Datensicherung — DSGVO-Pflichten, Backup-Strategien & Best Practices

Datensicherung — DSGVO-Pflichten, Backup-Strategien & Best Practices

Datenverlust kann Unternehmen existenziell bedrohen: Ob durch Ransomware, Hardwaredefekte oder menschliche Fehler — ohne eine professionelle Datensicherung stehen Betriebe im Ernstfall vor dem Aus. Die DSGVO verpflichtet Unternehmen in Art. 32 dazu, geeignete technische und organisatorische Maßnahmen zu treffen — und dazu gehört eine durchdachte Backup-Strategie. In diesem vollständigen Leitfaden erfahren Sie alles über DSGVO-konforme Datensicherung, bewährte Methoden und typische Fehler, die Sie vermeiden sollten.

Definition: Was ist Datensicherung?

Datensicherung (englisch: Backup) bezeichnet das systematische Kopieren und Archivieren von Daten, um diese im Fall eines Verlusts wiederherstellen zu können. Dabei werden Daten auf einem separaten Speichermedium oder in der Cloud gesichert, sodass sie bei Beschädigung, versehentlicher Löschung oder Cyberangriffen verfügbar bleiben.

Eine professionelle Datensicherung umfasst nicht nur das reine Kopieren von Dateien, sondern ein vollständiges Konzept mit definierten Prozessen, Verantwortlichkeiten und regelmäßigen Tests der Wiederherstellbarkeit.

Datensicherung vs. Datensicherheit — Der Unterschied

Die Begriffe Datensicherung und Datensicherheit werden häufig verwechselt, beschreiben jedoch unterschiedliche Konzepte:

• Datensicherung (Backup): Das Erstellen von Kopien vorhandener Daten zum Schutz vor Datenverlust. Ziel ist die Wiederherstellbarkeit von Daten nach einem Vorfall.
• Datensicherheit (Data Security): Der vollständige Schutz aller Daten vor unbefugtem Zugriff, Manipulation und Verlust durch technische und organisatorische Maßnahmen. Die Datensicherung ist ein Teilbereich der Datensicherheit.

Beide Bereiche sind eng verzahnt: Eine verschlüsselte Datensicherung verbindet die Wiederherstellbarkeit mit dem Schutz vor unbefugtem Zugriff. Für Unternehmen, die personenbezogene Daten verarbeiten, sind beide Aspekte nach der DSGVO verpflichtend. Mehr zur Gesamtstrategie erfahren Sie auf unserer Seite zu technischen und organisatorischen Maßnahmen (TOM).

DSGVO Art. 32 — Pflicht zur Datensicherung

Die Datenschutz-Grundverordnung schreibt in Artikel 32 DSGVO vor, dass Verantwortliche und Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen treffen müssen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Konkret nennt Art. 32 Abs. 1 lit. c:

„die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen“

Das bedeutet: Datensicherung ist keine freiwillige Maßnahme, sondern eine gesetzliche Pflicht für jedes Unternehmen, das personenbezogene Daten verarbeitet. Bei Verstößen drohen Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes.

Anforderungen der DSGVO an Backups

• Verfügbarkeit: Daten müssen jederzeit wiederherstellbar sein
• Vertraulichkeit: Backups müssen vor unbefugtem Zugriff geschützt werden (Verschlüsselung)
• Integrität: Es muss sichergestellt sein, dass Backup-Daten nicht manipuliert wurden
• Belastbarkeit: Systeme und Dienste müssen auch unter Belastung funktionsfähig bleiben
• Regelmäßige Überprüfung: Die Wirksamkeit der Maßnahmen muss regelmäßig getestet werden
• Dokumentation: Alle Backup-Prozesse müssen im Rahmen des Datenschutz-Audits dokumentiert werden

Die 3-2-1-Backup-Regel

Die 3-2-1-Regel ist der Goldstandard der Datensicherung und wird von Datenschutzexperten, dem BSI und internationalen Sicherheitsbehörden empfohlen:

• 3 Kopien: Halten Sie mindestens drei Kopien Ihrer Daten vor (das Original plus zwei Backups)
• 2 verschiedene Medientypen: Speichern Sie die Kopien auf mindestens zwei unterschiedlichen Speichermedien (z. B. lokale Festplatte und Cloud-Speicher)
• 1 externer Standort: Bewahren Sie mindestens eine Kopie an einem räumlich getrennten Standort auf (Schutz vor Feuer, Wasser, Einbruch)

Die erweiterte 3-2-1-1-0-Regel

Moderne Sicherheitskonzepte ergänzen die klassische Regel um zwei weitere Punkte:

• 1 Offline-Kopie: Mindestens ein Backup muss offline oder air-gapped sein — also physisch vom Netzwerk getrennt. Dies schützt effektiv vor Ransomware, die sich über das Netzwerk verbreitet.
• 0 Fehler: Regelmäßige Wiederherstellungstests müssen null Fehler ergeben. Ein Backup, das sich nicht wiederherstellen lässt, ist wertlos.

