Rechtliche Aspekte der Datensicherung
Von Thomas Kasper, Executive Director DACH, Carbonite Germany
Kaum ein mittelständisches Unternehmen kann ohne seine gesammelten Daten und Dokumente den Geschäftsbetrieb dauerhaft aufrechterhalten. Dennoch fehlt es dort vielfach an professionellen Backup-und-Recovery-Strategien. So veröffentlichte Crisp Research 2015 die Ergebnisse einer Befragung von IT-Entscheidern unter dem bezeichnenden Titel „Disaster Recovery Strategie? Fehlanzeige! – Der deutsche Mittelstand geht im Katastrophenfall baden“.
Angesichts von Gefahren wie technischen Defekten, gestohlenen Geräten, Schadprogrammen oder menschlichem Versagen ist diese Sorglosigkeit unverständlich. Hochgradig problematisch wird sie angesichts der Tatsache, dass auch kleine und mittlere Unternehmen mit rechtlichen Rahmenbedingungen konfrontiert sind, die sie zur revisionssicheren und rechtskonformen Aufbewahrung ihrer Dokumente verpflichten: Zur Wahrung der allgemeinen Schutz- und Sorgfaltspflicht verlangt der Gesetzgeber den regelmäßigen, geeigneten und lückenlosen Einsatz von Datensicherungsmaßnahmen. Falls Unternehmen diesen Anforderungen nicht entsprechen, können Verantwortliche in persönliche Haftung genommen werden und sogar der Versicherungsschutz eines Unternehmens oder der Geschäftsleitung kann gefährdet sein.
Zu sichernde Daten
Alle Daten und Dokumente, die gesetzlichen Aufbewahrungspflichten unterliegen oder als Beweismittel in einem Zivilprozess dienen könnten, müssen gesichert werden. Dabei kann es sich um Rechnungen, Buchungsbelege, Arbeitsanweisungen, Bilanzen und viele andere Daten und Dokumente mehr handeln. Zudem muss die Archivierung revisionssicher erfolgen. Denn lässt sich ein Dokument nachträglich verändern, kann dessen Beweiskraft eingeschränkt sein.
Thomas Kasper ist Executive Director DACH bei Carbonite Germany. Carbonite ist ein führender Anbieter hybrider Datensicherungslösungen für kleine und mittlere Unternehmen. Weltweit vertrauen über 1,5 Mio. Kunden bei der Absicherung ihrer Geschäftstätigkeit auf Backup-Lösungen von Carbonite. Die Hybrid Backup-und-Disaster-Recovery-Software Carbonite Server Backup erlaubt Anwendern die Sicherung kritischer Dateien, Datenbanken, Anwendungen und Server sowohl lokal als auch im verschlüsselten Cloud-Speicher eines deutschen Rechenzentrums. Carbonite Server Backup bietet Unterstützung für Image Backups und Bare Metal Recovery. Das erlaubt eine schnelle Sicherung vollständiger Systemabbilder und ein unverzügliches Disaster Recovery auf völlig neuer Server-Hardware.
Carbonite Germany, 089-215474040, www.carbonite.de
Der rechtliche Rahmen
Der Rahmen für die Pflicht zur Datenhaltung wird durch Regelungen wie die des Handelsgesetzbuchs (HGB) über eine ordnungsgemäße, nachvollziehbare und revisionssichere Buchführung festgelegt. Dort sind beispielsweise die Aufbewahrungsfristen von kaufmännischen Dokumenten geregelt. Nach § 257 Abs. 1 Nr. 2 und 3, Abs. 4 HGB sind etwa empfangene Handelsbriefe und Wiedergaben (Kopien, Durchschriften) abgesandter Handelsbriefe sechs Jahre aufzubewahren. Die Aufbewahrungsfristen von anderen Daten, etwa Handelsbüchern, Bilanzen oder Buchungsbelegen, können bis zu zehn Jahre betragen.
