbstauskunft in drei Phasen aufgeteilt wird.

Phase 1

es werden nur postalische Daten des Interessenten erhoben und Angaben zu Telefonnummer und E-Mail werden optional erhoben. Angaben zu Haustieren, zu einem Wohnungsberechtigen

Phase 2

nun erklärt der Interessent, das Mietobjekt anmieten zu wollen. Erst jetzt sind Fragen zum Familienstand und zu den im Haushalt lebenden Personen zulässig. Auch Fragen zu einem Insolvenzverfahren (Verbraucherinsolvenzverfahren) ist zulässig. Fragen zum Arbeitgeber, zum Beschäftigungsverhältnis und zum Beruf sind ebenfalls zulässig. Auch die Einkommensverhältnisse dürfen nun erfragt werden.

Phase 3

nun werden alle Unterlagen benötigt und vorgelegt, die zum Abschluss des Mietvertrages notwendig sind. Aber Achtung! Das Vorzeigen des Personalausweises darf zwar gefordert werden, jedoch ist eine Anfertigung einer Kopie oder das abschreiben entsprechender Daten (PA-Nummer) unzulässig. Viele Hausverwalter lassen sich gerne eine Kopie des Personalausweises übergeben und heften diese zu ihren Akten. Auch eine Bonitätsauskunft ist nur ab einen bestimmten Zeitpunkt zulässig. Die Bonitätsauskunft darf nur dann eingeholt werden, wenn beide Parteien sich darüber einig sind, dass der Mietvertrag nun geschlossen werden soll. Vorher ist die Einholung der Bonitätsauskunft unzulässig und stellt eine unberechtigte Erhebung dar.

Ein Muster der datenschutzkonformen Selbstauskunft können Sie z.B. bei der Aufsichtsbehörde NRW herunterladen.

▶ Muster Mieterselberauskunft (PDF)


Die Orientierungshilfe zur korrekten Erstellung einer „Mieterselbstauskunft“ können Sie z. B. bei der Aufsichtsbehörde Sachsen-Anhalt herunterladen.

▶ Orientierungshilfe Mieterselberauskunft (PDF)


Merke: die Datensparsamkeit wird in Zukunft noch deutlicher ins Licht gerückt werden. Nach Art. 5 Absatz c müssen personenbezogene Daten dem Zweck angemessen und erbeblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein ("Datenminimierung"). Schlichtweg gilt für den Hausverwalter so viele Daten wie notwendig und so wenige Daten wie möglich zu erheben.

5. Aufgabe: Datenschutzleitlinie

Leben Sie Datenschutz und zeigen Sie es deutlich. Alle Mitarbeiter im Unternehmen sollen aktiv an der Umsetzung angewiesen und beteiligt werden.

Wenn der Chef den Datenschutz zwar auf seine Fahnen schreibt, es aber versäumt seine Mitarbeiter entsprechend „mit ins Boot zu holen“, wird es ziemlich schwer das Unternehmen datenschutzkonform aufzustellen. Mit einer Datenschutzleitlinie verpflichtet sich das Unternehmen sogenannte Datenschutzziele ins Visier zu nehmen und das Unternehmen langfristig darauf einzustellen. Mit dem sogenannten PDCA-Modell (Plan-Do-Check-Act = Planung-Betrieb-Bewertung-Verbesserung) ist es möglich die gesetzlichen Anforderungen für alle beteiligten Personen aus den jeweiligen Verantwortungsbereichen transparenter darzustellen. Jeder erhält sozusagen einen Überblick von Anfang bis zum Ende der jeweiligen Prozesse.

Merke: Der „Verantwortliche“ (also der Hausverwalter) ist gegenüber der Aufsichtsbehörde rechenschaftspflichtig. D. h., die Geschäftsführung hat nun die Aufgabe dafür zu sorgen, dass innerhalb des Unternehmens Verantwortlichkeiten und Zuständigkeiten festgelegt werden und - das übersehen die meisten Geschäftsführer - müssen dafür sorgen, dass verantwortliche Personen in den Teilbereichen des Unternehmens entsprechend geschult werden und die Umsetzung und Anwendung der Datenschutzvorschriften regelmäßig überprüft werden. Der DSB überwacht primär die Einhaltung der Datenschutzvorschriften. Nach wie vor bleibt es aber seine Aufgabe die Mitarbeiter für Datenschutz (aber auch Datensicherheit) zu sensibilisieren und zu schulen. Eine Datenschutzleitlinie, die alle Mitarbeiter - nebst angeschlossener externer Dienstleister - kennen, anwenden und leben ist der Grundstein für einen effektiven Datenschutz.