Backup-Arten im Überblick

Je nach Anforderung und Datenmenge kommen unterschiedliche Backup-Methoden zum Einsatz. Die Wahl der richtigen Methode hängt von der Datenmenge, der verfügbaren Bandbreite, den Wiederherstellungsanforderungen und dem Budget ab.

Vollsicherung (Full Backup)

Bei einer Vollsicherung werden sämtliche Daten komplett gesichert — unabhängig davon, ob sie sich seit der letzten Sicherung verändert haben.

• Vorteile: Einfache und schnelle Wiederherstellung, alle Daten in einer Sicherung enthalten
• Nachteile: Hoher Speicherbedarf, lange Sicherungsdauer, hohe Netzwerklast
• Empfehlung: Wöchentliche Vollsicherung als Basis, ergänzt durch inkrementelle oder differenzielle Sicherungen

Inkrementelle Sicherung (Incremental Backup)

Die inkrementelle Sicherung speichert nur die Daten, die sich seit der letzten Sicherung (egal welchen Typs) verändert haben.

• Vorteile: Geringer Speicherbedarf, schnelle Sicherungsdurchführung, minimale Netzwerklast
• Nachteile: Wiederherstellung dauert länger, da alle inkrementellen Sicherungen seit der letzten Vollsicherung benötigt werden
• Empfehlung: Ideal für tägliche Sicherungen zwischen den wöchentlichen Vollsicherungen

Differenzielle Sicherung (Differential Backup)

Die differenzielle Sicherung speichert alle Daten, die sich seit der letzten Vollsicherung verändert haben.

• Vorteile: Schnellere Wiederherstellung als bei inkrementellen Sicherungen (nur Vollsicherung + letzte differenzielle Sicherung nötig)
• Nachteile: Wachsender Speicherbedarf über die Woche, da immer mehr Änderungen kumuliert werden
• Empfehlung: Guter Kompromiss zwischen Speicherplatz und Wiederherstellungsgeschwindigkeit

Vergleichstabelle

Kriterium	Vollsicherung	Inkrementell	Differenziell
Speicherbedarf	Hoch	Niedrig	Mittel
Sicherungsdauer	Lang	Kurz	Mittel
Wiederherstellung	Schnell	Langsam	Mittel
Komplexität	Niedrig	Hoch	Mittel

Cloud-Backup vs. On-Premise — Was ist besser?

Die Frage nach dem richtigen Speicherort ist für die DSGVO-Konformität wichtig. Beide Ansätze haben Vor- und Nachteile, und in der Praxis empfiehlt sich oft eine hybride Strategie.

Cloud-Backup

• Vorteile: Automatische Skalierung, geografische Redundanz, kein eigener Hardware-Aufwand, ortsunabhängiger Zugriff
• Nachteile: Abhängigkeit vom Anbieter, laufende Kosten, Bandbreitenbedarf, DSGVO-Konformität muss geprüft werden
• DSGVO-Hinweis: Nutzen Sie ausschließlich Anbieter mit Rechenzentren in der EU/EWR. Ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO ist zwingend erforderlich. Achten Sie auf Zertifizierungen wie ISO 27001 oder C5 des BSI.

Detaillierte Hinweise zur Cloud Security finden Sie auf unserer Partnerseite.

On-Premise-Backup

• Vorteile: Volle Kontrolle über die Daten, keine Abhängigkeit von Dritten, schnelle lokale Wiederherstellung, keine laufenden Cloud-Kosten
• Nachteile: Eigene Hardware und Wartung nötig, Risiko bei Standortkatastrophen (Brand, Hochwasser), höhere Anfangsinvestitionen
• DSGVO-Hinweis: Physische Sicherheit des Serverraums muss gewährleistet sein (Zutrittskontrolle, Brandschutz, Klimatisierung)

Empfehlung: Hybride Strategie

Die beste Datensicherung kombiniert beide Ansätze: Lokale Backups für schnelle Wiederherstellung im Tagesgeschäft, ergänzt durch verschlüsselte Cloud-Backups für den Katastrophenfall. So erfüllen Sie automatisch die 3-2-1-Regel und maximieren Ihre Ausfallsicherheit.