Dokumente rund um das Thema Steuern unterliegen den „Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD). In diesem Schreiben des Bundesfinanzministeriums werden die Anforderungen der Finanzverwaltung an eine IT-gestützte Buchführung erläutert. Darin finden sich Regeln zur Aufbewahrung und Archivierung handels- und steuerrechtlich relevanter digitaler Unterlagen sowie zur Mitwirkung von Steuerpflichtigen bei Betriebsprüfungen (der Finanzbehörde muss der lesende Zugriff auf digitale Unterlagen mit steuerlicher Bedeutung gewährt werden). Gleichzeitig enthalten die GoBD Ausführungen dazu, wie Dokumente zu archivieren sind, die von der Papierform in die elektronische überführt wurden (ersetzendes Scannen).
Wichtige Regelungen im Überblick
Handelsgesetzbuch: Nach § 257 Abs. 1 Nr. 2 und 3, Abs. 4 HGB sind Handelsbriefe sechs Jahre aufzubewahren. Andere Unterlagen, etwa Bilanzen oder Abschlüsse, sind nach § 257 Abs. 1 Nr. 1 und 4, Abs. 4 HGB sogar zehn Jahre aufzubewahren. §§ 238, 239 HGB schreiben eine nachvollziehbare, revisionssichere Führung von Handelsbüchern vor.
GoBD: Die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff konkretisieren die Ordnungsmäßigkeitsanforderungen der Finanzverwaltung an den Einsatz von IT bei der Buchführung und bei sonstigen Aufzeichnungen.
Abgabenordnung: Die AO liefert in § 147 Ordnungsvorschriften für die geordnete Aufbewahrung von Unterlagen.
Revisionssicherheit
Der Begriff der Revisionssicherheit bezieht sich auf aufbewahrungspflichtige Daten und Dokumente des handels- und steuerrechtlichen Bereichs und auf deren Archivierung in elektronischen Systemen. Diese Archivierung hat unter anderem den Anforderungen des Handelsgesetzbuches, der Abgabenordnung (AO) und den GoBD zu genügen. Revisionssicherheit bedeutet vor allem, dass elektronische Informationen auffindbar, nachvollziehbar, unveränderbar und verfälschungssicher archiviert sind.
Datenwiederherstellung über ein gesichertes Image (Bild: Carbonite, Inc.)
Geeignete Verfahren
Um den datenschutzrechtlichen Anforderungen gerecht zu werden, verweist der Gesetzgeber auf den aktuellen Stand der Technik. Von entsprechend großer Bedeutung sind daher Backup-und-Recovery-Lösungen. Eine darauf basierende Strategie muss Sicherheit zudem mit den Datenschutzanforderungen an Daten mit Personenbezug verbinden.
Die 3-2-1-Regel liefert hilfreiche Hinweise. Sie besagt, dass gesicherte Daten dreimal auf zwei verschiedenen Medien und einmal außer Haus gelagert werden sollten. Bei der externen Verwahrung bieten hybride Cloud-Lösungen für kleine und mittlere Unternehmen eine kostengünstige Möglichkeit: Gesicherte Daten werden über das Web an ein Rechenzentrum übertragen. Damit entfällt die Notwendigkeit eines eigenen, externen Aufbewahrungsorts. Für Unternehmen mit Sitz in Deutschland ist es eine Erleichterung, wenn sich das Rechenzentrum in Deutschland befindet. Denn dann gilt das strenge deutsche Datenschutzrecht auch für den Cloud-Dienstleister.
Orientierung bieten Zertifizierungen wie die ISO/IEC 27001 und ein Blick in das Bundesdatenschutzgesetz. Hilfreich sind zudem Gespräche mit Herstellern oder Dienstleistern, die sich auf das Thema Datensicherung spezialisiert haben. Dort sind in aller Regel auch kostenlose Testversionen von geeigneten Softwarelösungen zu erhalten.