◀ Inhalt


Die ETV in den eigenen Räumen

Jeder Hausverwalter, der einen eigenen Besprechungsraum zur ETV (Eigentümerversammlung) nutzen kann, darf sich glücklich schätzen, wenn dieser groß genug ist, dass auch eine große Liegenschaft dort bequem Platz findet. Nicht selten fragen aber auch benachbarte Firmen dann beim Hausverwalter an, ob man nicht dessen Besprechungsräume für größere Besprechungen anbieten könnte. Natürlich ist so ein kleines „Zubrot“ eine gern gesehene Sache. Jedoch vergessen einige Hausverwalter den wichtigen Aspekt „Datenschutz“, wenn die Besprechung des Nachbarn dann abends stattfinden soll, und kein eigener Mitarbeiter mehr im Hause ist. Das große Problem ist, dass Sie keine Kontrolle darüber haben, wer was in den Räumen macht, wenn niemand anwesend ist.

Festlegung der Räume

Der Hausverwalter sollte sich Gedanken darüber machen, welche Räume von den „Besuchern“ betreten werden können/sollen und welche nicht. Im Vorfeld sollte der Hausverwalter einmal versuchen, seine Räume mit den Augen eines Besuches zu betreten. Viele Hausverwalter haben in ihren Fluren die klassischen Regale mit den Ordnern der WEGs, Faxgeräte und Kopierer/Scanner stehen. Manche Schreibtische von Mitarbeitern wirken zwar aufgeräumt, jedoch bleiben viele Unterlagen liegen, die zum Teil brisante Daten beinhalten (Kontoauszüge, Mietverträge, Vollmachten, etc.). Und nicht selten schleicht sich eine gewisse Routine im „Büroalltag“ ein, als dass nämlich die Türen grundsätzlich immer offen sind. Manche Büroräume haben gar keine Türen mehr, weil diese eigentlich nie genutzt werden. Deswegen ist es sinnvoll das gesamte Büro einer Risikoanalyse zu unterziehen.

Wer kann was

Wer kann was: sehen, lesen, öffnen, mitnehmen, einschalten, entnehmen, benutzen, etc.? Bei einer ETV bleiben nicht immer alle schön ruhig bis zum Ende auf ihren Stühlen sitzen. Die Erfahrung zeigt, dass einige Besucher kurz telefonieren wollen, oder auf die Toilette müssen und dazu den Besprechungsraum verlassen. Andere wiederum bleiben vor Beginn der ETV vor dem Besprechungsraum stehen und unterhalten sich. In diesem Augenblick ist es schon nicht mehr möglich das Gebot der“ Zutrittskontrolle“ (das eins der Kriterien im Datenschutz ist) anzuwenden und umzusetzen. Dann gibt es natürlich auch die Eigentümer, die schon immer wissen wollten, wie „ihre“ Hausverwaltung denn so arbeitet. Man könnte jetzt dieses Szenario immer weiter spinnen und fürchterlich schwarzmalen. Und nicht zu vergessen, wie ist es, wenn man den Besprechungsraum an den Nachbarn vermietet? Aber genau mit diesen Situationen müssen sich Hausverwalter auseinandersetzen. Zwar kann man den Nachbarn per Vereinbarung schon dazu verdonnern, dass er sämtliche datenschutzrechtliche Pflichten einhalten muss, aber eben nicht so einfach seine Besucher.

Was tun?

(einige Beispiele)

1. Mobile Sperrbänder!

Eine Möglichkeit ist es, wenn man eine optische Barriere aufstellt. Diese Barrieren sind tatsächlich sehr effektiv. Es sind die klassischen Bodenaufsteller, die man zum Beispiel immer am Flughafen sieht. Personensteuerung ist mit diesen mobilen Absperrungen wunderbar umzusetzen. Wenn man dann noch ein Schild mit der Aufschrift“ Zutritt verboten“ anbringt, ist es eine recht nützliche und effektive Maßnahme, sensible Bereiche, die sich nicht zusperren lassen vor Zutritt zu schützen. Diese könnte man immer an dem Tag, an welchem das Besprechungszimmer gemietet wird, vorher aufstellen. Manche Verwalter nutzen diese Sperrbänder auch während der normalen Bürozeiten.

2. Der verpflichtete Nachbar

Wenn man die oben genannten Bänder anwendet, nimmt man zusätzlich den Nachbarn ins Gebet und verpflichtet ihn dazu, dass er vor jeder Veranstaltung dies (also welche Bereiche nicht betreten werden dürfen) entweder allen Teilnehmern mitteilt, oder gar ein Merkzettel ausgehändigt wird. Weiterhin muss er ja dafür sorgen, dass die Türe dann auch wirklich zu ist, wenn alle Teilnehmer eingetroffen sind. Wenn das aber im typischen „tröpfchenweise eintrudeln Stil “ geschieht, wird der Nachbar mit dem Auf- und Zusperren der Türe sicherlich nicht so schnell fertig werden.

