Ein (weiteres) Schutzziel im Datenschutz ist die Verfügbarkeit. Die Verfügbarkeit von personenbezogenen Daten steht in engem Zusammenhang mit den Datenschutz-Grundsätzen Vertraulichkeit und Integrität. Diese sind uns bekannt aus Artikel 5 der DSGVO. Verfügbarkeit wird in den Grundsätzen der DSGVO nicht extra erwähnt, dafür aber in Artikel 32 Absatz 1 lit. b) DSGVO. Darin geht es um die Sicherheit der Verarbeitung. Aus dem erwähnten Artikel der Datenschutz-Grundverordnung lesen Sie heraus, dass die Verfügbarkeit von personenbezogenen Daten einem Risiko unterliegt. Risiken sind im Datenschutz allgegenwärtig. Das ist nicht schlimm, man muss Sie aber kennen, denn generell gilt: Sie müssen Risiken betrachten und ihnen begegnen. Das machen Sie mit Maßnahmen. Das bedeutet: Auch die Verfügbarkeit von personenbezogenen Daten stellen Sie mit Ihren technischen und organisatorischen Maßnahmen (TOMs) sicher.
Der Begriff Verfügbarkeit
Machen Sie sich bitte bewusst, dass wir den Begriff Verfügbarkeit im täglichen Sprachgebrauch anders nutzen als es im Datenschutz und der Informationssicherheit gedacht ist. Im normalen Leben nutzen Sie Verfügbarkeit eher bezogen auf Personen im Sinne von „Jemand hat Zeit“ (…ist verfügbar). Im Zusammenhang mit Daten – auch personenbezogenen Daten – bedeutet Verfügbarkeit ein Vorhandensein oder auch Abrufbereit. Wenn Sie in diese Richtung denken, sind Sie auf dem richtigen Weg.
Auf den Datenschutz bezogen ist für Sie wichtig was die DSGVO unter Verfügbarkeit versteht.
Zugegeben, es klingt vielleicht etwas zu einfach: Im Datenschutz und der DSGVO steht Verfügbarkeit einfach dafür, dass die Daten vorhanden sein müssen. Verarbeiten Sie also personenbezogene Daten, sollen diese vorhanden sein. Das bedeutet nichts anderes als dass Sie darauf Zugreifen können müssen.
Stellen Sie sich vor, Sie speichern die Arbeitszeitdaten Ihrer Beschäftigten auf einem Server. (Egal ob Excel Tabelle, HR Anwendung, oder Datenbank.) Das hat vermutlich unter anderem den Sinn, dass Sie Ihren Mitarbeitern am Ende des Monats für die Arbeitsleistung Geld bezahlen. Sie wollen aber auch sicherstellen, dass nicht zu viel Urlaub genommen wird, müssen Krankheitstage erfassen, usw.
Damit Sie all das und mehr machen können, verarbeiten Sie diese personenbezogenen Daten. Wenn diese Daten nicht mehr da sind, können Sie keine korrekte Abrechnung mehr erstellen. Ihre Mitarbeiter erhalten zu wenig Geld – vielleicht auch zu viel.
Alle Beteiligten haben also ein Interesse an der Verfügbarkeit der personenbezogenen Daten. Die betroffenen Personen, also die Beschäftigten am meisten, denn deren wirtschaftliche Existenz hängt von deren Einkommen ab.
Genau das ist Verfügbarkeit. Die Daten müssen vorhanden sein. Ihre Aufgabe ist das sicherzustellen.
Sie wissen nun, was mit Verfügbarkeit im Datenschutz gemeint ist. Aber noch nicht wie Sie diese umsetzen können. Dazu im nächsten Schritt.
Verfügbarkeit umsetzen
Sie können die Anforderungen an Verfügbarkeit umsetzen indem Sie Daten sichern und vor Verlust schützen. Auch bekannt als Backup. Eigentlich ist das aber schon der zweite Schritt der Aufgabe „Verfügbarkeit umsetzen“.