Verschlüsselung von Backups — Pflicht nach DSGVO

Die DSGVO nennt in Art. 32 Abs. 1 lit. a die Verschlüsselung ausdrücklich als geeignete technische Maßnahme. Für Backups bedeutet das:

• Verschlüsselung im Ruhezustand (at rest): Backup-Daten müssen auf dem Speichermedium verschlüsselt sein. Empfohlen wird AES-256.
• Verschlüsselung bei der Übertragung (in transit): Werden Daten über Netzwerke übertragen (z. B. in die Cloud), muss die Verbindung durch TLS 1.3 oder VPN geschützt sein.
• Schlüsselmanagement: Verschlüsselungsschlüssel müssen sicher und getrennt von den Backup-Daten aufbewahrt werden. Dokumentieren Sie das Schlüsselmanagement als Teil Ihrer TOM.
• End-to-End-Verschlüsselung: Bei Cloud-Backups sollte die Verschlüsselung clientseitig erfolgen — der Cloud-Anbieter sollte keinen Zugriff auf die Klartextdaten haben.

Eine fehlende Backup-Verschlüsselung stellt bei einem Datenverlust eine meldepflichtige Datenschutzverletzung nach Art. 33 DSGVO dar — mit erheblichen Konsequenzen.

Aufbewahrungsfristen und Löschkonzept

Eine häufig unterschätzte Herausforderung bei der Datensicherung ist die Vereinbarkeit von Backup-Aufbewahrung und Löschpflichten nach der DSGVO.

Das Dilemma: Aufbewahren vs. Löschen

Art. 17 DSGVO gewährt Betroffenen ein Recht auf Löschung. Gleichzeitig befinden sich deren Daten möglicherweise in zahlreichen Backup-Kopien. Unternehmen müssen hier einen praktikablen Weg finden:

• Backup-Zyklen definieren: Legen Sie klare Aufbewahrungsfristen für Backups fest (z. B. tägliche Backups 30 Tage, monatliche Backups 12 Monate, jährliche Backups 10 Jahre)
• Automatisches Überschreiben: Konfigurieren Sie Ihr Backup-System so, dass ältere Sicherungen nach Ablauf der Frist automatisch überschrieben werden
• Löschprotokoll: Dokumentieren Sie, dass personenbezogene Daten aus den Backups nach Ablauf des Aufbewahrungszyklus automatisch entfernt werden
• Gesetzliche Aufbewahrungspflichten beachten: Handels- und steuerrechtliche Fristen (6 bzw. 10 Jahre) können die Datensicherung beeinflussen

Praxistipp: Löschkonzept für Backups

Erstellen Sie ein dokumentiertes Löschkonzept, das beschreibt, wie Löschanfragen in Backup-Systemen umgesetzt werden. Die Datenschutzbehörden akzeptieren in der Regel, dass Daten in Backups erst beim regulären Ablauf der Aufbewahrungsfrist gelöscht werden — vorausgesetzt, die Frist ist angemessen kurz und dokumentiert.

Disaster Recovery — Wenn der Ernstfall eintritt

Eine Datensicherung ist nur so gut wie die Fähigkeit, Daten im Ernstfall tatsächlich wiederherzustellen. Disaster Recovery beschreibt den gesamten Prozess der Wiederherstellung von IT-Systemen und Daten nach einem schwerwiegenden Vorfall.

Ausführliche Informationen zur Erstellung eines Disaster-Recovery-Plans finden Sie auf unserer Partnerseite zum Thema Disaster Recovery Plan.

RTO und RPO — Die zwei wichtigsten Kennzahlen

Für jede Datensicherungsstrategie sind zwei Kennzahlen wichtig:

• RTO (Recovery Time Objective): Die maximal tolerierbare Ausfallzeit. Wie lange darf es dauern, bis Ihre Systeme nach einem Vorfall wieder funktionsfähig sind? Ein RTO von 4 Stunden bedeutet: Innerhalb von 4 Stunden muss alles wieder laufen.
• RPO (Recovery Point Objective): Der maximal tolerierbare Datenverlust. Wie viele Stunden oder Minuten an Daten dürfen im schlimmsten Fall verloren gehen? Ein RPO von 1 Stunde bedeutet: Es dürfen maximal 60 Minuten an Daten fehlen — die Backups müssen entsprechend häufig erstellt werden.