3. Freiwillige Mitarbeiter

Ein(e) Mitarbeiter(in), der/die sich sozusagen als Empfangsmanager(in) am Abend zur Verfügung stellt und während der Versammlung vor der Türe als „Aufpasser(in)“ zur Verfügung steht. Aber sicherlich ein nicht ganz billiges Vergnügen.

4. Rollup Displays!

Diese sehr einfachen aber ungemein effektiven Bodenaufsteller bilden eine regelrechte Wand und sorgen für eine gute Abschottung. Nicht zuletzt muss man auch den werbemäßigen Effekt dabei beachten. Man kann hier wunderbar Werbung für das eigene Unternehmen machen. Ein Verwalter in München kam auf die Idee seine gesamte Mannschaft auf diesen Displays abbilden zu lassen. Alle zeigten mit dem Finger in die linke Richtung mit dem Slogan: „hier ist der richtig WEG“ und der Weg führte geradewegs zum Besprechungsraum. Nicht teuer und Werbung obendrein.

5. Die Videokamera.

Auch wenn es datenschutzrechtlich immer sehr schwierig ist, Videoüberwachung und die dazu notwendige Technik einzusetzen, so effektiv ist sie aber, um ungebetene Besucher von den Schreibtischen fernzuhalten. Die Videoüberwachung ist innerhalb der Büroräume durchaus zulässig, wenn es sich bei diesen um öffentlich zugängliche Räume handelt. Es handelt sich hierbei um Räume, die von einem unbestimmten oder nur nach bestimmten Merkmalen von einem Personenkreis betreten werden können (also Eigentümer, Mieter, Geschäftspartnern). Mit entsprechendem Hinweis, dass dieser Bereich Video überwacht wird, könnte man das Risiko nochmals ein gutes Stück minimieren. Aber… Aufsichtsbehörden stehen der Videoüberwachung in Geschäftsräumen extrem kritisch gegenüber. In nur wenigen Ausnahmen ist eine private Videoüberwachung zulässig. Auch das Anbringen einer Kameraattrappe ist ebenfalls sehr schwierig und wird letzten Endes so gehandhabt, als wäre eine echte Kamera vorhanden.

Und letztendlich natürlich noch die einfachste aller Sicherheitsmaßnahmen. Nämlich die, das Besprechungszimmer eben nicht zu vermieten. Ich denke mal, dass dies sicherlich nicht zielführend ist. Aber wenn man wirklich absolut sicher gehen möchte, müsste man eben solche Möglichkeiten in Betracht ziehen.

Da teure Umbauten (Trockenbauwände, etc.) sicherlich nicht in Betracht zu ziehen sind, denke ich, dass die oben genannten Möglichkeiten vielleicht eine Überlegung wert sind. Weiterhin möchte ich noch anmerken, dass ein Benutzen der vorhandenen Technik (Beamer und der dazugehörige PC) ebenfalls in die Sicherheitsüberlegungen einfließen sollte. Bringt der Steuerberater sein eigenes Equipment mit, eben auch sein eigenes Internet, dann mache ich mir weniger Sorgen. Ist aber die Anmietung des Besprechungszimmer mit der gleichzeitigen Nutzung der vorhandenen Technik gekoppelt, dann müssten wir auch hier stärkere Hebel ansetzen.

Ich hoffe, ich konnte Ihnen hierzu ein kleines Stück weiterhelfen. Fazit meiner Einschätzung dazu ist, dass es durch verschiedenste Maßnahmen gut möglich ist, die Sicherheit auf ein vernünftiges Maß zu erhöhen. Durch den Einsatz von Überwachungstechnik lässt sich so mancher von Spaziergängen innerhalb der Büroräume abschrecken. Allerdings sind wirklich nur abgesperrte Räume sicherer, als eine Videoüberwachung.

◀ Inhalt


Datensicherung: Funktioniert eigentlich Ihr Backup?

Die Erfahrungen der letzten Monate zeigen ganz deutlich, dass im Bereich Gefahren-Abwehr viele Unternehmen großen Nachholbedarf haben. So manches Unternehmen neigte zum Schnellschuss (nachdem es einen Virenbefall zu vermelden hatte) dazu, viel Geld für EDV-Sicherheit auszugeben. Sehr gern wird hierbei vergessen, dass die EDV-Sicherheit auch an die Ansprüche des Unternehmens angepasst sein sollte. D. h., sicherlich wird kein Hausverwalter eine Verschlüsselung von Daten innerhalb des eigenen Netzwerkes einsetzen, wenn insgesamt nur vier Personen im Unternehmen tätig sind. Es macht auch keinen Sinn, eine Firewall einzusetzen, die für Unternehmen ab einer Größe von 500 Mitarbeitern geeignet ist. Und noch weniger macht es Sinn, mehrere Virenscanner auf einem System zu installieren. Diese haben sogar den Effekt, dass sie sich gegenseitig beeinflussen und somit das System verlangsamen und auch seltsamste Fehlermeldungen hervorrufen können.