So gehen Sie vor:
Am besten erstellen Sie zuerst eine „Landkarte“ der Datenbestände in Ihrem Unternehmen. Sie müssen wissen wo welche Daten sind. Also auch auf welchen Geräten. Oft sind das Server, Clients oder mobile Geräte wie Smartphones und Tablets. Betrachten Sie das aus dieser Perspektive, spielt es keine Rolle, ob Ihre Daten in Exceltabellen oder einem ERP-System gespeichert sind. Fest steht, dass Sie bei diesen Systemen eine regelmäßige Datensicherung durchführen müssen. Oft lesen Sie in diesem Zusammenhang auch von kontinuierlicher Datensicherung oder Backups. Auf jeden Fall wissen Sie danach, welche Daten Sie schützen müssen, und wo sie sich befinden. Erst die nächste Aufgabe ist es die vorhandenen Daten zu sichern. Eigentlich geht es erst jetzt um Datensicherung und Backup.
Vorteile der Verfügbarkeit
Die Vorteile der Verfügbarkeit stellen Sie sich am besten am eigenen Leib vor. Angenommen Sie arbeiten auf einem Notebook und speichern darauf personenbezogene Daten. Wenn Sie in regelmäßigen Abständen eine Sicherung der Daten durchführen, können Sie ihre Daten schnell wiederherstellen. Mit der Wiederherstellbarkeit personenbezogener Daten erfüllen nicht nur die Anforderungen der Verfügbarkeit, sondern können auch weiterarbeiten wenn ihr Laptop mal den Geist aufgibt, gestohlen wird, oder Sie ihn verlieren. Auch wenn Sie den Verlust der Hardware verkraften müssen, ist viel wichtiger, dass Sie weiterhin über die Daten verfügen können. Dabei ist es egal, ob die Datensicherung ein komplettes Backup Ihres Laptops ist, oder Sie nur einzelne Daten gesichert haben. Hauptsache die Daten sind noch vorhanden – auch wenn es an einer anderen Stelle (im Backup) ist.
Einfluss auf die Verfügbarkeit
Übrigens nehmen auch andere Faktoren Einfluss auf die Verfügbarkeit. Jetzt geht es um die bereits erwähnten Risiken. Es kann passieren, dass Sie sich einen Virus oder Verschlüsselungstrojaner einfangen. Das Resultat ist, dass Sie nicht mehr auf Ihre Daten zugreifen können. Die Verfügbarkeit ist also auch dann nicht mehr gewährleistet, wenn Sie nicht mehr auf Daten zugreifen können.
Sie sehen, auch dann ist ein Backup ihrer Daten sinnvoll. Aus Datenschutzsicht und der DSGVO geht es um die Erfüllung der gesetzlichen Anforderung. Aus Ihrer geschäftlichen Sicht aber um viel mehr: Keine Daten, keine Arbeit und viel Stress.
Datensicherung durchführen
Eine regelmäßige Sicherung der Daten ist absolut notwendig. Schließlich müssen Sie einen Verlust verhindern. Ob sie ihr Backup auf einem anderen Server, einem Band, einer externen Festplatte, einem USB-Stick, oder in der Cloud machen, entscheiden Sie selbst. Ihre Datensicherungsstrategie legen Sie selbst fest. Hauptsache Sie haben eine…
Haben Sie Ihr Backup bzw. ihre Datensicherung erstellt, passen Sie gut auf das Sicherungsmedium auf. Wie Sie wissen, müssen Sie darauf im Falle eines Datenverlustes schnell zugreifen können und die Daten wiederherstellen.
Bei der Frage ob eine Datensicherung erfolgt spielt die Größe Ihres Unternehmens keine Rolle. Sowohl die Pflicht, wie auch die Notwendigkeit liegen auf der Hand und sind Ihnen bekannt. Auch das Medium zur Datensicherung ist nicht entscheidend. Wichtig ist nur, dass Sie Ihre Anforderungen an die Verfügbarkeit damit sicherstellen. Natürlich auch die gesetzlichen. Nicht umsonst gibt es den Spruch: „Kein Backup, kein Mitleid.“
Risiken und Verfügbarkeit
Wenn Sie bis hierher gelesen haben, verfügen Sie bereits über gute Voraussetzungen sich auch über grundlegende Risiken und Verfügbarkeit Gedanken zu machen. Machen Sie sich bewusst, dass es immer Risiken gibt. Feuer, Wasser und menschliches Fehlverhalten sind wahrscheinlich die gängigsten über die Sie sich Gedanken machen sollten.