Disaster-Recovery-Plan erstellen

Ein wirksamer Disaster-Recovery-Plan umfasst:

1. Risikoanalyse: Identifikation potenzieller Bedrohungen (Ransomware, Hardwareausfall, Naturkatastrophen, menschliche Fehler)
2. Priorisierung: Klassifizierung von Systemen und Daten nach Kritikalität
3. Wiederherstellungsreihenfolge: Festlegung, welche Systeme zuerst wiederhergestellt werden
4. Verantwortlichkeiten: Klare Zuordnung von Aufgaben und Entscheidungsbefugnissen
5. Kommunikationsplan: Wer wird wann informiert (intern, Kunden, Behörden, Datenschutzaufsicht bei Art. 33 DSGVO)?
6. Regelmäßige Tests: Mindestens halbjährliche Wiederherstellungstests unter realistischen Bedingungen

Regelmäßige Backup-Tests — Pflicht, nicht Kür

Art. 32 Abs. 1 lit. d DSGVO verlangt ausdrücklich ein „Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit“ der technischen Maßnahmen. Für die Datensicherung bedeutet das: Testen, testen, testen.

So testen Sie Ihre Backups richtig

• Restore-Tests: Stellen Sie regelmäßig (mindestens quartalsweise) Daten aus Ihren Backups wieder her und prüfen Sie die Vollständigkeit und Integrität
• Zeitmessung: Messen Sie die tatsächliche Wiederherstellungszeit und vergleichen Sie sie mit Ihrem RTO
• Vollständige Wiederherstellung: Testen Sie nicht nur einzelne Dateien, sondern auch komplette Systemwiederherstellungen (Bare-Metal-Recovery)
• Dokumentation: Protokollieren Sie jeden Test mit Datum, Ergebnis und eventuellen Maßnahmen
• Verschiedene Szenarien: Simulieren Sie unterschiedliche Ausfallszenarien (einzelne Datei gelöscht, kompletter Server ausgefallen, Ransomware-Verschlüsselung)

Regelmäßige Tests Ihrer Backup-Strategie sind auch ein zentraler Bestandteil eines vollständigen Datenschutz-Audits. Schulen Sie Ihre Mitarbeiter im Umgang mit Backup-Systemen — unsere Online-Datenschutzschulung deckt auch dieses Thema ab.

Backup-Strategie und KI-Systeme

Mit dem zunehmenden Einsatz von künstlicher Intelligenz in Unternehmen entstehen neue Anforderungen an die Datensicherung. KI-Modelle verarbeiten oft große Mengen personenbezogener Daten, und die Trainingsdaten müssen ebenso gesichert werden wie die Modelle selbst.

Informieren Sie sich über die Anforderungen der KI-Compliance und wie Sie Ihre Backup-Strategie entsprechend anpassen können.

Häufige Fehler bei der Datensicherung

In unserer Beratungspraxis als externe Datenschutzbeauftragte sehen wir immer wieder dieselben Fehler bei der Datensicherung. Vermeiden Sie diese typischen Fallstricke:

1. Keine regelmäßigen Tests: Das Backup existiert auf dem Papier, wurde aber nie erfolgreich wiederhergestellt. Im Ernstfall stellt sich heraus, dass die Daten korrupt oder unvollständig sind.
2. Fehlende Verschlüsselung: Backup-Festplatten oder -Bänder werden unverschlüsselt gelagert. Bei Diebstahl oder Verlust liegt eine meldepflichtige Datenschutzverletzung vor.
3. Backup am selben Standort: Alle Sicherungen befinden sich im selben Gebäude wie die Originaldaten. Ein Brand oder eine Überschwemmung vernichtet alles gleichzeitig.
4. Kein Löschkonzept: Backups werden unbegrenzt aufbewahrt, ohne Berücksichtigung der DSGVO-Löschpflichten. Dies führt zu unnötigen Risiken und potenziellem Datenvorrat.
5. Fehlende Dokumentation: Backup-Prozesse sind nicht dokumentiert. Im Personalwechsel geht das Wissen verloren, und die Aufsichtsbehörde kann die Einhaltung der DSGVO nicht nachvollziehen.
6. Nur Datei-Backups: Es werden nur Dateien gesichert, aber keine Systemkonfigurationen, Datenbanken oder Anwendungseinstellungen. Die Wiederherstellung dauert dadurch Tage statt Stunden.
7. Ungesicherte Cloud-Backups: Cloud-Speicher ohne AVV, ohne Verschlüsselung oder bei Anbietern außerhalb der EU — ein klarer DSGVO-Verstoß.
8. Ransomware-Anfälligkeit: Backups sind über das Netzwerk erreichbar und werden bei einem Ransomware-Angriff mitverschlüsselt. Mindestens ein Backup muss offline sein.