Die Datenschutz-Grundverordnung (DSGVO) kommt in großen Schritten

Eins ist sicher, die DSGVO stellt den Datenschutz gänzlich neu auf und vieles auf den Kopf. Strategische Datenschutzziele müssen in geeigneter Form konzipiert und mit Rollen und Verantwortlichkeiten die effektive Sicherstellung der Datenschutzvorschriften beinhalten (Governance-Struktur). Immer wieder wird die „Governance-Struktur“ Prüfpunkt der Aufsichtsbehörden sein. Datenschutzstrukturen (Aufbauorganisation) und die Rechenschaftspflicht der Geschäftsführung gegenüber den Aufsichtsbehörden setzen völlig neue Aspekte zum Thema Datenschutz. Aber auch die Datensicherheit findet in der neuen Verordnung seine überaus wichtige Bestimmung. Nach der DSGVO muss jedes Unternehmen die Bestimmungen zur Datensicherheit (technische und organisatorische Maßnahmen) besonders im Fokus haben. Nach der neuen Verordnung wird bei der „Sicherheit der Verarbeitung“ jedes Unternehmen verpflichtet hier peinlichst genau zu anzuwenden und zu dokumentieren (Art. 5 Abs. 1 f DSGVO und Art. 32 DSGVO). Gerade der Art. 32 DSGVO gibt die Zielrichtung vor. Im ersten Abschnitt heißt es:

„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Sicherheitsmaßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten…“
Wie schnell ein Unternehmen plötzlich nicht mehr arbeitsfähig ist, zeigen die Vorkommnisse des letzten Jahres. Das Risiko ist extrem gestiegen, seinen gesamten Datenbestand gänzlich zu verlieren, sollte nicht ein vernünftiges Backup-System vorhanden und entsprechend eingerichtet sein. Jeder, der einst Daten verloren hat (ganz egal, ob es Fotos vom Urlaub oder Unternehmensdaten waren), ist hinterher meistens schlauer. Erst dann fangen die meisten an die Datensicherung als wichtigstes Instrument im Umgang mit PCs, Handys, Laptops, etc. einzusetzen.

Virenbefall ist 2016 häufigste Ausfallursache

Beim Befall durch Viren ist es umso wichtiger, ein zuverlässiges, regelmäßiges und funktionierendes Backup zu haben. Verschlüsselungstrojaner waren 2016 die größten Bedrohungen für Computer. Immer neuere Varianten tauchten auf und nisteten sich auf PCs, Servern und dem gesamten Netzwerk ein. Und auf die Zukunft gesehen wird es wohl nicht weniger werden. Denn auch die Programmierer dieser Übeltäter werden erfahrener und raffinierter. Wohl dem, der ein gegliedertes Backupsystem einsetzt.

Der Admin ist generell nicht für Datensicherung verantwortlich

Viele Unternehmen verlassen sich gänzlich auf den „Admin“ (denn der kennt sich ja schließlich aus). Sobald dieser auch eine Software zur Datensicherung bestellt, installiert, konfiguriert und in Betrieb genommen hat, wähnen sich die meisten Unternehmen in Sicherheit. Ein gefährlicher Trugschluss. Denn auch der Admin kann Fehler machen. Weiterhin gehen die meisten Unternehmen davon aus, dass der externe Admin (exA) dann auch für die Datensicherung als solches verantwortlich ist. Aufgrund fehlender Kommunikation zwischen dem Unternehmen und dem exA kann es trotzdem zu einer existenzbedrohenden Situation kommen, wenn nämlich die Datensicherung eben nicht funktioniert. So geschehen bei einer kleinen Hausverwaltung im Allgäu, bei welcher der Geschäftsführer mit dem exA nur mündlich vereinbart hatte, dass er (der exA) sich um die Datensicherung kümmern solle. Somit wurde eine teure Software zur Datensicherung angeschafft und auch durch den Admin installiert. Der Geschäftsführer verließ sich darauf, dass nun alle Daten täglich und zuverlässig gesichert werden. Es kam zum Systemcrash. Der Geschäftsführer informierte den exA und beauftragte ihn mit der Wiederherstellung des produktiven Systems. Als der exA dieses durchführen wollte stellte er fest, dass keine entsprechenden Daten zur Wiederherstellung des Systems vorhanden waren. Somit begann das Hin-und Herschieben der Schuld zwischen beiden Parteien. D. h., wird zwischen beiden Parteien (Unternehmen und exA) nicht vereinbart (meist entsteht nur ein Dienst- oder Werkvertragsverhältnis), dass die Verantwortlichkeit für sämtliche Datensicherungsmaßnahmen auf den exA übertragen werden, bleibt das Unternehmen (also der Geschäftsführer und auch der Geschäftsführer einer GmbH) für einen Datenverlust voll haftbar. Durch ein Urteil des OLG Hamm im Jahr 2003 (Urteil vom 1.12.2003 – 13 U 133/03) wurde entschieden, dass ein Unternehmen gegen den exA keinen Schadensersatz geltend machen könne, weil das Unternehmen keine geeigneten Datensicherungsmaßnahmen eingeleitet und vorgenommen habe. Die Richter ließen sich sogar dazu hinreißen, dem Unternehmer eine gewisse „Blauäugigkeit“ zu bescheinigen.