Server, Magnetbänder, oder andere Datenträger auf denen Ihre Datensicherung landet, bewahren Sie bitte sicher auf. Das bedeutet, geschützt vor Risiken. Überlegen Sie sich, wie Sie Risiken vermeiden. Spielen Sie ruhig mal die Risikoszenarien durch:
Was geschieht mit Ihren Daten und den Backups der Daten wenn der Serverraum / das Stockwerk / der Brandschutzbereich / das Gebäude brennt? Verbrennen / schmelzen Ihre Daten und / oder Datensicherungen auch?
Was passiert wenn die Feuerwehr anrückt und mit Wasser löscht? Saufen Ihre Daten / Datensicherungen sprichwörtlich ab?
Was ist die Folge von Löschung – egal ob unbeabsichtigt oder vorsätzlich? Haben Sie eine Kopie?
Hier einige einfach Tipps:
Lagern Sie die Datensicherungen nicht auf den Server oder im Serverraum. Fängt ihr Server Feuer, verbrennt die Datensicherung mit. Wird gelöscht, könnte das elektronische Bauteile zerstören. Auf Backups zugreifen sollten nur diejenigen, die wissen was Sie tun. Vertrauen vorausgesetzt.
Denken Sie an ihr Unternehmen und gehen sie die Gefahren einmal im schlimmsten Fall durch. Sie machen heute keine Sicherung. Wie schlimm trifft Sie dieser Fall? So kommen sie der Einschätzung, wann sie Ihre Sicherungen in welchem Intervall machen, näher. Am besten erstellen Sie sich hierzu ein Backupkonzept – auch Datensicherungskonzept genannt. Darin überlegen Sie sich mögliche Risiken, und wie Sie damit umgehen.
Häufigkeit der Datensicherung
Bei der Häufigkeit der Datensicherung kommt es auf die Änderungshäufigkeit der Daten an.
Verändern Sie häufig viele relevante Daten, überlegen Sie sich ein sinnvolles Zeitintervall der Sicherung. Am besten automatisch. Wenn das nicht geht, mit Erinnerung und vor allem zuverlässig. Zum Beispiel jeden Freitag oder auch täglich. Das hängt davon ab, wie viel Sie im Zweifel bereit sind nacharbeiten zu können / zu wollen.
Sicherungsarten
Für die Datensicherung kommen generell verschiedene Möglichkeiten in Betracht. Einmal die regelmäßige Vollsicherung. Die sichert immer alle Daten, braucht viel Speicherplatz und Zeit – auch beim Einspielen.
Weiter gibt es die differenzielle Sicherung. Diese sichert nur die Daten, die seit der letzten Vollsicherung geändert, oder auch hinzugefügt wurden. Spart Zeit und Platz.
Zu guter Letzt gibt es noch die Möglichkeit der inkrementellen Sicherung. Hier sichern Sie nur die hinzugefügten Daten auf die vorherige Sicherung. Nachteil: Diese Art der Sicherung baut immer auf der zuvor durchgeführten Datensicherung auf. Fehlt ein Teil, haben Sie die Daten nicht komplett. Die inkrementelle Sicherung können sie sich wie ein Legoset vorstellen. Fehlen zwei oder drei Bausteine, ist ihr Legomodell nicht komplett und schlecht verwendbar – vielleicht hält es auch gar nicht uns stürzt ein.
Nehmen Sie sich bitte einmal im Quartal die Zeit und prüfen Sie, ob die Datensicherung funktioniert. Auch wenn es Meldungen gibt, die Backups prüfen, spielen Sie diese Daten ein. Die sogenannten Rücksicherung wird aus Kostengründen viel zu häufig nicht durchgeführt.
Kurz gesagt…
Um die Verfügbarkeit personenbezogener Daten nach den Vorgaben der DSGVO zu gewährleisten, müssen Sie regelmäßige Datensicherungen von den personenbezogenen Daten durchführen. Die Datensicherung ist eine Maßnahme zur Umsetzung der Verfügbarkeitsanforderungen. Dadurch schützen Sie die Daten vor Verlust, Diebstahl oder anderen Risiken.
Verfügbarkeit zusammengefasst
Um die Verfügbarkeit personenbezogener Daten nach den Vorgaben der DSGVO zu gewährleisten, müssen Sie regelmäßige Datensicherungen von den personenbezogenen Daten durchführen. Die Datensicherung ist eine Maßnahme zur Umsetzung der Verfügbarkeitsanforderungen. Dadurch schützen Sie die Daten vor Verlust, Diebstahl oder anderen Risiken.