Checkliste: DSGVO-konforme Datensicherung

Nutzen Sie diese Checkliste, um Ihre Datensicherung auf DSGVO-Konformität zu prüfen:

• ☑ Backup-Konzept ist dokumentiert und wird regelmäßig aktualisiert
• ☑ 3-2-1-Regel (oder 3-2-1-1-0) wird eingehalten
• ☑ Backups sind mit AES-256 verschlüsselt (at rest und in transit)
• ☑ RTO und RPO sind für alle kritischen Systeme definiert
• ☑ Wiederherstellungstests werden mindestens quartalsweise durchgeführt und dokumentiert
• ☑ Aufbewahrungsfristen für Backups sind definiert und werden eingehalten
• ☑ Löschkonzept berücksichtigt Backup-Daten
• ☑ Bei Cloud-Backups: AVV nach Art. 28 DSGVO vorhanden, EU-Rechenzentrum
• ☑ Verantwortlichkeiten für Backup-Prozesse sind klar zugewiesen
• ☑ Disaster-Recovery-Plan existiert und wurde getestet
• ☑ Mitarbeiter sind im Umgang mit Backup-Systemen geschult
• ☑ Backup-Strategie ist Teil des Verzeichnisses der Verarbeitungstätigkeiten

Weitere Informationen zur professionellen Backup-Strategie finden Sie auf unserer Partnerseite für Informationssicherheit.

DATUREX unterstützt Sie bei der DSGVO-konformen Datensicherung

Als erfahrene externe Datenschutzbeauftragte unterstützen wir sächsische Unternehmen bei der Entwicklung und Umsetzung einer DSGVO-konformen Datensicherungsstrategie. Unsere Leistungen umfassen:

• Analyse Ihrer bestehenden Backup-Infrastruktur und Identifikation von Schwachstellen
• Entwicklung eines individuellen Backup-Konzepts inklusive RTO/RPO-Definition
• Erstellung eines Löschkonzepts für die Vereinbarkeit von Backups und DSGVO-Löschpflichten
• Prüfung von Cloud-Anbietern auf DSGVO-Konformität und Unterstützung bei AVV-Verhandlungen
• Durchführung von Backup-Audits und Wiederherstellungstests
• Schulung Ihrer Mitarbeiter im sicheren Umgang mit Backup-Systemen

Kostenlose Erstberatung anfragen

Branchenspezifische Anforderungen an die Datensicherung

Je nach Branche gelten unterschiedliche regulatorische Anforderungen an die Datensicherung, die über die DSGVO hinausgehen:

Gesundheitswesen

Arztpraxen, Krankenhäuser und Pflegeeinrichtungen verarbeiten besonders sensible Gesundheitsdaten (Art. 9 DSGVO). Hier gelten verschärfte Anforderungen an die Datensicherung: Die Verfügbarkeit von Patientendaten kann im Notfall lebensrettend sein. Zusätzlich müssen die Vorgaben der KBV-IT-Sicherheitsrichtlinie und der Krankenhausstrukturfonds-Verordnung beachtet werden. Backups von Patientendaten müssen mindestens AES-256 verschlüsselt und der Zugriff streng protokolliert werden.

Finanzwesen und Versicherungen

Banken und Versicherungen unterliegen den Anforderungen der BaFin, insbesondere den BAIT (Bankaufsichtliche Anforderungen an die IT) und VAIT (Versicherungsaufsichtliche Anforderungen an die IT). Diese fordern explizit ein dokumentiertes Backup-Konzept mit definierten RTOs und RPOs, regelmäßige Restore-Tests sowie eine strikte Trennung von Produktions- und Backup-Umgebungen.

Handwerk und Mittelstand

Auch kleine und mittlere Unternehmen sind von der DSGVO nicht ausgenommen. Gerade im Handwerk fehlt oft eine professionelle IT-Abteilung. Hier empfehlen wir einfache, automatisierte Backup-Lösungen: Ein NAS-System für lokale Sicherungen kombiniert mit einem verschlüsselten Cloud-Backup bei einem deutschen Anbieter erfüllt die 3-2-1-Regel bereits mit überschaubarem Aufwand und Kosten.