Der Admin ist nicht erreichbar. Was tun?

Ein weiteres Problem ist, dass viele Unternehmen gar nicht in der Lage sind (trotz funktionierendem Backup) die Daten „alleine“ wieder herzustellen. Es muss somit immer der Fachmann herangezogen werden. Natürlich ist den wenigsten Geschäftsführern zuzumuten, dass sie sich also nun selbst an den entsprechenden Server setzen und versuchen, die Datensicherung z.B. vom Vortag wiederherzustellen. Gerade bei Unternehmen, die einen exA einsetzen, der ein klassischer „Einzelkämpfer“ ist, sind diese Probleme immer wieder festzustellen. Wenn er (der Einzelkämpfer) mal im Urlaub, krank oder gänzlich nicht erreichbar ist, hängt das Unternehmen in der Luft und kann eigentlich nur noch abwarten, bis „er“ wieder erreichbar ist oder sich von selbst meldet. Hier ist es ganz hilfreich, wenn der Admin eine kleine Anleitung (Screenshots) erstellt, bei welcher Schritt für Schritt erklärt wird, wie man Daten aus der vorhandenen Datensicherung wiederherstellen kann. Es hat sich als sehr sinnvoll erwiesen, hierzu einen technisch verständigen Mitarbeiter(in) aus dem Unternehmen heranzuziehen, um solche „Kleinigkeiten“ erledigen zu können. Es ist im Wesentlichen viel teurer, wenn man dann einen anderen externen EDV-Dienstleister beauftragen muss, die Daten entsprechend wiederherzustellen. Auch dieser wird sich nicht auf Anhieb im System zurechtfinden und braucht seine Zeit, um die Struktur der vorhandenen EDV zu erfassen, um dann die notwendigen Schritte einleiten zu können.

Der Vergleich mit einem Auto

Gerade in diesen Zeiten ist es wichtig, auch das vorhandene Equipment entsprechend zu überprüfen. Behalten Sie immer die Produktivität im Auge. Vergleichen Sie Ihr System mit einem Auto, das im Wesentlichen aus zwei wichtigen Komponenten besteht. Einmal der Motor- das sind die Daten - und die Karosserie - das ist die Hardware. Sie benötigen beides um sich bewegen zu können. Natürlich können Sie den Motor auch in eine andere Karosserie einbauen. Nur wird es wesentlich aufwendiger sein, diesen Motor an die geänderte Karosserie anzupassen. Deswegen sollten Sie immer eine exakte Kopie des Motors und der Karosserie haben.

Folgende Punkte sind zu prüfen:

1. Wer ist für die Datensicherungsmaßnahmen verantwortlich?

Es ist wichtig, dass nicht nur bestimmt wird, wer die Datensicherung auf Funktionalität überprüft, sondern auch die Administration und Pflege der Software übernimmt. Auch die regelmäßige Prüfung von Updates gehört auf den Plan. Dadurch wird eine Verbindlichkeit festgelegt. Außerdem entlastet es unter Umständen auch den exA oder die IT-Abteilung.

2. Wurde der Einsatz der speziellen Sicherungssoftware definiert?

In kleinen Unternehmen kommen meist nur PCs ohne Server zum Einsatz. Manchmal ist noch dazu ein externer Datenspeicher (NAS oder Festplatte) ins Netzwerk eingebunden. Hier ist der Einsatz einer großen Software wohl leicht übertrieben. Die Ansprüche an die zu sichernden Daten und das System bestimmen die Anschaffung der Hardware und auch der Sicherungssoftware. Heute bekommt man schon für ca. 50,00 € eine gute Datensicherung für einen einzelnen PC. Zur Sicherung von Server-Systemen steigt auch die Anforderung an die Sicherungssoftware. Dementsprechend ist auch die Anschaffung dann teurer.

3. Fand eine Bewertung zur Sicherung der Daten statt?

Wichtig ist es, eine sogenannte „Sicherungswürdigkeit“ der zu sichernden Daten festzulegen. Nicht alle Daten müssen täglich gesichert werden. Eine einfache Faustregel lautet: Daten, die ich jeden Tag benötige (E-Mails, Hausverwalterprogramm, etc.), sind sozusagen hoch verfügbare Daten. Hier muss die Datensicherung häufiger erfolgen (min. täglich), als für Daten, die man vielleicht im Monat höchstens einmal benutzt (z.B. Bilder der letzten Betriebsfeier, Vorlagen, persönliche Daten wie Musik, Filme, etc.). Besonders kritische Daten sollten vielleicht sogar mehrmals am Tag gesichert werden. Gerade größere Unternehmen haben hierzu ganz spezielle Szenarien. Man stelle sich vor, ein Unternehmen mit 200 Mitarbeitern erleidet einen Datenverlust und die Datensicherung fand nur einmal täglich statt. Wenn also alle Mitarbeiter einen ganzen Tag wieder „rein arbeiten“ müssten, sind die Kosten sicherlich extrem.

4. Welche Geräte müssen gesichert werden?

Hier zeigen die Erfahrungen der letzten Jahre, dass Unternehmen oft auf das falsche Pferd gesetzt haben. Zwar findet eine Datensicherung (täglich) statt, jedoch ist das System, auf welchem die Daten verarbeitet werden, plötzlich nicht mehr einsatzbereit (Virenbefall, Hardwareschaden, etc.). So gesehen müssen immer die zwei Komponenten (Auto und Motor) gesichert werden. Einmal das System (Hardware) selbst und die darauf zu verarbeitenden Daten (Datenbanken, Datensätze). Hier spricht man von Systemsicherung und Datensicherung. Viele vergessen, dass z.B. beim Ausfall des PCs in der Buchhaltung eine Datensicherung erst mal herzlich wenig nützt, wenn man kein System (PC) dazu hat, auf welchem die Daten dann verarbeitet werden können. Erfahrungsgemäß dauert es ziemlich lange, bis ein PC der Buchhaltung wieder vollends einsatzbereit ist. Natürlich müssen Serversysteme heute ebenfalls so gesichert werden, dass das System binnen kürzester Zeit wieder auf die Beine gestellt werden kann und die Daten dann entsprechend wieder auf dem System wiederhergestellt werden können. Hierzu gibt es mittlerweile wirklich gute Software, die hier wahre Wunder vollbringen (z.B. Acronis, Veeam, etc). Und zu guter Letzt sind auch Laptops, Handys und Tablets in die Überlegungen mit einzubeziehen. Hier wird oft vergessen, dass zum Beispiel ein Handy eigentlich wie eine Festplatte anzusehen ist. Die Daten, die sich heute durchschnittlich auf einem Handy befinden, sind nicht selten persönlicher aber eben auch unternehmensspezifischer Natur. Die Datensicherung von Handys sollten ebenfalls in den Datensicherungsplan eingefügt werden.

5. Wurden die Sicherungsmaßnahmen nachvollziehbar und angemessen definiert?

Ganz besonders großes Augenmerk sollte man darauf legen, wie der gesamte Sicherungsprozess abläuft und welche Ressourcen er einnimmt. Findet eine Datensicherung mehrmals am Tag statt, muss man in Betracht ziehen, dass das System insgesamt mehr Leistung verbrauchen wird und u.U. die Verarbeitungsgeschwindigkeit (zwecks höherer Last) sinken wird. Findet die Sicherung abends statt, sollte gesichert sein, dass auch tatsächlich kein Mitarbeiter mehr Überstunden zu der Sicherungszeit macht. Gerade bei etwas kleineren Datensicherungssystemen fehlt die Möglichkeit offene Dateien (also die Dateien, die gerade z.B. vom Mitarbeiter bearbeitet werden) nicht sichern zu können. Und wenn Mitarbeiter über Nacht Ihren PC in Betrieb lassen und das Programm geöffnet haben, ist ebenfalls nicht gewährleistet, dass alle Daten gänzlich gesichert werden. Die Definition des Sicherungsziels wird dadurch erreicht, wenn eben diese Überlegungen mit einfließen.

6. Ist eine erfolgreiche oder gescheiterte Datensicherung dokumentiert?

Vor ca. zehn Jahren war die häufigste Datensicherungsmethode die Datensicherung auf Magnetbänder (DAT-Bänder) vorzunehmen. Ähnlich wie bei einem Musikkassettenrekorder wurden die Kassetten in das entsprechende Laufwerk eingeschoben. Am nächsten Morgen wurden die Bänder dann entnommen und gegen ein anderes Band ausgetauscht. Viele Unternehmen merkten gar nicht, dass die Datensicherung gar nicht funktionierte. Denn laut Hersteller dieser Magnetbänder hatten diese eine Betriebszeit von ca. sechs Monaten. Danach sollten die Bänder erneuert werden. Viele verließen sich darauf, dass das Band (schon 2 Jahre alt) eben im Laufwerk eingelegt war und funktioniert. Erst als man dazu überging, die Datensicherungssoftware mit einer entsprechenden Benachrichtigungsmöglichkeit (E-Mail, Ausdruck am Drucker, Meldung am Bildschirm, etc.) ausstattete, konnte man das Ergebnis der letzten Datensicherung dokumentieren. Gerade Versicherungen, die z.B. zur Schadensregulierung bei einem Datenverlust herangezogen werden, verlangen nicht selten die Vorlage der Datensicherungsdokumentation (Berichte) des letzten Monats.