Kritische Infrastrukturen (KRITIS)

Betreiber kritischer Infrastrukturen müssen nach dem IT-Sicherheitsgesetz 2.0 und der NIS2-Richtlinie besonders hohe Standards bei der Datensicherung einhalten. Dazu gehören redundante Backup-Systeme, kurze RTOs (oft unter einer Stunde), regelmäßige Notfallübungen und die Meldepflicht bei IT-Sicherheitsvorfällen an das BSI innerhalb von 24 Stunden.

Datensicherung und Ransomware — Der wachsende Bedrohungsvektor

Ransomware-Angriffe haben sich in den letzten Jahren zur größten Bedrohung für Unternehmensdaten entwickelt. Moderne Ransomware-Varianten zielen gezielt auf Backup-Systeme ab, um die Wiederherstellung zu verhindern und den Druck zur Lösegeldzahlung zu erhöhen.

Schutzmaßnahmen gegen Ransomware

• Immutable Backups: Verwenden Sie unveränderliche Backup-Speicher (WORM — Write Once, Read Many), die nachträglich nicht verschlüsselt oder gelöscht werden können
• Air-Gapped Backups: Halten Sie mindestens eine Backup-Kopie physisch vom Netzwerk getrennt. USB-Festplatten oder Bandlaufwerke, die nur während der Sicherung angeschlossen werden, bieten effektiven Schutz
• Netzwerksegmentierung: Trennen Sie Backup-Server vom restlichen Netzwerk durch Firewalls und eigene VLANs
• Separate Zugangsdaten: Backup-Systeme sollten eigene Administratorkonten haben, die nicht mit dem Active Directory verbunden sind
• Anomalie-Erkennung: Moderne Backup-Software erkennt ungewöhnliche Verschlüsselungsaktivitäten und warnt frühzeitig vor möglichen Ransomware-Angriffen

Nach einem Ransomware-Angriff ist eine saubere Datensicherung oft die einzige Möglichkeit, den Geschäftsbetrieb ohne Lösegeldzahlung wiederherzustellen. Investitionen in eine robuste Backup-Strategie sind daher auch wirtschaftlich sinnvoll.

Häufig gestellte Fragen zur Datensicherung

Ist Datensicherung nach der DSGVO Pflicht?

Ja. Art. 32 DSGVO verpflichtet Unternehmen, die Verfügbarkeit personenbezogener Daten sicherzustellen und die Fähigkeit zur raschen Wiederherstellung nach einem Zwischenfall zu gewährleisten. Eine professionelle Datensicherung ist dafür nötig.

Wie oft sollte eine Datensicherung durchgeführt werden?

Die Häufigkeit richtet sich nach dem definierten RPO (Recovery Point Objective). Für die meisten Unternehmen empfehlen wir tägliche inkrementelle Sicherungen und wöchentliche Vollsicherungen. Bei kritischen Systemen können stündliche oder sogar kontinuierliche Sicherungen notwendig sein.

Darf ich Backups in der Cloud speichern?

Ja, sofern der Cloud-Anbieter ein Rechenzentrum in der EU/EWR betreibt und ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO abgeschlossen wurde. Die Daten müssen verschlüsselt sein, idealerweise clientseitig (End-to-End).

Was ist der Unterschied zwischen RTO und RPO?

RTO (Recovery Time Objective) definiert die maximal tolerierbare Ausfallzeit — also wie schnell Systeme wiederhergestellt sein müssen. RPO (Recovery Point Objective) definiert den maximal tolerierbaren Datenverlust — also wie aktuell das letzte verfügbare Backup sein muss.

Wie lange müssen Backups aufbewahrt werden?

Es gibt keine einheitliche gesetzliche Frist für Backups. Die Aufbewahrungsdauer richtet sich nach dem Zweck der Sicherung und gesetzlichen Aufbewahrungspflichten (z. B. 6 Jahre für Geschäftsbriefe, 10 Jahre für Buchungsbelege nach HGB/AO). Aus DSGVO-Sicht sollten Backups so kurz wie möglich aufbewahrt werden.

Was passiert bei einem Datenverlust ohne Backup?

Ein Datenverlust ohne Backup kann eine meldepflichtige Datenschutzverletzung nach Art. 33 DSGVO darstellen. Die Aufsichtsbehörde muss innerhalb von 72 Stunden informiert werden. Zudem drohen Bußgelder wegen Verstoßes gegen Art. 32 DSGVO und erhebliche wirtschaftliche Schäden durch den Verlust geschäftskritischer Daten.