7. Ist es möglich zu erkennen, ob die gesicherten Daten auch tatsächlich nutzbar sind?

Sie sollten sicherstellen, dass die gesicherten Daten auch tatsächlich wieder nutzbar sind, sollten Sie wiederhergestellt werden müssen. Verschiedene Hersteller bieten dies in ihrer Software als integriertes Feature mit an. D. h., die Software überprüft nach dem Sicherungsvorgang die gesicherten Daten (via Prüfziffern-Verfahren und CRC-Prüfung), ob der gesicherte Datensatz auch 1: 1 dem Original-Datensatz entspricht. Dies muss aber explizit in der Software aktiviert werden.

8. Wurde eine Rücksicherung der Daten (Live) getestet?

Verlassen Sie sich nicht darauf, dass die Datensicherung zwar schön jeden Tag funktioniert und auch ein Bericht über eine erfolgreiche Datensicherung erstellt wird, sondern testen Sie den „Super-Gau“. Bei virtuelleren Umgebungen lässt sich dieses leicht prüfen. Achten Sie darauf, wie lange es dauert, ein System wieder gänzlich herzustellen. Dies ist auch der Richtwert für Sie, um festzustellen, welche Software entsprechende Features bietet, die die Produktivität wieder schnellstens ermöglichen. Bei Hardware-Systemen muss u.U. eine spezielle Software eingesetzt werden, die es auch ermöglicht, das Betriebssystem auch auf veränderten Hardwarekomponenten wieder starten zu können.

9. Wohin wird gesichert?

Die oben angesprochene Datensicherung mit Magnetbändern wurde bei vielen Unternehmen so durchgeführt, dass das entnommene Band einfach oben auf das Regal abgelegt wurde. Manche Chefs nahmen die Bänder einer Woche immer mit nach Hause. So war wenigstens gewährleistet, dass, sollte es zu einem Schaden (Brand, Diebstahl, Wasser, Blitzschlag etc.) kommen, die Datenbänder wenigstens nicht mit dem gesamten System vernichtet werden. Heutige Datensicherungen werden meist auf externe Datenspeicher (entweder im Netzwerk, oder in der Cloud) vorgenommen. Achten Sie bei der Sicherung im eigenen Netzwerk darauf, dass der Datenspeicher sich in einem anderen Teil des Gebäudes befindet (Brandabschottung). Es nützt herzlich wenig, wenn es im Serverraum brennt und gleichzeitig die Datensicherung sich darin befindet. Wenn Sie auf externe Festplatten sichern, ist es sinnvoll, sich jeden Freitag eine Vollsicherung ebenfalls auf eine Festplatte zu „ziehen“ und diese dann im Aktenkoffer mit nach Hause zu nehmen. Allerdings ist in letzter Zeit festzustellen, dass viele Unternehmen wieder auf die klassischen Magnetbänder ausweichen. Denn durch die Sicherung auf ein externes Magnetband ist gewährleistet, dass in einem Virenbefall diese Medien definitiv nicht betroffen sein werden.

10. Datensicherung in der Cloud?

Durch die zunehmende Mobilität der Mitarbeiter für Unternehmen ist das Thema Cloud eine perfekte Alternative, die Daten schnell und jederzeit zur Verfügung zu stellen. Auch deswegen ist es oft sinnvoll, eine Datensicherung in der Cloud vorzunehmen. Allerdings sollten Sie hierbei darauf achten, welchem Unternehmen Sie Ihre Daten anvertrauen. Nicht selten sind verlockende, sogar kostenlose, Angebote (Google, Dropbox, MyCloudFiles, etc.) der falsche Weg, weil die Daten u.U. auf Servern außerhalb der EU liegen. Zudem verlangt das derzeit geltende Datenschutzgesetz (BDSG), dass die Speicherung personenbezogener Daten (Name, Adressen, Telefonnummern, etc.) nur dann erlaubt ist, wenn gemäß § 11 BDSG eine Auftragsdatenverarbeitung vertraglich mit entsprechenden Kontrollpflichten vereinbart worden ist. Unternehmen, die ihre Dienste zum Beispiel in den USA anbieten, können hier den oben genannten Anforderungen oft nicht entsprechen. Ganz wichtig ist aber die Verschlüsselung. Daten sollten niemals in ihrem Ursprungsformat in die Cloud gesichert werden. Hierzu muss eine spezielle Verschlüsselungsmethode zwingendermaßen eingesetzt werden. Nur dann ist es möglich, den Zugriff durch unbefugte Dritte entsprechend zu verwehren bzw. zu erschweren. Zwar bieten einige Cloud-Anbieter eine Verschlüsselung an, jedoch sollten Sie lieber hier auf einen Drittanbieter setzen, welcher die Kompatibilität zu allen gängigen Cloud-Anbietern gewährleistet. Auch sollte hier ein Zwei-Faktoren-Verschlüsselungscode-Management möglich sein. Am Ende sollten Sie sich darüber im Klaren sein, dass auch ein großer Cloud-Anbieter mal Probleme bekommen kann und auch einen Datenverlust erleiden kann. D. h., wenn Sie Ihre Daten vertrauensvoll und verschlüsselt jeden Tag in die Cloud sichern, der Anbieter nun aber einen Datenverlust erleidet, bleibt die Haftung für die Daten auf der Seite des Dateninhabers. Sicherlich, Sie können sich natürlich in einem zivilrechtlichen Streit auseinandersetzen. Jedoch dürfte dieser Weg sehr beschwerlich und teuer sein. Deswegen ist eine zusätzliche „eigene“ Sicherung auf eigenen Serversystemen der sicherste Weg. So gesehen haben Sie dann eine zusätzliche Sicherung der Sicherung.

Achtung: Wer gänzlich auf eine Cloud-Sicherung setzt sollte sich darüber im Klaren sein, dass die Daten nicht so ohne weiteres wieder auf das System zurückgespielt werden können. Manche Datenbestände sind so groß, dass die Internetleitung sicherlich so in die Knie gehen würde, dass ein „normales“ arbeiten gar nicht möglich ist. Auch gäbe es die Möglichkeit, dass der Cloud-Anbieter Ihnen eine Festplatte mit dem Datenbestand übersendet. Auch hier sollten Sie darauf achten, dass der Versand datenschutzkonform (verschlüsselt und per Boten) erfolgt und die Übersendung auch seine Zeit dauert. Sie sind gut beraten, wenn Sie sich vorher schon mit dem Anbieter genau über diese Themen auseinandersetzen und hierzu die dringenden Fragen klären.

11. Welches Datensicherungsprinzip wird angewendet?

Eine Datensicherung, die nur eine Woche zurückreicht ist unzureichend. Am effektivsten und sinnvollsten hat sich das sogenannte Großvater-Vater-Sohn-Prinzip (GVS) herausgestellt. Durch den Einsatz dieses Prinzips wird sichergestellt, dass verschiedenste Sicherungsstufen vorhanden sind. Großväter (Monatssicherungen), Väter (Wochensicherungen) und Söhne (Tagessicherungen) sind zwar noch alte Hasen aus den Zeiten der Bandsicherungen, jedoch finden Sie heute noch ihre Daseinsberechtigung auch bei den derzeitigen Sicherungen auf andere Medien. Sind zum Beispiel die „Sohn“-Daten beschädigt, so lassen sich diese dann aus den „Vater“-Daten oder aber auch aus den „Großvater“-Daten wieder herstellen. Außerdem verschafft diese Methode einen sehr guten Überblick über das gesamte Backup-System.

12. Was passiert mit „alten“ Medien?

Ganz klar hat der Dateninhaber die Verantwortung, dass die Daten und Medien entsprechend gelöscht und vernichtet werden. Alle Medien halten nicht ewig. Ein Magnetsicherungsband sollte nicht im Hausmüll landen. Eine Festplatte sollte weder per Auktion versteigert noch verkauft werden. Ein alter PC sollte nicht an den Admin verschenkt oder übergeben werden, wenn nicht gewährleistet ist, dass dieser dann die Daten auf dem PC nach gängigen Verfahren sicher und unwiederbringlich löscht. Viele Unternehmen, die sich zur Daten-und Aktenvernichtung spezialisiert haben, bieten eine fachgerechte Entsorgung der o.g. Medien an.

Fazit

Egal wie, aber jedes Unternehmen ist gesetzlich dazu verpflichtet, eine regelmäßige Datensicherung einzusetzen und anzuwenden. Sollte es zu einem Schadensfall kommen, ist es durchaus möglich, dass ein Geschädigter Schadensersatz vom Schädiger verlangen kann, wenn diesem Versäumnisse bei der Sicherung von Daten nachgewiesen werden können. Daher ist eine Dokumentation der Datensicherung eine unternehmerische Pflicht. In dieser müssen die Methoden, die Abläufe und die Verantwortlichkeiten ganz klar aufgeführt werden, damit auch intern im Unternehmen schnelle und klare Prozesse definiert und im Schadensfall ausgeführt werden können. Wenn ein Unternehmer seine Datensicherung nicht selber kontrolliert, sondern sich auf andere verlässt und dieses nicht vertraglich vereinbart hat, ist er im Schadensfall schnell selbst verlassen.

◀ Inhalt